2010: CA-Server nutzt falsches Zertifikat

[S.R. 14]

Hallo,

 

ich habe hier ein Exchange-2010-System mit zwei CA-Servern: CA01 und CA02. Diese sind als Client-Access-Array zusammengefasst.

 

Auf beiden Servern wurde das bei der Installation automatisch erstellte Zertifikat "CA0x.domain.local" gelöscht und durch ein öffentliches "cas.exchange.unsere-domain.de" ersetzt und dieses auch entsprechend hinterlegt.

 

Wenn ich mich per Outlook via rpc over https verbinde, klappt dies in 99% aller Fälle fehlerfrei; d.h. Outlook erhält das öffentliche Zertifikat und kann dies auch fehlerfrei validieren. Allerdings passiert es hin und wieder, dass ohne erkennbaren Grund auf einmal ein Zertifikatsfehler erscheint und Outlook meckert, dass es das Zertifikat "ca0x.domain.local" nicht validieren kann.

 

Mir ist nicht klar, wo die CA-Server dieses Zertifikat her haben und warum sie dieses dann manchmal auch an Outlook übermitteln. Leider weiß ich auch nicht, wie ich den Fehler reproduzieren kann.

 

Habt ihr eine Idee, woran dies liegen könnte bzw. wie ich dem Fehler auf die Schliche kommen kann?

 

Bin für jeden Tipp dankbar!!!

 

Gruß

 

Stefan

[RobertWi 81]

Moin,

 

wie lautete denn der Zertifikatsfehler genau? Ist eventuell das Zertifikat richtig und nur die URL falsch?

[S.R. 14]

Hallo,

 

vielen Dank für deine Mühen. Der Exchange-Server ist über die URL "cas.exchange-unsere-domain.com" von außen erreichbar. Auf diese URL ist auch der Zertifikat von VeriSign ausgestellt.

 

In Outlook bekomme ich hin und wieder diese Fehlermeldung (bisher leider noch nicht auf den Button "Zertifikat" gedrückt - *schande über mich*)

 

 

Sehe ich es richtig, dass sich Outlook mit ca01.exchange-unsere-domain.com verbinden möchte bzw. verbunden hat? Diese URL gibt es auf den öffentlich eingetragenen DNS-Servern gar nicht - daher kann dies doch eigentlich nicht möglich sein... oder interpretiere ich da etwas falsch?

 

Habe in der MMC unter "Zertifikate vom Computerkonto" nochmals geschaut - dort ist nur das eine von "cas.exchange-unsere-domain.com" eingetragen und auch die Exchange-Management-Console gibt bei "Get-ExchangeCertificate" nur das eine Zertifikat aus.

 

Dankend

 

Stefan

[RobertWi 81]

Moin,

 

ok, das deutet dan daraufhin, dass das korrekte Zertifikat ausgeliefert wird, aber über die falsche URL.

 

Also URLs prüfen und notfalls korrigieren:

 

Get-OwaVirtualDirectory | fl *url*
Get-EcpVirtualDirectory | fl *url*
Get-ActiveSyncVirtualDirectory | fl *url*
Get-OabVirtualDirectory | fl *url*
Get-WebServicesVirtualDirectory | fl *url*
Get-ClientAccessServer | fl *uri*

[S.R. 14]

Hallo,

 

vielen Dank für deine Rückmeldung. Habe die Befehle (bis auf den letzten) ausgeführt und dabei festgestellt, dass die als "ExternalUrl" immer die korrekte URL "https://cas.unsere-domain.com/***" angegeben ist und bei "InternalUrl" die von außen nicht erreichbaren "https://ca0x.unsere-domain.com/***".

 

Kann es sein, dass Exchange nicht rafft, ob eine Verbindung von intern bzw. von extern kommt? Spricht etwas dagegen, auch die internen URLs auf die externe Adresse zu setzen?

 

Dankend

 

Stefan

[RobertWi 81]

Moin,

 

und was war beim letzten Befehl? Autodiscover ist auch wichtig.

 

Grundsätzlich spricht nichts dagegen, interne und externe URL identisch zu habe - im Gegenteil empfiehlt MSFT sogar diese SplitDNS-Konfig.

 

Nur der Name des CAS-Arrays sollte ein anderer sein, aus bestimmten technischen Gründen.

[S.R. 14]

Hallo,

 

der letzte Befehl war aber

 

Get-ClientAccessServer | fl *uri*

 

und da gibt es keine URL als Parameter :-)

 

Es spricht nix dagegen, intern=extern, aber MS empfiehlt SplitDNS - hmmm *grübel*. Das raffe ich jetzt nicht... Bedeutet SplitDNS nicht, dass intern<>extern???

 

Via "Get-ClientAccessArray" habe ich folgenden Eintrag erhalten:

Name: cas

Size: RZ01

Fqdn: cas.unsere-domain.com

Members: {a01, ca02}

=> Verstehe ich deine Aussage richtig, dass das Attribut Name <> Fqdn sein sollte, oder was meintest du mit den technischen Gründen?

