Selbstsigniertes Zertifikat durch vertrauenswürdigeres Zertifikat ersetzen

This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

  • Selbstsigniertes Zertifikat durch vertrauenswürdigeres Zertifikat ersetzen

    Hallo,

    bisher war unsere Exchange-Server extern über mail.company.com bzw. autodiscover.company.com und intern über exchange.company.local erreichbar. Das ist extern natürlich etwas unschön, weil man erstmal die Zertifikatswarnung wegklicken muss und viele mobile Geräte das selbst ausgestellte Zertifikat gar nicht erst akzeptieren. Wir haben daher unser vorhandenes Zertifikat für *.company.com installiert und die externen URL angepasst. Der Artikel Exchange 2016: Zertifikate konfigurieren (Teil 2) bei Frankys Web bietet hier einen recht schönen Einstieg.

    Jetzt haben wir allerdings das Problem, dass beim Start von Outlook eine Zertifikatswarnung kommt, weil zwar das richtige Zertifikat für *.company.com aber teilweise offenbar weiterhin exchange.company.local statt mail.company.com bzw. autodiscover.company.com verwendet wird. Wenn man die Meldung einfach offen lässt funktioniert alles. Lege ich jedoch ein neues Outlook-Profil an und versuche die Einrichtung eines Postfachs schlägt das fehl. Der über den Verbindungsstatus angezeigte Servername lautet mail.company.com.

    Die ganzen Pfade sollten passen. Die interne und die externe URL ist identisch. Das habe ich heute beides mehrmals überprüft. Da zweifelt man langsam an sich selbst...

    Was könnten wir da noch übersehen haben?

    Beste Grüße

    Gerhard
  • Hallo Norbert,

    vielen Dank für deine Antwort. Unten die Ausgabe des Befehls.

    Source Code

    1. AutoDiscoverServiceInternalUri: https://autodiscover.company.com/Autodiscover/Autodiscover.xml
    Das sollte also eigentlich passen. Ich hatte es vorhin noch geschafft, dass die Meldung bei meinem Rechner nicht mehr erschien, aber bei den anderen kommt nach wie vor ein Fehler. Habe natürlich schon geschaut, was ich alles an meinem Rechner gemacht habe, das dafür verantwortlich sein könnte, aber ich habe eigentlich nur den Zertifikats- und den DNS-Cache geleert. Die externe URL wurde aber auch zuvor sauber auf die interne IP des Exchange-Servers aufgelöst. Und bei den anderen Rechnern zeigte das keine Wirkung.

    Was könnte man noch prüfen? :/

    Beste Grüße

    Gerhard
  • Was passiert bei einem neuen Outlook Profil? Wenn die vorher auf den alten Namen konfiguriert waren, ist ja logisch, dass die bis zum Profilupdate solche Fehler bringen. Meist ist man dann schneller, einfach ein neues Outlookprofil zu erstellen. Alternativ nochmal ein internes Zertifikat nehmen in dem sowohl der öffentliche als auch der interne (alte) Name steht und warten bis die Mehrzahl mal ihr Profil aktualisiert hat :)

    Bye
    Norbert
  • Auf meinem Rechner konnte ich zumindest über Autodiscover kein neues Profil hinzufügen. So richtig klar lesbarer Fehler wurde allerdings keiner angezeigt. Ich versuche das aber gleich nochmal auf dem Terminalserver und berichte.
  • Auf dem Terminalserver kommt wie auch auf den Clients die Meldung bezüglich des Zertifikats. Ich habe dann ein neues Profil hinzugefügt. Grüner Haken bei Netzwerkverbindung herstellen, bei „postfach@company.com-Einstellungen suchen“ kommt dann aber eine Abfrage von Benutzername und Passwort und auch wenn ich beides eintippe, kommt wieder und wieder diese Passwortabfrage.

    Klicke ich bei der Passwortabfrage auf „Abbrechen“ kommt die Meldung „Konfigurieren von Postfach@company.com-Servereinstellungen für diese Website zulassen? autodiscover.company.com/autodiscover/autodiscover.xml Das Konto wurde für die Einstellungen auf diese Website umgeleitet. Sie sollten nur Einstellungen aus Quellen zulassen, die Sie kennen und denen Sie vertrauen.

    Klicke ich dort auf „Zulassen“ kommt die Meldung „Leider konnten wir Ihr Konto nicht automatisch einrichten. Um es selbst einzurichten, klicken Sie auf "Weiter"“. Trage ich dort die Informationen manuell ein kommt die Fehlermeldung „An Exchange ActiveSync-E-Mail-Server anmelden (EAS): Der eingegebene Benutzername oder das Kennwort funktioniert nicht. Bitte wiederholen Sie die Einnahme.“ Benutzername und Kennwort passen allerdings. Als Servername habe ich allerdings den externen Namen „mail.componay.com“ eingetragen.

