aGenToFdEv!L

Hat keiner eine Idee?

Hallo Allerseits, ich bin langsam am verzweifeln, ich versuche heute den halben Tag über den IIS 7.0 ein Clientzertifikat einzubinden. OWA und Active Sync sind über SSL verschlüsselt, das Zertifikat habe ich von Comodo, ebenso das Clientzertifikat. Ich bin nach dieser Installations-anleitung vorgegangen: 404, Page Not Found : The Official Microsoft IIS Site ... habe alles schritt für schritt installiert. die Vorraussetzungen in der anleitung habe ich erfüllt, leider funktioniert das ganze nicht so wie es funktionieren sollte. Wenn in den SSL-Einstellungen für OWA "Clientzertifikate aktzeptieren" eingestellt ist, kann ein Client ohne das Clientzertifikat auf OWA zugreiffen. Installiere ich das Clientzertifikat auf dem Client, kommt dann eine Meldung über den IE: "Die Website, die sie ansehen möchten, erfodert eine indentifikation. Wählen Sie ein zertifikat aus." Darin kann ich das Clientzertifikat sehen, bestätige ich diese Meldung, komme ich auf OWA. Setzte ich in den SSL Einstellungen für OWA "Clientzertifikate anfordern", wird er Zugriff ohne Clientzertifikat mit der Meldung 403 verweigert. Habe ich dasClientzertifikat installiert, bekomme ich wieder diese Meldung mit der Auswahl eines Zertifikates. Bestätige ich diese kann ich auf OWA zugreiffen. In einem Artikel: IIS and client certificates ... von einem MS Mitarbeiter habe ich folgendes rausgelesen: "For a certificate to work properly, certain requirements must be met on both the server and the client. Each side has a list of root certification authorities that they trust. When the server prompts for a certificate, the request includes a list of the certification authorities that the server trusts. The client then compares this list to the list of certification authorities that the client trusts and creates a list of the ones that match. Then, the client compares that list to the client certificates it has and determines which, if any, certificates have been issued by certification authorities that both the client and the server trust. Depending on the client, you may see a list of certificates to choose from if there is more than one certification authority that both sides trust. The client then sends the public portion of the certificate to the server. At this point, the server generally checks to make sure that the certificate is valid and, if no mapping is performed, the communications between the client and the server can continue." Mir geht es einfach darum, sobald ein Client über das Internet auf OWA zugreiffen will, sollte der IIS zuerst überprüfen ob der Client das passende Clientzertifikat hat. Ist das Clientzertiikat zum Zertifikat auf dem IIS passend, so soll der Client auf OWA Zugriff bekommen, damit der Benutzer sich schließlich an OWA anmelden kann. Mehr will ich auch eigentlich nicht. Leider finde ich niergendswo Informationen darüber, wie ichdas realisieren kann. Ich habe auch versucht das Clientzertifikat ohne privaten Schlüssel über die MMC in die Vertrauenwürdigen Zertifizierungsstellen aufzunehmen, leider ohne erfolg, gleiche Problematik wie o. genannt besteth immer. Ist so eine Realisierung überhaupt ohne 1:1 bzw. n:1 Mapping möglich? Ich sollte morgen zu dem Problem eine Lösung haben, ich hoffe es kann mir jemand auf dei Schnelle helfen. Viele Grüße aGenToFdEv!L

Hallo zusammen, das Problem habe ich mittlerweile anhand folgender doku Sicherheitswarnung beim Starten von Outlook 2007 und Verbinden mit einem Postfach auf einem Server mit Exchange Server 2007 oder 2010: "Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Si behoben. Jetzt habe ich fogendes Problem, beim Download vom Offline Adressbuch bekomme ich folgende Fehlermeldung: Fehler (0x80190194) beim Ausführen der Aufgabe "E-Mail-Adresse": "Fehler beim Ausführen der Operation." Weiss jemand woran das liegen kann?

Hallo Heuchler, danke für deine Info. Diese Funktionen über die Shell sind mir bekannt. Leider habe ich nur ein Single Name Zertifikat von Comodo. Dacher sollte das Problem umgangen werden, funktioniert aber nicht wie oben schon beschrieben. Vielen Dank für eure Hilfe. Gruß

Hallo Allerseits, danke für eure Antworten. also ich habe folgendes durchgelsesen: MSXFAQ.DE - Autodiscover Der Teil ab DNS wird für mich interessant, Office ist bei mir auf SP2, sprich müsste eine Umleitung funktionieren. Dies geschiet aber nicht. Ich muss die Zertifikats fehlermeldung immer noch 2 mal mit ja bestätigen. An was könnte es sonst liegen? nslookup zeigt mir auch die richtigen werte. Gruß Alexander

