wechsel von self-signed auf gekaufte exchange zertifikate - neues outlook profil erstellen nicht möglich

[Jonas-Forumkonto 0]

Hallo, 

 

nachfolgend ein etwas diffuses lagebild nach o.g. prozedur mit der Hoffnung auf einen hinweis:

 

• bei einem Exchange 2013 wurde von self-signed auf gekauftes Zertifikat gewechselt.   (ca. 10 interne Tower PCs)
• es läßt sich kein neues Outlook (2019) Profil bei den internen Domänen PCs hinzufügen.
  Beim start vom bisherigen Outlook Profil kommt die gelbe "ja/nein" Zertifikats Sicherheitswarnung und noch eine rote Proxy Fehlermeldung - siehe unten
  Das alte Outlookprofil ist mit dem Exchange verbunden (alles schonmal nicht alles schlecht)
• bei einem externen Workgroup PC mit Outlook (2016) klappt es.
• der remote connectivity Analyzer zeigt  relativ viele grüne Häkchen
• Powershell "set internal uri" ist ja auch ein wichtiger schritt...der war eigentlich auch in Händen.....
• Systemsteuerung, Outlook Profil hinzufügen:  im Feld  Anzeigename und Mailadresse steht automatisch dann schon der jeweilige Benutzer drin
• die Windows Firewall (domänennetzwerk) ist am Exchange aktiviert - sie konnte noch nicht so einfach testhalber deaktiviert werden
• bei Klick auf öffentliche Ordner stürzt Outlook ab (keine Rückmeldung)
• etwas besonders ist auch, das die interne Domäne nicht auf .local endet, aber auch nicht 100% identisch mit der öffentlichen Email Domain ist
• im ECP:  die internal/external URLs in den virtuellen Verzeichnissen wurden auf mail.firma.de angepasst statt der bisherigen internen URL
• die OWA Adresse hat das Schlosssymbol im Chrome

 

 

 

 

 

 

bearbeitet 18. Juli 2022 von Jonas-Forumkonto

[NorbertFe 2.034]

Immer b***d wenn es so verfremdet ist. Zu kontrollieren wäre der autodiscover internal service URI. Der wird meist übersehen.

 

was passiert denn, wenn du auf ja klickst? Nutzt du Outlook anywhere oder mapi/http? Ist der Outlook anywhere Name korrekt angepasst?

[testperson 1.677]

Hi,

 

ping mail.firma.de
ping autodiscover.firma.de

lösen intern auf die interne IP vom Exchange Server auf?

 

Get-OwaVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-EcpVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-OABVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-ActiveSyncVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-WEbServicesVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-MapiVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-ClientAccessServer -Identity $env:COMPUTERNAME | fl AutodiscoverServiceInternalUri
Get-OutlookAnywhere -Server $env:COMPUTERNAME | fl InternalHostname, ExternalHostname

zeigt alles auf "mail.firma.de"?

 

Ist ein Proxy Server im Einsatz und es müssen ggfs. Ausnahmen gesetzt werden?

 

Gruß

Jan

[Nobbyaushb 1.471]

Und von mir noch die Frage, ob Split-DNS korrekt eingerichtet wurde.

Nach der Installation des erworbenen Zertifikates den IIS neu gestartet?

Es ist auch ein SAN und kein * Zertifikat?

[Jonas-Forumkonto 0]

vor 3 Stunden schrieb NorbertFe:

Immer b***d wenn es so verfremdet ist. Zu kontrollieren wäre der autodiscover internal service URI. Der wird meist übersehen.

 

was passiert denn, wenn du auf ja klickst? Nutzt du Outlook anywhere oder mapi/http? Ist der Outlook anywhere Name korrekt angepasst?

 

>Zu kontrollieren wäre der autodiscover internal service URI

 

ok danke - wird nochmal geprüft.

outlook mit rpc

via mail.firma.de adresse (wenn man beim internen PC unten rechts auf das Outlooksymbol geht)

Bei Klick auf Ja ist die Sicherheitswarnung scheinbar vorerst weg, kommt bei jedem Outlookstart wieder.

 

vor 2 Stunden schrieb testperson:

Hi,

Get-OwaVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-EcpVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-OABVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-ActiveSyncVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-WEbServicesVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-MapiVirtualDirectory -Server $env:COMPUTERNAME | fl InternalUrl, ExternalUrl
Get-ClientAccessServer -Identity $env:COMPUTERNAME | fl AutodiscoverServiceInternalUri
Get-OutlookAnywhere -Server $env:COMPUTERNAME | fl InternalHostname, ExternalHostname

zeigt alles auf "mail.firma.de"?

 

ja - zeigt alles auf die externe Adresse mail.firma.de

 

 

vor 2 Stunden schrieb testperson:

 

Ist ein Proxy Server im Einsatz und es müssen ggfs. Ausnahmen gesetzt werden?

 

Gruß

Jan

 

nein - kein reverse proxy oder waf

vor 2 Stunden schrieb Nobbyaushb:

Und von mir noch die Frage, ob Split-DNS korrekt eingerichtet wurde.

Nach der Installation des erworbenen Zertifikates den IIS neu gestartet?

Es ist auch ein SAN und kein * Zertifikat?

 

danke für den kommentar - 

Split-DNS wird nochmal geprüft, unklar im Moment.

Ja - 2x Exchange Serverneustarts.

