Zertifizierung der TLD notwendig beim Betrieb von Exchange 2016

1. offizieller Beitrag

    Hallo zusammen, ich habe folgende Frage:


    ich habe einen Exchange 2016 (noch relativ neu auf dem Gebiet, da vorher ein SBS 2011 betrieben wurde)
    in Betrieb genommen und momentan läuft alles problemlos. OWA funktioniert auch.
    Ich möchte nun per IOS via Active Sync auf die Postfächer zugreifen.


    Leider bekomme ich sowohl unter IOS aber auch Android (jeweils mit dem Standard Mail Client) die Meldung, das es ein Problem mit dem Zertifikat gibt.


    Zur INfo, ich habe ein offizielles SAN zertifikat für outlook.meinedomain.de und autodiscover.meinedomain.de gekauft und eingebunden.


    Nur und das ist de Frage, die Fehlermeldung bezieht sich auf meine TLD -> meinedomain.de.
    Dieses Zertifikat ist wirklich abgelaufen und somit nicht mehr gültig.


    Also: Muss die TLD auch offiziell signiert werden, damit der Zugriff funktioniert?
    Da ich sonst die Domain nicht offiziell im Netz benötige (lediglich Outlook / Exchange) will ich nicht Geld
    ausgeben, wenn das Problem evtl. wo anders liegen könnte.



    Danke und Grüße

    • Offizieller Beitrag

    Moin,


    nur um das klarzustellen:
    host.yyyy.xxxxx.de


    Topleveldomain -> DE
    Secondlevel Domain -> xxxxx
    Thirdlevel -> yyyyy


    Für eine TLD wirst Du wohl nie ein Zertifikat bekommen. ;)


    Aber nein: Auch Deine SLD muss für EAS kein eigenes Zertifikat haben.


    Ich vermute, dass Du die Active Sync URLs für intern/extern nicht korrekt eingestellt hast. Die müsste auch auf "outlook.xxxx" eingestellt sein.

    Robert,
    lach, Du hast natürlich Recht. Ich meine natürlich nicht die TLD, sondern secondlevel,
    also die, die "über" outlook.meinedomain.de liegen.


    Ich habe deswegen gestern noch einmal in der exchange Admin konsole nachgesehen und da ist
    sowohl für inten als auch für extern die gleiche URL hinterlegt.
    (Name der internen Domäne / AD ist gleich der externen Domäne)


    ich prüfe das aber noch einmal. Was mich wundert ist, das z.B. bei Android die Fehlermeldung
    der nicht vertraenswürden / abgelaufenen Domain angezeigt wird.


    Du vermutest also, das dies deshalb kommt, da die url falsch eingestellt sind / könnte?!



    Grüße

    • Offizieller Beitrag
    Zitat von Nacfrager

    sowohl für inten als auch für extern die gleiche URL hinterlegt.

    Die gleiche URL für intern/extern ist Best-Practise, sagt aber nichts darüber aus, ob es auch die korrekt URL ist.


    In Deinem Fall müsste die mit "outlook.xxxxx" drin stehen.



    Zitat von Nacfrager

    (Name der internen Domäne / AD ist gleich der externen Domäne)

    Das ist zwar unglücklich und macht einigen zusätzlich Aufwand, ist aber nun leider nicht mehr zu ändern.

    Zitat von Nacfrager

    der nicht vertraenswürden / abgelaufenen Domain angezeigt wird

    Na ja, wenn Da die falsche URL drin steht, ruft der Client die falsche URL auf und hat dann auch ein anderes Zertifikat.

    Also, das Zertifikat ist beim Provider "beauftragt" worden. In diesem Falle Host Europe. (es war mal eine Umsonstaktion, daher habe ich es
    damals bestellt)
    Aktiv habe ich es nicht im Exchange eingenbunden. Nur die SAN Zertifikate.



    Ich habe gestern nachgesehen ob url für "activesync.xxxx.de" sowohl inten und als auch extern vorhanden ist.
    Bezüglich "outlook.xxxx.de werde ich ich ncoh einmal nachsehen.





    Grüße

    DAS ist die Frage, wie kann ich es herausfinden?


    Ich vermute mal, ja, es muss irgendwie so sein, sonst würde der client / (hier android) die Fehermeldung bzw. das (abgelaufene) Zertifikat nicht anzeigen.


    grübel...


    Danke für Eure Mühen, die ihr tagtäglich mit uns habt :)