Jump to content

Altes selbstsigniertes Zertifikat


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

wir haben von Ex2013 auf Ex2019 migriert. Trotz der Abschaltung des alten Servers, wird das alte selbstsignifizierte Zertifikat an manchen Clients beim starten von Outlook angezeigt bzw.  man könnte es wie gewohnt installieren. Das eigentliche und aktuelle selbstsignifizierte Exchange 2019 Zertifikat verteilen wir via GPO. Dort war das alte auch mit drin. Wurde aber schon länger aus der GPO entfernt. Komischerweise stellt der 2019ner das Zertfifikt für den 2013ner aus. In der ECP oder im Zertspeicher vom Exchange ist dort kein altes zu finden.

 

Kann das am DNS Alias liegen? Zwar haben wir viele Systeme die einen Mailclient haben geändert, aber um sicherzugehen diesen Eintrag gesetzt.

 

Hat jemand ein Idee wohetr das kommen könnte?

 

Danke

 

VG

Homer

Link zu diesem Kommentar

Hallo tesso,

nein wir haben keinen Balancer oder Proxy. Austellen war vermutlich das falsche Wort. Dort haben wir es erstellt. Verteilt wird via GPO an die Clients. Aber das vorherige gibt es nicht mehr.

 

Wie auf dem Bild zu erkennen, sieht man den alten Server, aber ausgestellt für und vom neuen Server.

Wenn ich den Alias herausnehme, dann kappt Outlook die Verbindung. Die Virtuellen Verzechnisse wurde schon geprüft, die sind ok.

 

Ich hab jetzt mal auf unserem Terminalserver das Outlook Profil gelöscht. Zusätzlich unter Appdata unter Roaming und local die Outlokk Daten. Dann starte Outlook ohne die Zertifikatsabfrage.

Beende ich Outlook und rufe es erneut auf kommt die Meldung im Screenshot. Wartet man dann ca. 30 Minuten geht Outlook wieder.

 

Wenn es dann mal wieder geht, mache ich einen E-Mail Autokonfigtest. Dieser zeigt mir das die korrekten Urls verwendet werden bzw. man sieht das der Autodiscover laut Protokoll funktioniert.

 

Warum und woher kommt dieses Zertifikat?

Wieso klappt die Outlookverbindung Verbindung zum Exchange nicht nachdem ich den Alias vom alten, ausgeschalteten und deinstallierten Exchange rausnehme?
Die Zertifikatsmeldung kommt nicht mehr, wenn man das Profil neu anlegt + die Inhalte von AppData\Outlook lösche.

Geht dann aber nur so lange man Outlook nicht beendet. Man muss zwischen dem beenden min. 5 Minuten warten ohne das eine Meldung kommt wie im Screnshot zu sehen.

 

ex2013.JPG

Ex19.JPG

Unbenannddd.JPG

bearbeitet von Homer1976
Link zu diesem Kommentar
Am 3.8.2021 um 11:59 schrieb tesso:

Es ist nicht supported mit dem selfsigned Zertifikat produktiv zu arbeiten. 

Ist jetzt nicht ganz on topic, aber wo steht es? In der Supportability Matrix jedefalls nicht... Hybrid klappt damit natürlich nicht, aber hey, es gibt ein Leben diesseits der Cloud!

 

Zurück zum Thema: Ich würde mal vermuten, dass Du

  1. noch den Autodiscover SCP vom alten Exchange im AD stehen hast und 
  2. einen DNS Alias von exchange2013.firma.de auf exchange2019.firma.de im DNS.

Dann löst er aus dem Autodiscover den alten FQDN, kann ihn wg. des Alias aufrufen und kriegt dann das unpassende Zertifikat präsentiert.

 

Falls meine Annahmen zutreffen, lösche einfach die beiden o.a. Objekte, und alles wird gut :-) 

Link zu diesem Kommentar

Guten Morgen,

 

nachdem ich gestern mit AD Explorer nach alten verwaisten Einträgen erfolglos gesucht habe. Hab ich mal den Alias im DNS gelöscht. Outlook ging dann für einige  Minuten nicht. Es konnte auch kein jungfreuliches Outlook Profil erstellt werden. Ich dacht das kann nicht sein.  Ich wartete und habe einfach ausgesessen. Mir war bewusst das bestimmt gleich einige User anrufen. Aber ich hatte dann mit meiner Geduld Glück.

Nach ca. 15 Minuten hat sich dann Outlook gefangen.  Nun lies sich auch das neue Profil einrichten.

 

Ich habe das mit dem Alias gemacht, weil wird es damals mit dem alten 2007ner Exchange auch so gemacht hatten. Da kam es nicht zu den Problemen.

Liegt es vermutlich daran das Ex2007 noch mit RPC gewerkelt hatte?

 

Auf jedenfall Danke an euch

 

PS: Nice Cap @ cj_berlin! :-) grüß mir die Else

bearbeitet von Homer1976
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...