    Verwende ich stattdessen den internen Namen exchange.company.local oder auch nur EXCHANGE, kommt die bereits aus Outlook bekannte Meldung, dass Zertifikat und Server nicht zusammenpassen: „Das Sicherheitszertifikat stammt aus einer vertrauenswürdigen Quelle. Das Datum des Sicherheitszertifikats ist gültig. Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein.“

    Klicke ich zum Fortsetzen auf „Ja“ kommt dann wiederum die Meldung von oben „An Exchange ActiveSync-E-Mail-Server anmelden (EAS): Der eingegebene Benutzername oder das Kennwort funktioniert nicht. Bitte wiederholen Sie die Einnahme.“

    Daraufhin habe ich Outlook nochmal mit dem vorhandenen Profil geöffnet und die E-Mail-Autokonfiguration getestet. Da kam zunächst auch die Passwortabfrage, obwohl ich das Passwort im Assistenten bereits eingegeben hatte, aber beim zweiten Versuch ist die Autokonfiguration durchgelaufen. Unten das Log dazu.

    XML Source Code

    1. <?xml version="1.0" encoding="utf-8"?>
    2. <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
    3. <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
    4. <User>
    5. <DisplayName>Postfach</DisplayName>
    6. <LegacyDN>/o=SEC/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=userc104c12c</LegacyDN>
    7. <AutoDiscoverSMTPAddress>postfach@company.com</AutoDiscoverSMTPAddress>
    8. <DeploymentId>e62e4255-c999-4dac-813b-69a1345defd4</DeploymentId>
    9. </User>
    10. <Account>
    11. <AccountType>email</AccountType>
    12. <Action>settings</Action>
    13. <MicrosoftOnline>False</MicrosoftOnline>
    14. <ConsumerMailbox>False</ConsumerMailbox>
    15. <Protocol Type="mapiHttp" Version="1">
    16. <MailStore>
    17. <InternalUrl>https://mail.company.com/mapi/emsmdb/?MailboxId=1ec81152-1535-4717-b10b-6d765122a246@company.com</InternalUrl>
    18. <ExternalUrl>https://mail.company.com/mapi/emsmdb/?MailboxId=1ec81152-1535-4717-b10b-6d765122a246@company.com</ExternalUrl>
    19. </MailStore>
    20. <AddressBook>
    21. <InternalUrl>https://mail.company.com/mapi/nspi/?MailboxId=1ec81152-1535-4717-b10b-6d765122a246@company.com</InternalUrl>
    22. <ExternalUrl>https://mail.company.com/mapi/nspi/?MailboxId=1ec81152-1535-4717-b10b-6d765122a246@company.com</ExternalUrl>
    23. </AddressBook>
    24. </Protocol>
    25. <Protocol>
    26. <Type>WEB</Type>
    27. <Internal>
    28. <OWAUrl AuthenticationMethod="Basic, Fba">https://mail.company.com/owa/</OWAUrl>
    29. <Protocol>
    30. <Type>EXCH</Type>
    31. <ASUrl>https://mail.company.com/EWS/Exchange.asmx</ASUrl>
    32. </Protocol>
    33. </Internal>
    34. <External>
    35. <OWAUrl AuthenticationMethod="Fba">https://mail.company.com/owa/</OWAUrl>
    36. <Protocol>
    37. <Type>EXPR</Type>
    38. <ASUrl>https://mail.company.com/ews/exchange.asmx</ASUrl>
    39. </Protocol>
    40. </External>
    41. </Protocol>
    42. <Protocol>
    43. <Type>EXHTTP</Type>
    44. <Server>mail.company.com</Server>
    45. <SSL>On</SSL>
    46. <AuthPackage>Ntlm</AuthPackage>
    47. <ASUrl>https://mail.company.com/EWS/Exchange.asmx</ASUrl>
    48. <EwsUrl>https://mail.company.com/EWS/Exchange.asmx</EwsUrl>
    49. <EmwsUrl>https://mail.company.com/EWS/Exchange.asmx</EmwsUrl>
    50. <EcpUrl>https://mail.company.com/owa/</EcpUrl>
    51. <EcpUrl-um>?path=/options/callanswering</EcpUrl-um>
    52. <EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr>
    53. <EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=company.local</EcpUrl-mt>
    54. <EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret>
    55. <EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms>
    56. <EcpUrl-publish>?path=/options/calendarpublishing/id/<FldID></EcpUrl-publish>
    57. <EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo>
    58. <EcpUrl-tm>options/ecp/?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=company.local</EcpUrl-tm>
    59. <EcpUrl-tmCreating>options/ecp/?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=company.local</EcpUrl-tmCreating>
    60. <EcpUrl-tmEditing>options/ecp/?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=company.local</EcpUrl-tmEditing>
    61. <EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall>
    62. <OOFUrl>https://mail.company.com/EWS/Exchange.asmx</OOFUrl>
    63. <UMUrl>https://mail.company.com/EWS/UM2007Legacy.asmx</UMUrl>
    64. <OABUrl>https://mail.company.com/OAB/2bbcf105-2579-4afc-b248-73e27e0fecd5/</OABUrl>
    65. <ServerExclusiveConnect>On</ServerExclusiveConnect>
    66. </Protocol>
    67. <Protocol>
    68. <Type>EXHTTP</Type>
    69. <Server>mail.company.com</Server>
    70. <SSL>On</SSL>
    71. <AuthPackage>Negotiate</AuthPackage>
    72. <ASUrl>https://mail.company.com/ews/exchange.asmx</ASUrl>
    73. <EwsUrl>https://mail.company.com/ews/exchange.asmx</EwsUrl>
    74. <EmwsUrl>https://mail.company.com/ews/exchange.asmx</EmwsUrl>
    75. <EcpUrl>https://mail.company.com/owa/</EcpUrl>
    76. <EcpUrl-um>?path=/options/callanswering</EcpUrl-um>
    77. <EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr>
    78. <EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=company.local</EcpUrl-mt>
    79. <EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret>
    80. <EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms>
    81. <EcpUrl-publish>?path=/options/calendarpublishing/id/<FldID></EcpUrl-publish>
    82. <EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo>
    83. <EcpUrl-tm>options/ecp/?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=company.local</EcpUrl-tm>
    84. <EcpUrl-tmCreating>options/ecp/?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=company.local</EcpUrl-tmCreating>
    85. <EcpUrl-tmEditing>options/ecp/?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=company.local</EcpUrl-tmEditing>
    86. <EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall>
    87. <OOFUrl>https://mail.company.com/ews/exchange.asmx</OOFUrl>
    88. <UMUrl>https://mail.company.com/ews/UM2007Legacy.asmx</UMUrl>
    89. <OABUrl>https://mail.company.com/OAB/2bbcf105-2579-4afc-b248-73e27e0fecd5/</OABUrl>
    90. <ServerExclusiveConnect>On</ServerExclusiveConnect>
    91. </Protocol>
    92. <PublicFolderInformation>
    93. <SmtpAddress>InterneOrgaCompany@company.com</SmtpAddress>
    94. </PublicFolderInformation>
    95. </Account>
    96. </Response>
    97. </Autodiscover>
    Display All
    Sehr seltsam das alles... :huh:

