Vinc211

Okay, hät ja sein können das MS so nett ist und die als Offline Paket bereitstellt. Wenn Sie schon sagen welche Root Certs sie aktuell im "Programm" haben, wäre ein offline updater ja ein einfaches gewesen, aber auch entgegen der MS Politik (always online und so =)

Danke soweit. Thema ist für mich gelöst.

Gerade eben schrieb NorbertFe:

Klar. Root Certificates per GPO an alle verteilen. :P Ist eben manuell.

Ja aber ich habe die Zertifikate ja gar nicht =D Kann ich die "Sammlung" irgendwo runterladen.

Verteilen wäre kein Problem.

vor 2 Minuten schrieb NorbertFe:

Ja. Das automatische Root Zertifikatsupdate gibts seit XP SP2 meine ich:

https://gpsearch.azurewebsites.net/Default.aspx?PolicyID=4716

 

 

Ah und da steht ja auch das die Windows Update Website angefragt wird. Das ist nicht machbar.

Weißt du ob es einen manuellen weg gibt?

vor 2 Minuten schrieb zahni:

Die Stammzertifikate werde schon seit Windows XP  automatisch  aktualisiert. Dort gab  es einen extra Dienst dafür. Bei Windows 10 kann man den nicht mehr abschalten (ich wüsste nicht wie). Abschalten per GPO geht aber sicher weiterhin. Das hat aber mit den WSUS-GPOs nichts zu tun. Wenn Zertifikate automatisch aktualisiert werden, wird ein Event der Quelle  CAPI2 protokolliert.

 

Naja hat schon mit der GPO zu tun, wenn ich den Servern und Clients im Netz untersage mit den Microsoft Diensten zu kommunizieren oder? Der Store etc. geht ja dann auch nicht.

Ansonsten ist nämlich ein Problem vorhanden, dass ich nicht erklären kann. Das wäre schlecht.

vor 14 Stunden schrieb zahni:

Hat das Gerät Interzugang? Windows lädt diese Root-Zertifikate automatisch herunter.

Internetzugang ist vorhanden, aber die Verbindung zu den Windows Diensten wird untersagt (GPO WSUS).

Werden diese Zertifikate also nur bei Bedarf runtergeladen?

Guten Tag,

bei einem unserer Windows Server 2012 R2 ist es vorgekommen das ich ein Programm nicht updaten konnte, da sich das Programm die entsprechenden Datein die es noch benötigt nicht per https ziehen konnte, da ein Root Zertfikat gefehlt hat.

Nachdem ich dann das entsprechende Zertfikat in die Vertrauenswürdigen Stammzertifikate importiert hatte ging alles wie geschmiert.

Ich habe dann bei MS nachgeschaut und das "Microsoft Trusted Root Certificate Program" gefunden und gesehen, dass das Zertifikat mit in den Participants steht. Generell ist die liste sehr lang: https://social.technet.microsoft.com/wiki/contents/articles/51151.microsoft-trusted-root-certificate-program-participants-as-of-january-30-2018.aspx

Doch sind bei weitem nicht alle drin. Sollte sowas nicht über Windows Update aktuell gehalten werden? Oder ist es normal das nicht alle Root Zertifikate die in der Liste aufgeführt sind in meinen Vertrauenswürdigen Stammzertifikaten zu finden sind?

Auch bei einem frischen Windows Server 2016 oder einem Windows 10 1709 finde ich das Zertifikat nicht obwohl es in der MS Liste steht. (Amazon Root CA 1)

vor 48 Minuten schrieb NorbertFe:

 Du kannst natürlich auch deinen Webserver korrekt konfigurieren. ;) Dann mußt du nix löschen.

ich weiß immernoch nicht was damit gemeint ist. um welchen webserver geht es? den bei meinem Provider? den vom Exchange?

Naja, das eigentliche PRoblem ist ja nicht vorhanden. Ich bin davon ausgegangen das die Angezeigte Meldung wichtig ist. Sie ist es ja allerdings nicht, da Sur eine Information für den nicht funktionierenden weg darstellt. Somit muss ich auf die GPO Lösung zurückgreifen oder den Eintrag für *.domain.de löschen. (Den Post wo du dies beschreibst, erschien mir allerdings erst jetzt).

owa.domain.tld ist die externe Adresse und ex1.domain.tld die interne Adresse. Je nachdem ob er Rechner extern oder intern ist verbindet er sich auch mit diesen Adressen.