 

Dankend

 

Stefan

[RobertWi 81]

der letzte Befehl war aber

 

Get-ClientAccessServer | fl *uri*

 

und da gibt es keine URL als Parameter :-)

 

uri mit i wie ida), nicht url mit l (wie ludwig). C&P meines Befehl hätte gereicht, dann wäre das richtig in der Shell gelandet.

 

Oder nimmt "Get-ClientAccessServer | fl AutoDiscoverServiceInternalUri" (i wie ida!), wenn Du das lieber magst.

 

 

Es spricht nix dagegen, intern=extern, aber MS empfiehlt SplitDNS - hmmm *grübel*. Das raffe ich jetzt nicht... Bedeutet SplitDNS nicht, dass intern<>extern???

 

Nein. SplitDNS bedeutet, dass Du für die gleiche Zone zwei unterschiedliche DNS-Server hast, die unterschiedliche Daten ausliefern. Die Zone selbst heißt aber gleich auf beiden Servern, nur die Adressen, die geliefert werden unterscheiden sich.

 

Siehe auch hier:

MSXFAQ.DE - DNS

Split-horizon DNS - Wikipedia, the free encyclopedia

 

Via "Get-ClientAccessArray" habe ich folgenden Eintrag erhalten:

Name: cas

Size: RZ01

Fqdn: cas.unsere-domain.com

Members: {a01, ca02}

=> Verstehe ich deine Aussage richtig, dass das Attribut Name <> Fqdn sein sollte, oder was meintest du mit den technischen Gründen?

 

Nein, das meinte ich nicht.

 

Da hast einen FQDN für OWA, auf den auch die anderen HTTPS-Dienste laufen (OAB, EWS -> die ExternalURL von oben wären also alle identisch)

 

Beispiel owa.domain.de

 

Dann legst Du die Zone mit dem Eintrag nicht nur im externen DNS an, sondern auch im interen. Im internen DNS lieferst Du aber natürlich andere, interne IP-Adresse aus (OAB, EWS -> die InternalURL von oben wären also alle identisch und sie entsprechen auch den ExternalURL).

 

Nur für das CAS-Array benutzt Du einen anderen Namen, der kann auch rein intern sein.

 

Beispiel:

rpc.domain.local

 

Das ist der Exchange-Server, mit dem sich die Clients im internen Netz direkt verbinden. Da dies kein HTTPS ist, muss der Name auch nicht ins Zertifikat.

 

Eine URL für OWA, EAS, Outlook Anywhere ist also immer "owa.domain.de", Dein Exchangeserver-Name im Client aber "rpc.domain.local".

 

Ein Beispiel, wie das bei mir aussieht (2 Server, wobei "it.xxxxx.de" nur intern auflösbar ist):

 

[PS] C:\>Get-WebServicesVirtualDirectory | fl *url*

InternalNLBBypassUrl : https://sv01.it.xxxxx.de/ews/exchange.asmx
InternalUrl          : https://exchange.xxxxx.de/EWS/Exchange.asmx
ExternalUrl          : https://exchange.xxxxx.de/ews/exchange.asmx

InternalNLBBypassUrl : https://sv02.it.xxxxx.de/ews/exchange.asmx
InternalUrl          : https://exchange.xxxxx.de/EWS/Exchange.asmx
ExternalUrl          : https://exchange.xxxxx.de/ews/exchange.asmx


[PS] C:\>Get-ClientAccessServer | fl *uri*

AutoDiscoverServiceInternalUri : https://sv01.it.xxxxx.de/Autodiscover/Autodiscover.xml
AutoDiscoverServiceInternalUri : https://sv02.it.xxxxx.de/Autodiscover/Autodiscover.xml

[PS] C:\>Get-ClientAccessArray | fl Name,FQDN

Name : exchange
Fqdn : outlook.it.xxxxx.de

[S.R. 14]

Hi,

 

wie man sieht, bin ich kein C&P-Fan; tippe freudig und lerne dabei - finde das sinnvoller :-) der i <> l Patzer geht natürlich auf mich *grins*

 

SplitDNS verwende ich dann schon die ganze Zeit, ohne dass ich es so genannt habe. Entsprechend habe ich jetzt die InternalURL auch gleich der ExternalURL setzen können, ohne andere Anpassungen vornehmen zu müssen.

 

Mit dem Cas-Array-Name muss ich jetzt noch raffen - der nächste Kaffee muss her :-)

 

Vielen Dank für Deine Mühen! Wirst sicher noch von mir hören :-)

 

Gruß

 

Stefan

[RobertWi 81]

Mit dem Cas-Array-Name muss ich jetzt noch raffen - der nächste Kaffee muss her :-)

 

Hier noch was zu dem Thema:

MSXFAQ.DE - CASArray

 

Vielen Dank für Deine Mühen! Wirst sicher noch von mir hören :-)

 

Kein Problem. :)