Zertifikatproblem SBS2008 und Outlook, unlösbar?

1. offizieller Beitrag

    Hallo zusammen,


    ich beschreibe mal kurz das Problem was wir hier nach einer Umstellung haben.


    Es wurde ein 2000er durch einen SB-Server 2008 ersetzt.
    Nichts wurde migriert, nur die Daten übernommen.


    Der Assistent für den Internetzugang wurde benutzt, später dann die Pop3 Konten erstellt.


    Nun öffnet sich an jedem Client wenn man Outlook öffnet die Fehlermeldung "Zertifikat hat anderen Namen als die Seite".
    Nicht nur einmal... sondern mehrfach.
    Einmal für remote.KUNDE.de und einmal für autodiscover.KUNDE.de.


    Genau wie in diesem Artikel in Szenario 1 beschrieben:


    http://blogs.technet.com/sbs/a…business-server-2008.aspx



    Wir haben folgendes gemacht:


    Den Internetadressen-Assistenten laufen lassen.
    Diesem haben wir die Domain remote.KUNDE.de geben lassen, was denke ich ein Fehler war.


    Der Kunde hat keine statische IP... http://www.KUNDE.de ist auf ihn registriert, jedoch nicht remote.KUNDE.de.


    Wenn man https://remote.KUNDE.de öffnen möchte, dann gelangt man zu der Seite des Hosters (Artfiles.de).


    Ich schätze daher kommen die Probleme, da in dem angeforderten Zertifikat auch der Aussteller: 'customer.artfiles.de' steht (siehe Screenshot)


    Wie kann ich nun weiter vorgehen? Mit dem Artikel komme ich leider nicht weiter... neues Revier für mich :-/


    Sollten noch Daten fehlen dann reiche ich diese natürlich nach.


    Würde mich freuen wenn jemand eine Lösung kennt...



    Vielen Dank im Voraus,


    Daniel

    • Offizieller Beitrag

    Hallo,


    dann wechsle mal ins Verzeichnis C:\windows\system32\drivers\etc


    dort findest Du die Datei HOSTS.


    Dann trage doch mal die feste IP des Kunden mit dem Hostnamen remote.kunde.de ein.


    Das ganze mal auf deiner Clientmaschine.


    Versuche das ganze mal mit OWA dann.


    https://remote.kunde.de/OWA
    Sollte es dann funktionieren, liegt es am DNS.


    Dann solltest Du bei dem Provider bei dem KUnde.de registriert ist, eine Subdomäne remote.kunde.de mit der festen IP des KUnden registrieren lassen.

    Hallo Jürgen,


    danke für die Antwort.


    Nicht dass wir uns nun falsch verstehen:


    Der Fernzugriff (OWA von extern) ist hier zur Zeit egal.


    Was hier das Problem ist:


    Wenn man mit dem Outlook Client EMails checken möchte, erscheint die Meldung mit dem Zertifikat, dass der Name nicht stimmt.
    Und das halt nicht nur einmal (man muss oft auf Abbrechen klicken).
    Das ist das primäre Problem.


    Der Mailabruf an sich funktioniert ja... auch wenn man die Fehlermeldung weg klickt kommen eMails rein.


    Der Client verwendet somit das Zertifikat des Providers (remote.kunde.de = Artfiles.de und nicht Kunde.de) für den Zugriff vom Client auf den Exchange.


    OWA hat nun erstmal nichts damit zu tun.
    Ich will nur diese Meldung weg haben... der Fernzugriff funktioniert auch per Dyndns (der Kunde hat keine statische IP des ISPs zugewiesen).


    Vielen Dank,


    Daenni

    • Offizieller Beitrag

    Hallo,


    hast Du denn ein gekauftes oder mit der Windows Zertifizierungsstelle erstelltes Zertifikat installiert?


    Denn wenn Du Outlook Anywhere einsetzen möchtest, dann benötigst Du entweder ein gekauftes oder selbsterstelltes Zertifikat.
    Beim selbsterstellten muß noch das dabei erstellte Root Zertifikat auf dem Client installiert werden.

    Hallo Jürgen,


    nun, OWA wird erstmal nicht verwendet. In der Firma gibt es jedoch ausschließlich Outlook 2007 CLients.


    Das Zertifikat wurde durch den Server erstellt (Beim Assistenten für Internet).
    Allerdings halt für remote.kunde.de, die ja nicht auf den Kunden registriert ist.


    Ich weiß echt nicht weiter.. dieses ist Neuland für mich.. sonst hat immer alles so toll mit dem SBS2003 funktioniert... :-/


    Dankeschön,


    Daniel

    Guten Morgen zusammen,


    nun, das mit dem zertifikat habe ich probiert, klappte aber nicht weil ich wohl zu Blöd dazu bin.
    Dann kam ich mittendrin mal auf die Idee "SSL für remote. autodiscover. im IIS deaktivieren"... okay, seitdem keine Fehlermeldung mehr... für intern sollte es sogar reichen.. aber..
    Problem: man kommt nicht mehr auf owa.
    Frage: Warum und wie beheben? Owa habe ich nicht angepackt im IIS.


    Ich denke ohne dass mir jemand unter die Arme greift bekomme ich den Mist nicht gebacken... und es gibt mittlerweile echt viele wie es scheint. :pint:


    Grüße und vielen Dank,


    Daniel

    Hallo Community,


    das könnt Ihr alles vergessen! Habe mir fast 3 Tage den Fuß ins Ohr gesucht und bin durch Zufall dann auf die Lösung gekommen!


    Das Problem ist das folgende:
    Da der Aufruf der Domain remote und autodiscover über ssl läuft, und die Abfrage ins Internet geht, bekommst Du vom Hoster deiner öffentlichen Domain die Antwort mit dem entsprechenden Zertifikat (bei Dir Daniel von artfiles.de).
    Das liegt daran, dass das Zertifikat von Artfiles auf die IP-Adresse läuft, auf der auch die Domain Deines Kunden liegt (Webserver)!


    Abhilfe:
    Der Hoster muss für die DNS-Abfrage der Domains remote.kunde.de und autodiscover.kunde.de eine Weiterleitung auf die feste IP des Kunden einrichten. Dann noch im Router eine Portweiterleitung des Ports 443 für SSL auf die interne IP des SBS-Servers und die Meldung ist weg.


    Alles andere hat bei mir auch nicht funktioniert!


    Ein Versuch ist es Wert,


    Gruß Matthias

    • Offizieller Beitrag

    Moin,


    ich krieg einen zu viel. Hätte der OP im ersten Thread nicht die Domänen-Namen verschleiert, wäre der DNS-Fehler vielleicht auch durch die anderen Poster hier bemerkt worden.


    :evil:


    Der Hoster muss keine Weiterleitung machen, ein einfacher A-Eintrag "autodiscover.xxxx" auf die IP des Kunden reicht.

    Dumdidum.. ja ich weiß.
    Funktioniert ja nun...


    Mit einem A-Eintrag wäre es leider nicht gegangen da der Kunde keine statische IP hat, oder? :-/


    Nun denn... abgeschlossen.