Warum das Provider Zertifikat mir diese Probleme macht versteh ich nicht, ganz generell verstehe ich anscheinend nicht worum es in dieser Diskussion geht.

okay ich muss mich korrigieren.

internes netz und externes netz bekomen per https://owa.domain.tld/autodiscover/autodiscover.xml Den Fehler 600

https://domain.tld/autodiscover/autodiscover.xml leitet mich auf unserer Website https://www.domain.tld/autodiscover/autodiscover.xml und zeigt einen 404 nothing found here.

https://exchange.domain.tld/autodiscover/autodiscover.xml von intern ist ebenfalls auf Fehler 600

https://exchange.domain.tld/autodiscover/autodiscover.xml von extern zeigt mir: Diese Verbindung ist nicht sicher. SEC_ERROR_UNKNOWN_ISSUER und dann kann ich per Ausnahme das Zertifikat des Providers erlauben.

Und ja der DC ist SSL fähig. IIS ist installiert.

Okay ja mit dem SRV haste recht. hab ich schon wieder vergessen.

Ich bemerke das ich intern wie extern ein 600 kriege und kein 404. Heißt das Problem liegt am autodiscover?
Html 600 kann ich als Fehlercode auf anhieb nicht finden.

Es gab einen SRV Eintrag mit protokoll etc. Habe ihn gegen den A Record autodiscover.domain.tld ersetzt.

Wenn ich https://owa.domain.tld/autodiscover/autodiscover.xml aufrufe bekomme ich:

<Autodiscover><Response><Error Time="14:32:10.9370600" Id="2929850477"><ErrorCode>600</ErrorCode><Message>Ungültige Anforderung</Message><DebugData/></Error></Response></Autodiscover>

Also das was ich erwartet habe.

Siehe Post nr.1 es ist ein Zertifikat des Providers. Ich komme aber nicht dahinter warum.

Forward Proxies nicht vorhanden wenn man nicht im Netz ist.

Exchange 2016 CU7 (Fehlen also 2)

Die Reaktionszeit ist der Hammer =D

Problem tritt bei Outlook 2016 und Outlook 2013 auf. Frisch gepatched oder etwas älter ist dabei egal. Problem tritt direkt auf wenn ich z.b. von internem WLAN auf Gast-Wlan wechsel, oder generell mich nicht in der Domäne (Also Domänennetzwerk) befinde.

Reverse Proxy ist nicht vorhanden. Der Exchange hat ein wildcard Zertifikat für *.domain.tld. Im Outlookverbindungssatus sehe ich ja auch das die Verbindung zu der externen Adressse des Exchange hergestellt wird. Was mich wundert ist warum der interne/FQDN des Servers (Siehe erster Post) angezeigt wird.

Auf der Firewall ist ein NAT eingerichtet welches alle Anfragen von https an die externe Exchnageadresse an den Exchange intern weiterleitet.

Am 10.3.2017 um 15:03 schrieb NorbertFe:

Das ist das typische Providerproblem dort. ;) https://domain.tld/autodiscover/autodiscover.xml reagiert "falsch" und damit kommt dieser Fehler zustande. Das hat in dem Fall erstmal nichts mit dem eigenen Exchangezertifikat zu tun. Oftmals kann und sollte der DNS Domain Eintrag beim Provider einfach entfernt werden. Falls der unbedingt benötigt wird, sollte man dann dafür sorgen, dass er nicht auf ssl reagiert (zu bevorzugen), oder ein entsprechendes Zertifikat und Host beim Provider konfigurieren.

 

Die Reihenfolge des Autodiscoverprozesses ist hartcodiert:

1. SCP (bei Domänenmitglieder)

2. https://domain.tld/autodiscover/autodiscover.xml

3. https://autodiscover.domain.tld/autodiscover/autodiscover.xml

4. http://domain.tld/autodiscover/autodiscover.xml

5. http://autodiscover.domain.tld/autodiscover/autodiscover.xml

6. SRV Record im DNS

 

Du siehst also, dass dir der SRV Record nur bedingt hilft in deinem Fall.

 

Bye

Norbert

Kannst du "Oftmals kann und sollte der DNS Domain Eintrag beim Provider einfach entfernt werden" nochmal erläutern. Habe die Änderungen gemacht und den SRV Eintrag beim Provider gelöscht und nur autodiscover.domain.tld hinzugefügt bekomme das Problem aber weiterhin. Thema ist zwar schon ein wenig älter, aber die "Probleme" häufen sich. Bei manchen kommt die Abfrage sehr oft hintereinander und man kann eigtl nicht arbeiten.

Am 13.4.2018 um 17:37 schrieb Nobbyaushb:

Das meinte ich nicht - was ist die Quelle?

 

Volumenlizenz, Einzelhandel oder Click-To-Run aus O365?

Achso. Microsoft Silver Partner Lizenz

Am 13.4.2018 um 17:37 schrieb Nobbyaushb:

vor 30 Minuten schrieb Nobbyaushb:

Moin,

wich wundert gerade die Version, ich habe hier ein voll gepachtes W10 mit Office 2016 aus dem VL, dort habe ich eine 16.0.4639.1000

 

Was für ein Office ist installiert?