Hallo Path, vielen Dank für deine Antwort, das Problem ist einfach nur das, wenn ich jetzt ein UCC oder Multidomain Zertifikat nehme, kostet das mehr, der Kunde wird damit nicht einverstanden sein, laut der Anleitung (s. 1. Beitrag) müsst das Problem umgangen werden können, leider funktioniert das bei mir nicht. Klar das neue Zertifikat mit öffentlicher Adresse + FQDN, die schnellste und teuerste Lösung wäre, aber irgendwie muss das auch anders machbar sein. Viele Grüße aGenT

Hallo zusammen, ja ich weiss das es bzgl. dieses Problem viele Beiträge gibt, aber die konnten mir nicht weiter helfen. ich habe folgende Anleitung benutzt um mein Problem zu beheben: How-To: Exchange Server 2007 Web Services mit einem Single Name Certificate | Server Talk was aber nichts gebracht hat. ich habe ein Single-Name-Certificate von Comodo auf dem Server installiert und nur dem IIS Dienst zugewiesen. OWA und Active Sync funktionieren von außen einwandfrei. Das Problem jetzt aber, sobald ein User Outlook aufmacht bekommt er eine Fehlermeldung mit: Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website nicht überrein. Was auch verständlich ist. zur Info mein DNS-Eintrag sieht folgendermaßen aus (s. Anhang) Die External URLs für OWA/EAS/OAB habe ich für die internen URLS eingetragen, leider kommt die Fehlermeldung sobald ich outlook von einem Benutzer aus öffen immer 2 mal, die ich mit Ja bestätigen muss. Weiss jemand vielleicht weiter?

Wer sagt den dass ein Azubi an das laufende System ran darf? Ich z.B. habe eine Testumgebung installiert, die den Kundenservern ähnelt, damit nichts "geschrottet" werden kann. Wenn die Konfiguration/Installation in der Testumgebung erfolgreich war und von einem "schon" ausgebildeten Techniker überprüft wurde, darf der Azubi, mit ständiger Uberwachung des Technikers, an das Echtsystem ran.

Ihr seid ja lustig :)

Nein da kann ich dir leider keinen tip geben, ich muss auf den Exchange Server 2007 von extern zugreiffen können, Kunde(GF) will ortsunabhängig auf seine Mails, Kalenderdaten zugreiffen können, da reicht halt kein selbst erstelltes Zertifikat.

Hallo Lampe2010, ich bin froh, dass du das hier gepostet hast, ich bin nämlich genau and der gleichen sache beschäftigt wie du, nur das ich kein Windows Mobile Gerät zur Verfügung habe, sondern ein Iphone. Ich bin zwar im zweiten Lehrjahr aber auch schon im letzten, habe eine Verkürzung von 12 Monaten bekommen. Du kannst bei Verisign ein Testzertifikat von 14 Tagen anforndern, hier ist die E-Mail Adresse vom technischen Support: techsupport[at]verisign.de die könnten dir bestimmt auch weiter helfen. Hier eine Anleitung zur Erzeugung eines Certificate Signing Request (CSR): SSL-Zertifikate – Support - Erzeugen einer Certificate Signing Request (CSR) - csr generation - VeriSign Deutschland GmbH ich bin zwar noch nicht so weit wie du, da mein Testserver ein thermisches Problem hat, warte aber momentan auf die Ersatzteile. Meiner Meinung nach ist das ein komplexes Thema mit Zertifkaten, wenn man noch keine Erfahrungen damit gemacht hat. Gruß

Hallo zusammen, das Problem besteht immer noch, hier sind noch genauere Infos zur meiner Umgebung: Ich habe einen Terminalserver(Windows Server 2008 Std., 64Bit konfiguriert als MS Terminalserver. Auf dem Terminalserver ist Outlook 2003(11.8217.8221) SP3 installiert. Outlook arbeitet zusammen mit einem Exchange 2003, der auf dem Domänencontroller(Windows Server 2003 Std. installiert ist. Es funktioniert soweit alles - ausser, der bearbeitende Zugriff auf Kalendereinträge. Wenn ein Benutzer(oder auch der Administrator) Outlook startet und z.B. rechte Maustaste auf ein Kalenderelement macht, bleibt das Outllok-Fenster stehen, aktualisiert die Anzeige nicht mehr, Der entsprechende Benutzerbezogene Prozess(outlook.exe) hat eine permanente CPU-Last zwischen 3-4%(als Administrator) oder 12-14%(als Benutzer) Als AddOn ist nur die Ferrari Clienterweiterung bzgl. Fax integriert. Das AddOn kann ich aber, denke ich zumindest, ausschließen, da ich Outlook auch schon mit diversen Parametern( /safe /safe:3) gestartet habe und das Problem immer noch auftritt. ich hoffe jemand kann mir weiterhelfen.

Hallo zusammen, weiss sonst keiner eine Lösung?

Hallo, der Cached Modus läuft zwar aber nicht bei allen Benutzern, liegt aber denke ich nicht daran, da es das Problem bei jedem Benutzer zutrifft.

Hallo XP-Fan, habe das jetzt über OWA getestet, hier besteht kein Problem. Also muss das Problem am Outlook liegen, bloß komm ich nicht dahinter, wie ich das beheben kann.