addy0604 11 Geschrieben 9. Juli 2018 Melden Teilen Geschrieben 9. Juli 2018 Hallo zusammen, ich bekomme bald graue Haare und hoffe sehr, das mir jemand weiterhelfen kann. Vor ca. 2 Monaten hab ich die Migration von Exchange 2010 auf Exchange 2016 gemacht und alles lief "eigentlich" relativ geschmeidig. Danach hab ich den alten Mail-Server von Netzwerk genommen und alles lief normal weiter. Auch die Anbindung von Office 2010 und 2016 HB an den neuen Exchange. Um die Migration nun abzuschließen hab ich letzten Freitag den alten Mail-Server wieder ins Netzwerk genommen um Exchange 2010 zu deinstallieren. Seit dem bekommen nun alle Clients beim Start von Outlook eine Zertifikatsmeldung bzgl. Autodiscover (Screenshot 1). Danach laufen zwar die bestehenden Clients weiter, aber neue Office 2016 Clients kann ich nicht anbinden. Ein neuer Benutzer, den ich angelegt hab, kann problemlos ohne Zertifikatsmeldung angebunden werden, nur bei alten Benutzern nicht. Komischerweise will er eine "Microsoft-Anmeldung". Zum Schluss heißt es jedes mal "Leider konnte wir ...". Wenn ich das Outlook-Profil über die Systemsteuerung hinzufügen will fragt er mich nach Login-Daten vom 1und1-Server. Da liegt zwar unsere Domäne und die Mails wurden auch eine Zeit lang dort gehostet, aber seit ca. 5 Jahren empfangen wir die Mails selber. Gibt es bei den alten Benutzern vielleicht noch alte Einträge in irgendwelchen Attributen? Kann das was mit den Zertifikaten zu tun haben? Auf dem alten Mail-Server war nur ein Zertifikat für Webmail drauf. Auf dem neuen Mail-Server hab ich nun extra ein Zertifikat von Comodo für Webmail UND Autodiscover gekauft und installiert. Die oben angesprochene Zertifikatsmeldung bzgl. Autodiscover bei den alten Benutzern hat auch als Aussteller nicht Comodo, sondern das vom alten Mail-Server. Also scheinen ja die alten Benutzer das alte Autodiscover-Zertifikat zu nutzen und nicht das neue. Da bei dem neu angelegten Testbenutzer alles "normal" läuft gehe ich mal davon aus, das der das neue Zertifikat nutzt. Wie kann ich den alten Benutzern verklickern, das sie das neue Zertifikat nutzen? Ich hab es übrigens schon mit unterschiedlichen PCs, unterschiedlichen Benutzern etc. getestet. Outlook-Profile gelöscht und ganze Benutzerprofile gelöscht und getestet. Ich weiß echt nicht mehr weiter... Vielen Dank schon mal für das Kopf zerbrechen. Grüße Matthias Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. Juli 2018 Melden Teilen Geschrieben 9. Juli 2018 Im Screenshot stammt das Zertifikat aber von einer [schwarz] AG Proxy CA. Sieht nach SSL Interception aus oder Dein Proxy möchte Dir eine Fehlermeldung mitteilen. Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 9. Juli 2018 Autor Melden Teilen Geschrieben 9. Juli 2018 Der schwarze Strich ist unser Firmenname... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. Juli 2018 Melden Teilen Geschrieben 9. Juli 2018 Ach.. ;) Trotzdem ist das Zertifikat nicht Comodo sondern von Eurem Proxy. Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 9. Juli 2018 Autor Melden Teilen Geschrieben 9. Juli 2018 Wir haben lediglich einen Web-Proxy auf der Sophos-Firewall im Einsatz, mehr aber auch nicht. Ich hab das Root-Zertifikat mal heruntergeladen und in die vertrauenswürdigen Stammzertifikate gespeichert. Jetzt kommt zwar die Meldung nicht mehr, immerhin, aber einrichten lässt sich das Konto in Outlook trotzdem nicht. Wie gesagt betrifft das nur Benutzer, die schon vor der Migration im AD angelegt wurden. Der neu angelegte Testbenutzer kann problemlos angelegt werden. Ich hab es auf 3 verschiedenen PCs getestet. Ob das Root-Zertifikat der Firewall installiert ist oder nicht. Ich würde gern mal die Exchange-Attribute der Benutzer in der AD vergleichen, ob es da Unterschiede gibt. Wie mach ich das am besten? Direkt über ADSIEdit? