Jump to content

Altes selbstsigniertes Zertifikat


Recommended Posts

Hallo Zusammen,

 

wir haben von Ex2013 auf Ex2019 migriert. Trotz der Abschaltung des alten Servers, wird das alte selbstsignifizierte Zertifikat an manchen Clients beim starten von Outlook angezeigt bzw.  man könnte es wie gewohnt installieren. Das eigentliche und aktuelle selbstsignifizierte Exchange 2019 Zertifikat verteilen wir via GPO. Dort war das alte auch mit drin. Wurde aber schon länger aus der GPO entfernt. Komischerweise stellt der 2019ner das Zertfifikt für den 2013ner aus. In der ECP oder im Zertspeicher vom Exchange ist dort kein altes zu finden.

 

Kann das am DNS Alias liegen? Zwar haben wir viele Systeme die einen Mailclient haben geändert, aber um sicherzugehen diesen Eintrag gesetzt.

 

Hat jemand ein Idee wohetr das kommen könnte?

 

Danke

 

VG

Homer

Link to post

Ein Exchangeserver stellt kein Zertifikat aus. 

Habt ihr evtl. Proxy/Loadbalancer im Einsatz? 

Es ist nicht supported mit dem selfsigned Zertifikat produktiv zu arbeiten. Was spricht gegen ein öffentliches Zertifikat?

Steht der DNS-Alias im Zertifikat?

Link to post
Posted (edited)

Hallo tesso,

nein wir haben keinen Balancer oder Proxy. Austellen war vermutlich das falsche Wort. Dort haben wir es erstellt. Verteilt wird via GPO an die Clients. Aber das vorherige gibt es nicht mehr.

 

Wie auf dem Bild zu erkennen, sieht man den alten Server, aber ausgestellt für und vom neuen Server.

Wenn ich den Alias herausnehme, dann kappt Outlook die Verbindung. Die Virtuellen Verzechnisse wurde schon geprüft, die sind ok.

 

Ich hab jetzt mal auf unserem Terminalserver das Outlook Profil gelöscht. Zusätzlich unter Appdata unter Roaming und local die Outlokk Daten. Dann starte Outlook ohne die Zertifikatsabfrage.

Beende ich Outlook und rufe es erneut auf kommt die Meldung im Screenshot. Wartet man dann ca. 30 Minuten geht Outlook wieder.

 

Wenn es dann mal wieder geht, mache ich einen E-Mail Autokonfigtest. Dieser zeigt mir das die korrekten Urls verwendet werden bzw. man sieht das der Autodiscover laut Protokoll funktioniert.

 

Warum und woher kommt dieses Zertifikat?

Wieso klappt die Outlookverbindung Verbindung zum Exchange nicht nachdem ich den Alias vom alten, ausgeschalteten und deinstallierten Exchange rausnehme?
Die Zertifikatsmeldung kommt nicht mehr, wenn man das Profil neu anlegt + die Inhalte von AppData\Outlook lösche.

Geht dann aber nur so lange man Outlook nicht beendet. Man muss zwischen dem beenden min. 5 Minuten warten ohne das eine Meldung kommt wie im Screnshot zu sehen.

 

ex2013.JPG

Ex19.JPG

Unbenannddd.JPG

Edited by Homer1976
Link to post
Am 3.8.2021 um 11:59 schrieb tesso:

Es ist nicht supported mit dem selfsigned Zertifikat produktiv zu arbeiten. Was spricht gegen ein öffentliches Zertifikat?

Steht der DNS-Alias im Zertifikat?

 

Link to post
Am 3.8.2021 um 11:59 schrieb tesso:

Es ist nicht supported mit dem selfsigned Zertifikat produktiv zu arbeiten. 

Ist jetzt nicht ganz on topic, aber wo steht es? In der Supportability Matrix jedefalls nicht... Hybrid klappt damit natürlich nicht, aber hey, es gibt ein Leben diesseits der Cloud!

 

Zurück zum Thema: Ich würde mal vermuten, dass Du

  1. noch den Autodiscover SCP vom alten Exchange im AD stehen hast und 
  2. einen DNS Alias von exchange2013.firma.de auf exchange2019.firma.de im DNS.

Dann löst er aus dem Autodiscover den alten FQDN, kann ihn wg. des Alias aufrufen und kriegt dann das unpassende Zertifikat präsentiert.

 

Falls meine Annahmen zutreffen, lösche einfach die beiden o.a. Objekte, und alles wird gut :-) 

Link to post
Posted (edited)

Guten Morgen,

 

nachdem ich gestern mit AD Explorer nach alten verwaisten Einträgen erfolglos gesucht habe. Hab ich mal den Alias im DNS gelöscht. Outlook ging dann für einige  Minuten nicht. Es konnte auch kein jungfreuliches Outlook Profil erstellt werden. Ich dacht das kann nicht sein.  Ich wartete und habe einfach ausgesessen. Mir war bewusst das bestimmt gleich einige User anrufen. Aber ich hatte dann mit meiner Geduld Glück.

Nach ca. 15 Minuten hat sich dann Outlook gefangen.  Nun lies sich auch das neue Profil einrichten.

 

Ich habe das mit dem Alias gemacht, weil wird es damals mit dem alten 2007ner Exchange auch so gemacht hatten. Da kam es nicht zu den Problemen.

Liegt es vermutlich daran das Ex2007 noch mit RPC gewerkelt hatte?

 

Auf jedenfall Danke an euch

 

PS: Nice Cap @ cj_berlin! :-) grüß mir die Else

Edited by Homer1976
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...