Ein Office 2016 Professional Plus 32bit

Wir nutzen Dynamics CRM als Add-In in Outlook 2016 um Emails nachzuverfolgen und auf das CRM zuzugreiffen.

Leider haben wir einen Client (Frisch installiert und geupdated) wo das CRM Add-In abstürze des Outlook verursacht. Reinstallieren und reperaturen haben nichts gebracht.

Hat jemand vllt eine Idee?

Application Error aus der Ereignisanzeige
Name der fehlerhaften Anwendung: OUTLOOK.EXE, Version: 16.0.4666.1000, Zeitstempel: 0x5a83689d
Name des fehlerhaften Moduls: Microsoft.Crm.Application.Outlook.Components.Platform.ni.dll, Version: 8.2.2.112, Zeitstempel: 0x59dea195
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0079ec4d
ID des fehlerhaften Prozesses: 0x1944
Startzeit der fehlerhaften Anwendung: 0x01d3d2f95b9f9e44
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Microsoft Office\Office16\OUTLOOK.EXE
Pfad des fehlerhaften Moduls: C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.C7a116073#\dc7623ca7a8a015fcb1706d8e482ffc5\Microsoft.Crm.Application.Outlook.Components.Platform.ni.dll
Berichtskennung: b8ae8b30-61b5-4ff5-baca-af881a9d2a64
Vollständiger Name des fehlerhaften Pakets:
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

MSCRMTracing aus Ereignisanzeige
Invalid Trace Directory. Additional Info:[ Invalid Trace Directory (Reporting Process:Trace Diretory is Null. TraceSettings: {Filename:  ,FileCountSuffix:1 ,TraceFileSize:10485760 ,TraceDirectory:C:\Users\Testi.test\AppData\Local\Microsoft\MSCRM\Traces ,TracingCallStack:No ,IsTracingOff:Unset ,LoadState:LoadSuccessfulUnreported ,RefreshTraceInt:-1 ,SiteWideRefreshTraceInt:-1 ,RegistryRefreshTraceInt:-1 ,Precedence:Default} ] , AppDomain:OUTLOOK)

Okay also gibt es keine Möglichkeit mit einem Office 365 Client sich auf ein Exchange 2016 Konto zu verbinden.

vor 6 Minuten schrieb Dukel:

https://technet.microsoft.com/en-us/library/jj150478(v=exchg.150).aspx

https://www.msxfaq.de/skype_for_business/exchangeum/index.htm

https://support.office.com/de-de/article/einführung-in-microsoft-exchange-unified-messaging-df4e7c6e-ecde-480a-bc0a-8eb44ac73bf2

 

ok dasist nicht das richtige. Das Auto hat Office 365 und damit soll auf unserer Exchange zugegriffen werden. Da fehlt mir die Information was ich zusätzlich einstellen muss.

Müssen da neue Ports freigeschaltet werden? Androind Handys und Apple etc verbinden sich nämlich ohne Probleme mit dem Exchange, aber über Office 365 hb ich das noch nicht gemacht.

vor 2 Minuten schrieb Dukel:

Das ist eine Funktion von der Unifies Messaging Rolle. Diese gibt es bei O365 kann man aber auch ins On Premises Exchange installieren und konfigurieren.

Okay ich verstehe so halb =D

Heißt ich müsste etwas an der KOnfiguration des Exchange ändern oder etwas zusätzlich installieren? Als zusätzliche exe oder ist das irgendwo als Feature im Exchange mit drin.

Guten Tag,

wir haben Exchange 2016 und Outlook 2016 im Einsatz und das läuft soweit ganz gut. Owa funktioniert ebenfalls.

Ein Kollege hat nun einen neuen Wagen bekommen ( BMW irgendwas ) der sich mit Office 365 verbinden kann und dann die Emails vorliest.

Ist es möglich das ich den Exchange so einrichte dass sich der Wagen mit unserem Server verbindet. Aktuell bin ich ratlos wie genau Office 365 funktioniert. Für mich war Office 365 immer ein externer Dienst und nicht vereinbar mit internen Strukturen.

Wie gut das ich noch nicht gekau...ach mist =D

vor 11 Minuten schrieb NorbertFe:

Da wirst du wahrscheinlich eine Ebene dazwischen brauchen, die sowas leistet. AFAIK kann bspw. Datacore dazu genutzt werden. Gibt aber sicher noch andere. Ich vermute aber, dass du sicher sinnvoller fährst, wenn du mit iSCSI arbeitest, bis du ein "richtiges FC SAN" bereitstellen kannst.

Meinst du Datacore SANsymphony? Heißt also ich kann mit Windows und Fibre Channel zusammen nichts anfangen ohne eine SAN oder ein teures Zusatzprodukt?