EXCH - Outlook Zertifikat Fehler + Exchange 2010

[aGenToFdEv!L]

Hallo zusammen,

ja ich weiss das es bzgl. dieses Problem viele Beiträge gibt, aber die konnten mir nicht weiter helfen.

ich habe folgende Anleitung benutzt um mein Problem zu beheben:

How-To: Exchange Server 2007 Web Services mit einem Single Name Certificate | Server Talk

was aber nichts gebracht hat.

ich habe ein Single-Name-Certificate von Comodo auf dem Server installiert und nur dem IIS Dienst zugewiesen.
OWA und Active Sync funktionieren von außen einwandfrei.

Das Problem jetzt aber, sobald ein User Outlook aufmacht bekommt er eine Fehlermeldung mit:

Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website nicht überrein.

Was auch verständlich ist.


zur Info mein DNS-Eintrag sieht folgendermaßen aus (s. Anhang)

Die External URLs für OWA/EAS/OAB habe ich für die internen URLS eingetragen, leider kommt die Fehlermeldung sobald ich outlook von einem Benutzer aus öffen immer 2 mal, die ich mit Ja bestätigen muss.

Weiss jemand vielleicht weiter?

[PathFinder]

Hallo,

du musst in dem Zertifikat zwingend den Namen des internen Exchangeservers haben.

Ich habe das zuletzt unter Exchange 2010 gemacht und hier gibt es sogar einen äußerst komfortablen Assistenten den man nutzen kann.

Bei Exchange 2007 weiß ich es leider gerade nicht auswendig.

Wenn dein Exchange Server "exsrv.domain.local" heißt dann muss das Zertifikat diesen FQDN enthalten.

So konnte ich das Problem bei mir lösen.

mfg der Path

[aGenToFdEv!L]

Hallo Path,

vielen Dank für deine Antwort, das Problem ist einfach nur das, wenn ich jetzt ein UCC oder Multidomain Zertifikat nehme, kostet das mehr, der Kunde wird damit nicht einverstanden sein, laut der Anleitung (s. 1. Beitrag) müsst das Problem umgangen werden können, leider funktioniert das bei mir nicht.

Klar das neue Zertifikat mit öffentlicher Adresse + FQDN, die schnellste und teuerste Lösung wäre, aber irgendwie muss das auch anders machbar sein.

Viele Grüße

aGenT

[PathFinder]

Ich habe bisher nie mit gekauften Zertifikaten gearbeitet.

Immer mit einer eigenen CA.

hast du die Möglichkeiten dazu?

Wenn es nicht gerade ein Webshop ist für den du die Zertifikate brauchst würde ich da keine zwingende Notwendigkeit sehen.

hm, hab mir das mal durchgelesen, das wäre mir zuviel gebastel an dieser Stelle und für das was du willst.

Wenn es keinen zwingenden Grund für "echte" Zertifikate gibt ist self-signed eine durchaus praktikable Lösung.

Birgt sicherlich einige Tücken bis man das sauber hinbekommt aber am Ende der beste Weg wenn es an den Kosten für ein entsprechendes gekauftes Cert hängt.

[TheDonMiguel]

Hallo

Wenn du ein Single-Name Certificate hast, dann musst du immer diesen Namen für die Verbindung verwenden. Unter Umständen musst du diesen Namen noch intern auflösen, dh. dass aus dem Corp-Network die mail.domain.com auch auf die interne IP zeigt.

Testweise einfach mal die URL in das Host file eintragen und in Outlook die URL anpassen, dann sollte es bereits klappen.

Cheers
Michel

[aGenToFdEv!L]

Hallo Allerseits,

danke für eure Antworten. also ich habe folgendes durchgelsesen:


MSXFAQ.DE - Autodiscover

Der Teil ab DNS wird für mich interessant, Office ist bei mir auf SP2, sprich müsste eine Umleitung funktionieren.

Dies geschiet aber nicht.

Ich muss die Zertifikats fehlermeldung immer noch 2 mal mit ja bestätigen.


An was könnte es sonst liegen?

nslookup zeigt mir auch die richtigen werte.

Gruß

Alexander

[heuchler]

Hier mal mein Sammelsorium:

Zertifikate auflisten:

get-exchangecertificate | fl

Dann Thumbprint merken.

Zertifikat löschen:

remove-exchangecertificate -thumbprint "1234567899"


Zertifikat erstellen:

New-ExchangeCertificate `
-SubjectName "c=DE, o=Firma, cn=srv01.domain.local" `
-privatekeyexportable $true `
-domainName srv01, srv01.domain.local, remote.domain.local, autodiscover.domain.local, autodiscover.domain24.de
(Halt die Domains, die Du benötigst)


Zertifikat aktivieren:

enable-exchangecertificate -thumbnail "1234567890" -services "IIS, SMTP, POP, UM"

Vielleicht bringt es dich ja weiter.

[aGenToFdEv!L]

Hallo Heuchler,

danke für deine Info. Diese Funktionen über die Shell sind mir bekannt.
Leider habe ich nur ein Single Name Zertifikat von Comodo. Dacher sollte das Problem
umgangen werden, funktioniert aber nicht wie oben schon beschrieben.

Vielen Dank für eure Hilfe.

Gruß

[aGenToFdEv!L]

Hallo zusammen,

das Problem habe ich mittlerweile anhand folgender doku

Sicherheitswarnung beim Starten von Outlook 2007 und Verbinden mit einem Postfach auf einem Server mit Exchange Server 2007 oder 2010: "Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Si

behoben.

Jetzt habe ich fogendes Problem, beim Download vom Offline Adressbuch bekomme ich folgende Fehlermeldung:

Fehler (0x80190194) beim Ausführen der Aufgabe "E-Mail-Adresse": "Fehler beim Ausführen der Operation."

Weiss jemand woran das liegen kann?

[heuchler]

Joa.. die Cmds sind mir auch bekannt..
Stehen sogar auch in meinen Unterlagen...

Sorry, hätte nicht gedacht dass es so tiefgreifend ist und habe sie rausgelöscht.