Es ist kein Wildcard * Zertifikat. 

vor 2 Stunden schrieb testperson:

Hi,

 

ping mail.firma.de
ping autodiscover.firma.de

lösen intern auf die interne IP vom Exchange Server auf?

am internen client PC:

ping mail.firma.de = interne exchange server ip antworted  (am domaincontroller im DNS ist ein Forward m.W. nach)

ping autodisover.firma.de = externe exchange server ip antwortet

 

 

 

bearbeitet 18. Juli 2022 von Jonas-Forumkonto

[NorbertFe 2.034]

Was passiert, wenn du ein Outlook neu einrichtest? Gibts dann die selbe Fehlermeldung?

vor 36 Minuten schrieb Jonas-Forumkonto:

am domaincontroller im DNS ist ein Forward m.W. nach

Nein kein forward, sondern ein Record (oder eine hostzone)

vor 36 Minuten schrieb Jonas-Forumkonto:

ping autodisover.firma.de = externe exchange server ip antwortet

Warum antwortet da nicht die interne ip?

[Jonas-Forumkonto 0]

vor 5 Stunden schrieb NorbertFe:

Was passiert, wenn du ein Outlook neu einrichtest? Gibts dann die selbe Fehlermeldung?

Nein kein forward, sondern ein Record (oder eine hostzone)

Warum antwortet da nicht die interne ip?

neues outlook profil erstellen:  klasse danke- es klappt - wenn man in der Hosts Datei die lokale IP

10.100.100.23               autodiscover.firma.de

einträgt.  (es kommt jedoch noch ein dunkelgraues Login Credential Fenster (kein o365 - was nicht so schlimm ist)

Somit werden am Domaincontroller die Records nochmal geprüft.

 

vorher: Neues Outlook Profil einrichten klappte nicht, Outlook sagte::  

Es steht keine verschlüsselte Verbindung mit Ihrem E-Mail-Server zur Verfügung

oder 

Leider....siehe oben stehenden Foto

 

+++

https://www.frankysweb.de/exchange-2016-umfangreiches-whitepaper-zu-autodiscover/

https://techcommunity.microsoft.com/t5/exchange-team-blog/checklist-for-troubleshooting-performance-related-issues-in/ba-p/604792

"Test several clients with a hosts file pointing to the IP address of Exchange using the external host name."

 

 

 

[Nobbyaushb 1.471]

vor 7 Stunden schrieb NorbertFe:

Was passiert, wenn du ein Outlook neu einrichtest? Gibts dann die selbe Fehlermeldung?

Nein kein forward, sondern ein Record (oder eine hostzone)

Warum antwortet da nicht die interne ip?

Also passt Split-DNS nicht zu den URL

[NorbertFe 2.034]

Ja is klar. ;)

[Sunny61 806]

vor 3 Stunden schrieb Jonas-Forumkonto:

neues outlook profil erstellen:  klasse danke- es klappt - wenn man in der Hosts Datei die lokale IP

10.100.100.23               autodiscover.firma.de

einträgt. 

In der HOSTS etwas eintragen ist pfui. Dafür gibt es DNS, mach es richtig, es MUSS ohne HOSTS gehen.

[Jonas-Forumkonto 0]

Hallo, 

 

ich hatte neulich mit dem Zertifikate Handling nicht direkt zu tun. (bin bei nachfolgemden nicht ganz sicher worum es handelt)

Das Nachfolgende ist m.W. nach dazu da, damit im ECP unter Server/Virtuelle Verzeichnisse auf die richtige Subdomain/OWA Adresse etc... verwiesen wird.

Ferner wird  InternalUri  angepasst...

 

Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn;

$servername = "emailserver.internedomain.local"
$internalhostname = "mail.externedomain.at"
$externalhostname = "mail.externedomain.at"
$autodiscoverhostname = "autodiscover.externedomain.at"

$owainturl = "https://" + "$internalhostname" + "/owa"
$owaexturl = "https://" + "$externalhostname" + "/owa"
$ecpinturl = "https://" + "$internalhostname" + "/ecp"
$ecpexturl = "https://" + "$externalhostname" + "/ecp"
$ewsinturl = "https://" + "$internalhostname" + "/EWS/Exchange.asmx"
$ewsexturl = "https://" + "$externalhostname" + "/EWS/Exchange.asmx"
$easinturl = "https://" + "$internalhostname" + "/Microsoft-Server-ActiveSync"
$easexturl = "https://" + "$externalhostname" + "/Microsoft-Server-ActiveSync"
$oabinturl = "https://" + "$internalhostname" + "/OAB"
$oabexturl = "https://" + "$externalhostname" + "/OAB"
$mapiinturl = "https://" + "$internalhostname" + "/mapi"
$mapiexturl = "https://" + "$externalhostname" + "/mapi"
$aduri = "https://" + "$autodiscoverhostname" + "/Autodiscover/Autodiscover.xml"

Get-OwaVirtualDirectory -Server $servername | Set-OwaVirtualDirectory -internalurl $owainturl -externalurl $owaexturl
Get-EcpVirtualDirectory -server $servername | Set-EcpVirtualDirectory -internalurl $ecpinturl -externalurl $ecpexturl
Get-WebServicesVirtualDirectory -server $servername | Set-WebServicesVirtualDirectory -internalurl $ewsinturl -externalurl $ewsexturl
Get-ActiveSyncVirtualDirectory -Server $servername | Set-ActiveSyncVirtualDirectory -internalurl $easinturl -externalurl $easexturl
Get-OabVirtualDirectory -Server $servername | Set-OabVirtualDirectory -internalurl $oabinturl -externalurl $oabexturl
Get-MapiVirtualDirectory -Server $servername | Set-MapiVirtualDirectory -externalurl $mapiexturl -internalurl $mapiinturl
Get-OutlookAnywhere -Server $servername | Set-OutlookAnywhere -externalhostname $externalhostname -internalhostname $internalhostname -ExternalClientsRequireSsl:$true -InternalClientsRequireSsl:$true -ExternalClientAuthenticationMethod 'Negotiate'
Get-ClientAccessService $servername | Set-ClientAccessService -AutoDiscoverServiceInternalUri $aduri