mcinternet 0 Geschrieben 27. Januar 2016 Melden Teilen Geschrieben 27. Januar 2016 Guten Tag,merin erstes Posting und gleich so eine harte Nummer :/Zu diesem Fehler habe ich viel gegoogelt, gelesen und getestet, ich würde hier nicht fragen, wenn all das geholfen hätte.Vorgeschichte:Ich habe einen Server in einem RZ stehen, auf dem ein paar VMs laufen .Outlook <-> Server: Keine VPN, sondern Outlook anywhere - der Client ist kein DomainmemberIch habe eine Migration (sauber) von Windows 2008 R2/ Exchange 2010 nach Windos 2012 R2 und Exchange 2013 durchgeführt - klappte reibungslos.Bei dem Exchange 2010 gab es keine Zertifikatschwierigkeiten.Config: Ein Domaincontroller (GC), der sich langweilt (eine interne und eine externe IP, dient nur der Verwaltung) , der Exchange ist Domainmember mit einer internen und zwei externen IPsZu den EinstellungenECP extern: https://webmail.domain.xy/ecpIntern: https://mailschleuder.nl1.domain.xy/ecpEWS extern: https://webmail.becker.ag/ews/exchange.asmxintern: https://mailschleuder.nl1.domain.xy/EWS/Exchange.asmxActive Sync extern: https://webmail.domain.xy/Microsoft-Server-ActiveSyncintern https://mailschleuder.nl1.domain.xy/Microsoft-Server-ActiveSyncOAB extern : https://mailschleuder.nl1.domain.xy/OABintern: https://mailschleuder.nl1.domain.xy/OABowa extern: https://webmail.domain.xy/owaowa intern: https://mailschleuder.nl1.domain.xy/owaAutodiscover:[PS] C:\>Get-ClientAccessServer | FL AutoDiscoverServiceInternalUriNeue Sitzung für implizite Remotevorgänge des Befehls "Get-ClientAccessServer" wird erstellt...AutoDiscoverServiceInternalUri : https://autodiscover.nl1.domain.xy/Autodiscover/Autodiscover.xmlDas Zerifikat:Status: ValidAussteller: CN=nl1-MAILSCHLEUDER-CA, DC=nl1, DC=domain, DC=xyAlternative Antragstellernamen:webmail.domain.xymailschleuder.nl1.domain.xyautodiscover.domain.xyautodiscover.bl1.domain.xydomain.xyowa.domain.xynl1.domain.xymail.domain.xyFingerprint: BFB5DF29C014141508468E8B2549169CFAC5BC4BSeriennummer: 760000000A8E614A0DFED282CC00000000000AGröße des Schlüssels: 2048Hat privaten Schlüssel: trueDienste: SMTP, IMAP, POP, IISIch habe nun einen ganzen Tag und eine Nacht damit verbracht, das Ding ans Rennen zu bringen. No way - Outlook zickt und will nicht - Zertifikat in "Vertrauenswürdige Stammzertifizierungsstellen" - (als User und Lokaler PC) installiert.Einstellungen im Outlook: Proxy: https://owa.domain.xy - Nur SSL, Verbindung nur mit Proxyservern herstellen, deren Zertifikat einen der folgenden Prinzipalnamen enthält: msstd: owa.domain.xyServer: mailschleuder.nl1.domain.xyusername .. / kennwortBis gesten mit Windows 2008 R2 und Exchange 2010 hat noch alles gut funktioniert.Info: iPhones, Tablets etc. verbinden sich nach Rückfrage, ob das Zertifikat angenommen werden soll, sauber.Ich hoffe, da hat noch jemand eine Idee?Beste GrüßeJörg Zitieren Link zu diesem Kommentar
Nobbyaushb 1.359 Geschrieben 27. Januar 2016 Melden Teilen Geschrieben 27. Januar 2016 Moin, Punkt 1 ist Split-DNS dein Freund, Punkt 2, installiere eine Root-CA und stelle das Cert dort aus, wenn du das nicht von extern signiert hast. Punkt3 weiß ich gar nicht, ob dein Konstrukt lizenztechnisch überhaupt OK ist. ;) Zitieren Link zu diesem Kommentar
mcinternet 0 Geschrieben 27. Januar 2016 Autor Melden Teilen Geschrieben 27. Januar 2016 So, nach langen Suchen und Tests hab ich den Server doch besiegt. :) 1.Split DNS ist nicht notwendig, weil die Domäne intern wie extern gleich aufgelöst wird. 2. Root CA + das Exchange Zertifikat sind installiert. 3. es ist lizenztechisch ok - warum sollte es nicht sein? - Das Ding ist meine private Spielwiese mit 5 Mailkonten und ich habe die erforderlichen Lizenzen. Beste Grüße Jörg Zitieren Link zu diesem Kommentar
NorbertFe 1.803 Geschrieben 28. Januar 2016 Melden Teilen Geschrieben 28. Januar 2016 5 Mailkonten und Autodiscover für 51 SMTP Domains? ;) Naja... Mal davon abgesehen, dass so ein Zertifikat bei "kommerziellem" Erwerb "schei...teuer" sein würde, würde ich dir empfehlen, sowas mit einem dedizierten http Redirect auf einen einzelnen Namen zu realisieren. Spart Zertifikatsgesuche und ist in wenigen Minuten konfiguriert. Exchange und DC mit mehreren IPs und dann noch public klingt übrigens auch grenzwertig. So ganz ist mir mit deinem Posting übrigens nicht klar geworden, was genau dein Problem ist. ;) Bye Norbert Dein Zertifikat sagt webmail.xyz.g statt webmail.xyz.ag in den SAN. Da bei vorhandenen SAN Einträgen der CN "ignoriert" werden soll (RFC irgendwas zu faul zum suchen), solltest du das auch mal überprüfen. Weiterhin vermute ich mal, dass entweder deine ganzen IP Adressen "komische" Quereffekte auslösen, oder du mit Redirects arbeitest und deswegen nirgends "hinkommst". Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.