Zertifikatsmismatch trotz konfiguriertem Split DNS, SRV-Eintrag usw.

Guten Tag zusammen!

Ich setze einen Exchange 2010 ein - bisher mit selbstsigniertem Zertifikat, seit einigen Tagen aber mit einem gekauften Zertifikat.

Das Zertifikat ist ein wildcard-Zertifikat ausgestellt auf *.domain.de

Intern heißt unsere Domäne domain.local

Ich habe das gekaufte Zertifikat installiert und jetzt natürlich den Klassiker: Zugriff via OWA = keine Zertifikatswarnung mehr. Start von Outlook intern = Zertifikatswarnung, da der interne Name exchsrv.domain.local nicht zum wildcard-Zertifikat passt.

Zur Lösung habe ich die von MS und in vielen blogs emfohlenen Schritte umgesetzt:

1.: neue forward-Lookupzone im DNS angelegt "owa.domain.de" mit einem A-Record der auf die interne IP des Exchange CAS verweist.

Funktioniert auch: nslookup auf "owa.domain.de" wirft die interne IP aus. Reverser Lookup funktioniert ebenfalls

2.: SRV-Eintrag gesetzt

Es existiert ein SRV-Eintrag für _autodiscover._tcp.domain.local der auch korrekt auf die interne IP des CAS zeigt

3.: die relevanten URLs am Exchange-Server gesetzt:

Set-ClientAccessServer -Identity CAS_Name -AutodiscoverServiceInternalUri https://owa.domain.de/autodiscover/autodiscover.xml

Set-OABVirtualDirectory -Identity CAS_Name -InternalUrl https://owa.domain.de/oab

Set-WebServicesVirtualDirectory -Identity "CAS_Name\EWS (Default Web Site)" -InternalUrl https://owa.domain.de/ews/exchange.asmx

Set-ActiveSyncVirtualDirectory -Identity "CAS_Name\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl "https://owa.domain.de/Microsoft-Server-ActiveSync

Set-OWAVirtualDirectory -Identity "CAS_Name\owa (Default Web Site)" -InternalUrl https://owa.domain.de/owa

Set-ECPVirtualDirectory -Identity "CAS_Name\ecp (Default Web Site)" -InternalUrl https://owa.domain.de/ecp

Ich habe den AppPool recycled, den IIS resettet, letztlich sogar den Server neu gestartet... und dennoch kriegen die internen User*innen beim Start von Outlook den alten Klassiker:

[Blockierte Grafik: https://dl.dropboxusercontent.com/u/100318/certmismatch.png]

So, und hier komm ich jetzt doch langsam ins Schlingern... woran liegt das? Am Wildcard-Zertifikat? Aber ein solches wird doch durchaus empfohlen. Hab ich was übersehen? Was falsch konfiguriert?

Würde mich über Tips und Hilfe sehr freuen, vielen Dank vorab!

Eigentlich gestern, wobei ich's heute nochmal gemacht habe

Und ja, Autokonf zeigt, so wie ich das verstehe, dass er durchaus die richtige Adresse aufzurufen versucht und dann mit nem Error 500 abgekanzelt wird.

[Blockierte Grafik: https://dl.dropboxusercontent.com/u/100318/emailautoconf.png]

Das weist doch eigentlich auch darauf hin, dass er irgendwie mit dem Zertifikat nörgelt, oder?

Nen web-proxy haben wir zwar, aber ein tracert auf owa.domain.de fluppscht direkt zum Exchange-Server - und egal ob ich den Proxy auf meinem Rechner ein oder ausschalte: bei aufruf bspw. von https://owa.domain.de/autodiscover/autodiscover.xml kriege ich die .xml mit dem erwarteten Fehler 600 angezeigt, ohne Zertifikatswarnung...

[Blockierte Grafik: https://dl.dropboxusercontent.com/u/100318/autodiscover.png]

Also das mit "warte mal nen Tag" scheint ein Treffer zu sein... was soll ich sagen: der Großteil unserer User*innen kriegt die Zertifikatswarnung jetzt auch schon nicht mehr... ich schau mir das morgen Vormittag also nochmal in Ruhe an.

Muss man jetzt nicht verstehen, oder?