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. Juli 2018 Melden Teilen Geschrieben 9. Juli 2018 Ich bin kein Exchange-Spezi, aber ich verlinke mal einen Artikel zu Autodiscover und DNS https://www.msxfaq.de/exchange/autodiscover/autodiscover_dns.htm Derzeit versucht Dein Outlook den lokalen Exchange über den Proxy zu erreichen. Ich dachte, da kommst direkt selbst drauf. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 9. Juli 2018 Melden Teilen Geschrieben 9. Juli 2018 (bearbeitet) Hi, ist SplitDNS eingerichtet? Also interne URL = externe URL der virtuellen Verzeichnisse? Und wird intern "webmail.<Schwarzer Balken>.de" und "autodiscover.<Schwarzer Balken>.de" mit der internen IP des Exchanges aufgelöst? Du wirst entweder an der Sophos die beiden Hosts und/oder in den lokalen Proxy-Settings des IE als Ausnahme setzen müssen. Gruß Jan bearbeitet 9. Juli 2018 von testperson Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 9. Juli 2018 Autor Melden Teilen Geschrieben 9. Juli 2018 Hallo Jan, yep, genauso ist es eingerichtet. Da scheint ihr beide Recht zu haben. Das mit den Ausnahmen ist ein sehr guter Gedanke, das werde ich nachher gleich mal durchgehen... Vielen Dank schon mal, melde mich später oder morgen wieder... Gruß Matthias Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 10. Juli 2018 Autor Melden Teilen Geschrieben 10. Juli 2018 Hallo zusammen, ihr habt goldrichtig gelegen. Ich hab autodiscover.schwarzer Balken.de im IE in die Ausnahmen genommen und schon funktioniert die Anbindung. Vielen Dank und schönen Gruß Matthias Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 10. Juli 2018 Melden Teilen Geschrieben 10. Juli 2018 vor 26 Minuten schrieb addy0604: Ich hab autodiscover.schwarzer Balken.de im IE in die Ausnahmen genommen und schon funktioniert die Anbindung. Ich würde das an der Sophos als Ausnahme definieren. Wenn es da Probleme geben sollte, dann immerhin die Proxy Settings für den IE per GPO verteilen. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 10. Juli 2018 Melden Teilen Geschrieben 10. Juli 2018 Tönt nach einem Fehler im split dns. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 10. Juli 2018 Melden Teilen Geschrieben 10. Juli 2018 vor 1 Stunde schrieb tesso: Tönt nach einem Fehler im split dns. Kann sein, muss aber nicht. ;) Wenn die Proxyausnahmen, egal ob am Proxy oder am Client, nicht passen, dann gehts vom Client erstmal zum Proxy. Zitieren Link zu diesem Kommentar
addy0604 11 Geschrieben 10. Juli 2018 Autor Melden Teilen Geschrieben 10. Juli 2018 Wenn was am Split DNS nicht passen würde hätte ich glaub ich größere Probleme als nur die initiale Anbindung von Outlook2016-Clients an den Exchange. Ich verteile aber eh diverse Einstellungen und Proxy-Ausnahmen per GPO auf die Clients, da hab ich die beiden Adressen gerade mit dazugeschrieben, war kein großer Aufwand. Und es funktioniert, das ist für mich erst mal die Hauptsache :) Grüße Matthias Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.