    NorbertFe wrote:

    Und die Namen zeigen intern auch auf die interne IP?
    Sowohl mail.company.com als auch autodiscover.company.com zeigen auf die interne IP.

    The post was edited 2 times, last by Geronimo ().

  • Guten Morgen,

    neuer Tag neuer Versuch. Die entsprechenden Proxyausnahmen sind vorhanden. Da bin ich auch erst drüber gestolpert. Denn plötzlich kommunizierte vermeintlich alles mit einem Zertifikat der UTM. Gestern habe ich mich noch etwas in der Registry umgeschaut, ob es dort noch Werte gibt, die auf die interne Adresse verweisen und bin unter Computer\HKEY_USERS\*.*\Software\Microsoft\Office\16.0\Common\Identity\ServiceAuthInfoCache\CredStoreKeyToAuthScheme fündig geworden. Nach dem Löschen aller Einträge für mail.company.local ist die Fehlermeldung auf dem Terminalserver zumindest für diesen Benutzer verschwunden. Auf den Clients zeigte das allerdings keine Wirkung.

    Auf einem Rechner außerhalb von Domäne und internem Netzwerk habe ich gerade mal die Einrichtung eines Postfachs getestet. Dort funktioniert Autodiscover noch nicht. Die externe Adresse verwendet wohl noch das durch die UTM selbst ausgestellt Zertifikat. Verbinde ich den Rechner mit dem internen Netzwerk kann ich Postfächer hinzufügen und erhalte keine Fehlermeldung.

    Schaut für mich aus als würde da noch irgendwas in Outlook bzw. auf den Rechnern auf den internen Servernamen verweisen.

    Beste Grüße

    Gerhard

    PS: Extern funktioniert jetzt auch alles. Auf dem Terminalserver hatte ich gestern auch noch die Autodiscover-Einträge unter %localappdata%\Microsoft\Outlook\ entfernt. Damit hatte ich aber bislang auf den Rechnern keinen Erfolg.

    The post was edited 1 time, last by Geronimo ().