Zertifikatfehler bei externer OU Anbindung

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Zertifikatfehler bei externer OU Anbindung

    Hallo in die Runde,

    Vorabinfo: "bin der, der bisher immer nur mitgelesen hat" - aber jetzt nicht mehr weiter weiß ;)

    Szenario: Exchange 2013, Outlook 2013/2016 auf externen Arbeitsplatz.
    Sobald ich am externen Client Outlook einrichte - kommen bei mir zwei Fehlermeldungen betr. Zertifikaten - im Zertifikat (das übermittelt wird) wird jedoch eine komplett andere Domäne angegeben, die mit unserer Organisation mal überhaupt nichts zu tun hat.

    Beim ersten Starten kommt zuerst folgende Meldung
    (server.internedomäne.de -> ist unsere und stimmt)

    Info zum Bild: server.internedomäne.de -> ist unsere und stimmt

    nach der Bestätigung folgt

    Info zum Bild: auch hier stimmt server.internedomäne.de in der Meldung - jedoch im Zertifikat der Aussteller nicht

    Die Domäne visitenkarten.de gehört nicht zu uns - und ich kann mir auch nicht erklären wo dieses Zertifikat herkommt.

    Im Exchange selbst (EAC) sind bei mir fünf Zertifikate hinterlegt und in keinem ist der Eintrag dieser ominösen Domäne hinterlegt


    Outlook lässt sich zwar dann konfigurieren und funktioniert auch - jedoch bei jedem NEUSTART von OU poppen die Fehler natürlich wieder auf - mal ganz davon abgesehen, dass es nicht schön ist und ich diesen Fehler gerne weg hätte. Leider fällt mir nichts mehr ein, wo das DING noch herkommen könnte - (Selbst beim Hoster ist nichts hinterlegt) vielleicht übersehe ich auch noch was?!?!

    Evtl. fällt Euch sofort was ein - mein Latein ist am ENDE :(

    Besten Dank im voraus.
    Gruß aus dem "wilden Süden"
    Swen :)
  • Moin,

    laut der Fehlermeldung wird das Zeritifkat für Outlook Anywhere angemeckert.

    Auf welche URL ist Outlook Anywhere eingestellt? Der Name sollte dann auf die feste IP am Anschluss zeigen und muss mit im Zertifikat stecken.

    Am einfachsten ist es, wenn es die gleiche URL ist, die auch für OWA oder EAS benutzt wird.
    Grüße aus Berlin schickt Robert
    MVP Exchange Server
  • Hallo Norbert,
    ja, das hatte ich in den letzten Tagen mehrfach gelesen, und werde ich auch Umsetzen, wenn das andere Problem evtl. gelöst werden konnte. <- Danke.

    Hab jetzt mal den RCA drüber laufen lassen, evtl. wird hier jemand schlau daraus. (ich muß dazu sagen, dass den Exchange ein Dienstleister aufgesetzt hat, nicht ich selbst - allerdings ist mein Anspruch das selbst (natürlich mit Hilfe vom Netz und der Community) zu lösen - in kleinen mittelständischen Familienunternehmen muß zudem auch "gespart" werden ;))

    Hier das Ergebnis (externer Link)

    Danke
  • Naja ehrlich gesagt, hätte ich dem Dienstleister das vor die Füße gekippt und gesagt, das ist ein Mangel, stell das ab.
    Der Report zeigt im Endeffekt genau das, was ich vermutet habe. deinedomain.tld/autodiscover/autodiscover.xml liefert ein "falsches" Ergebnis zurück und dann bricht der Autodiscovervorgang normalerweise ab. Idealerweise sorgst du dafür, dass deinedomain.tld einfach nicht auf https oder auch überhaupt nicht erreichbar ist. Am Client könnte man die Reihenfolge der Autodiscover-Steps anpassen, aber das ist natürlich nur Gebastel. Ich würde den Domain-Record für deinedomain.tld einfach löschen, dann kann man eben nicht im Browser nur die Domain einklimpern, sondern muß zwingend www. davorschreiben. ;)

    Bye
    Norbert

    PS: selbstsignierte Zertifikate für Exchange sind genauso blöd, da solltest du die 100€ für 3 jahre einfach investieren, auch wenn bei kleinen mittelständischen Unternehmen gespart werden muß. Warum eigentlich dann immer so ein Gebastel, das deutlich mehr Zeit und Aufwand kostet? :/
  • Soweit so gut ;) - klingt logisch.

    Jetzt bitte nicht lachen, vielleicht bin ich da echt zu blöd für ;), aber im Konfig-Center von 1und1 (Performance M) kann ich zwar die DNS Einstellungen machen, jedoch nicht dafür sorgen, dass er nur auf www hört. Auf meinen (privaten - bei einem anderen Hoster) eigenen ist das kein Problem. Evtl. noch einen Tipp?!

    Nochmals Danke für Eure/Deine Hilfe.

    PS. das strebe ich auch an, hier endlich mal ein vernünftiges Zertifikat zu "organisieren" - sehe ich eigentlich auch so.