Zertifikatfehler bei externer OU Anbindung

  • Hallo in die Runde,


    Vorabinfo: "bin der, der bisher immer nur mitgelesen hat" - aber jetzt nicht mehr weiter weiß ;)


    Szenario: Exchange 2013, Outlook 2013/2016 auf externen Arbeitsplatz.
    Sobald ich am externen Client Outlook einrichte - kommen bei mir zwei Fehlermeldungen betr. Zertifikaten - im Zertifikat (das übermittelt wird) wird jedoch eine komplett andere Domäne angegeben, die mit unserer Organisation mal überhaupt nichts zu tun hat.


    Beim ersten Starten kommt zuerst folgende Meldung
    (server.internedomäne.de -> ist unsere und stimmt)
    [Blockierte Grafik: http://projekt.liveserv.de/images/exc_fehler_01.png]
    Info zum Bild: server.internedomäne.de -> ist unsere und stimmt


    nach der Bestätigung folgt
    [Blockierte Grafik: http://projekt.liveserv.de/images/exc_fehler_02.png]
    Info zum Bild: auch hier stimmt server.internedomäne.de in der Meldung - jedoch im Zertifikat der Aussteller nicht


    Die Domäne http://www.visitenkarten.de gehört nicht zu uns - und ich kann mir auch nicht erklären wo dieses Zertifikat herkommt.


    Im Exchange selbst (EAC) sind bei mir fünf Zertifikate hinterlegt und in keinem ist der Eintrag dieser ominösen Domäne hinterlegt
    [Blockierte Grafik: http://projekt.liveserv.de/images/exc_zertifikate_01.png]


    Outlook lässt sich zwar dann konfigurieren und funktioniert auch - jedoch bei jedem NEUSTART von OU poppen die Fehler natürlich wieder auf - mal ganz davon abgesehen, dass es nicht schön ist und ich diesen Fehler gerne weg hätte. Leider fällt mir nichts mehr ein, wo das DING noch herkommen könnte - (Selbst beim Hoster ist nichts hinterlegt) vielleicht übersehe ich auch noch was?!?!


    Evtl. fällt Euch sofort was ein - mein Latein ist am ENDE :(


    Besten Dank im voraus.
    Gruß aus dem "wilden Süden"
    Swen :)

  • Guten Morgen Norbert,
    vielen Dank für Deine Antwort...


    Ok, über nslookup von "extern" auf meinedomain.tld (liegt unser WEB) kommt die IP des Webservers, bei autodiscover.meinedomain.tld kommt die feste IP am Anschluss.
    Soweit sollte das ja auch stimmen. (?!?)

    • Offizieller Beitrag

    Moin,


    laut der Fehlermeldung wird das Zeritifkat für Outlook Anywhere angemeckert.


    Auf welche URL ist Outlook Anywhere eingestellt? Der Name sollte dann auf die feste IP am Anschluss zeigen und muss mit im Zertifikat stecken.


    Am einfachsten ist es, wenn es die gleiche URL ist, die auch für OWA oder EAS benutzt wird.

    • Offizieller Beitrag

    Du solltest dir die Mühe machen und es mittels Split-DNS konfigurieren. Also interner und externer Name identisch und interne Namensauflösung liefert die interne IP und externe die externe IP. Das erleichtert dann sehr häufig das Troubleshooting. Hat jetzt nicht zwingend mit deinem Problem zu tun, sondern ist eher ein gutgemeinter Rat.

  • Hallo Norbert,
    ja, das hatte ich in den letzten Tagen mehrfach gelesen, und werde ich auch Umsetzen, wenn das andere Problem evtl. gelöst werden konnte. <- Danke.


    Hab jetzt mal den RCA drüber laufen lassen, evtl. wird hier jemand schlau daraus. (ich muß dazu sagen, dass den Exchange ein Dienstleister aufgesetzt hat, nicht ich selbst - allerdings ist mein Anspruch das selbst (natürlich mit Hilfe vom Netz und der Community) zu lösen - in kleinen mittelständischen Familienunternehmen muß zudem auch "gespart" werden ;))


    Hier das Ergebnis (externer Link)


    Danke

    • Offizieller Beitrag

    Naja ehrlich gesagt, hätte ich dem Dienstleister das vor die Füße gekippt und gesagt, das ist ein Mangel, stell das ab.
    Der Report zeigt im Endeffekt genau das, was ich vermutet habe. https://deinedomain.tld/autodiscover/autodiscover.xml liefert ein "falsches" Ergebnis zurück und dann bricht der Autodiscovervorgang normalerweise ab. Idealerweise sorgst du dafür, dass https://deinedomain.tld einfach nicht auf https oder auch überhaupt nicht erreichbar ist. Am Client könnte man die Reihenfolge der Autodiscover-Steps anpassen, aber das ist natürlich nur Gebastel. Ich würde den Domain-Record für deinedomain.tld einfach löschen, dann kann man eben nicht im Browser nur die Domain einklimpern, sondern muß zwingend www. davorschreiben. ;)


    Bye
    Norbert


    PS: selbstsignierte Zertifikate für Exchange sind genauso blöd, da solltest du die 100€ für 3 jahre einfach investieren, auch wenn bei kleinen mittelständischen Unternehmen gespart werden muß. Warum eigentlich dann immer so ein Gebastel, das deutlich mehr Zeit und Aufwand kostet? :/

  • Soweit so gut ;) - klingt logisch.


    Jetzt bitte nicht lachen, vielleicht bin ich da echt zu blöd für ;), aber im Konfig-Center von 1und1 (Performance M) kann ich zwar die DNS Einstellungen machen, jedoch nicht dafür sorgen, dass er nur auf www hört. Auf meinen (privaten - bei einem anderen Hoster) eigenen ist das kein Problem. Evtl. noch einen Tipp?!


    Nochmals Danke für Eure/Deine Hilfe.


    PS. das strebe ich auch an, hier endlich mal ein vernünftiges Zertifikat zu "organisieren" - sehe ich eigentlich auch so.