Moin Jürgen,
ich habe jetzt nicht alle gelesen, aber passt Split-DNS und die eingestellten URL´s zum Zertifikat?
Moin Jürgen,
ich habe jetzt nicht alle gelesen, aber passt Split-DNS und die eingestellten URL´s zum Zertifikat?
Hallo Norbert,
um offen zu sein - ich verstehe die Frage leider nicht ganz.
Ich habe ein Zertifikat auf "mail.meinedomain.de" und als SAN "autodiscover.meinedomain.DE". Ich habe zwei DNS-Zonen; eine für mail.meinedomain.de und eine für autodiscover.meinedomain.de. In beiden Zonen einen HostA ohne Namen mit der IP-Adresse des EX-Servers im lokalen Netz.
Die URLs sind nach der Anleitung von Franky gesetzt - also PowerShell und Autodiscover wurden nicht verändert; alle anderen auf "mail.meinedomain.de" undzwar jeweils für intern und extern. Also im Detail:
ECP - https://mail.meinedomain.de/ecp (intern und extern)
EWS - https://mail.meinedomain.de/EWS/Exchange.asmx (intern und extern)
MSAS - https://mail.meinedomain.de/Microsoft-Server-ActiveSync (intern und extern)
OAB - https://mail.meinedomain.de/OAB (intern und extern)
OWA - https://mail.meinedomain.de/owa (intern und extern)
Es funktioniert von außen ohne irgendwelche Probleme! Keine Abfrage. Keine Zertifikatsmeldung. Alles bestens. Intern via Browser ebenfalls keinerlei Probleme. Keine Zertifikatsmeldung. Nach Aufbau der Verbindung wird das Zertifikat als vertrauenswürdig angezeigt.
Beantwortet das Deine Frage?
By the way: Einen kompletten Neustart des Servers habe ich nach Feierabend dann auch noch gemacht. iisreset vorher natürlich auch!
Gruß Jürgen
Noch ein paar Nachträge, was ich nun noch versucht habe:
1. Ich prüfe noch einmal den AutodiscoverService in der Exchange-Konsole mit "Get-ClientAccessServer –Identity MeinExHostName | fl AutodiscoverServiceInternalUri" und erhalte "AutodiscoverServiceInternalUri: https://autodiscover.meinedoma…discover/Autodiscover.xml" Das entspricht den Angaben im Zertifikat und den Erwartungen.
2. Ich prüfe als nächstes "Get-AutodiscoverVirtualDirectory | ft InternalUrl,ExternalUrl" Und erhalte … nichts. Also sowohl InternalUrl als auch External Url sind leer.
3. Ich prüfe "Get-WebServicesVirtualDirectory | ft InternalUrl,ExternalUrl". Hier erhalte ich zu meiner Überraschung: "InternalUrl: https://mail.meinedomain.de/EWS/Exchange.asmx" ExternalUrl: "https://mail.meinedomain.de/EWS/Exchange.asmx". Das passt!
4. Ich prüfe „Get-ActiveSyncVirtualDirectory | fl internalurl,externalurl“ und erhalte"InternalUrl: https://mail.meinedomain.de/Microsoft-Server-ActiveSync" "ExternalUrl: https://mail.meinedomain.de/Microsoft-Server-ActiveSync"
5. Ich prüfe „Get-ECPVirtualDirectory | fl internalurl,externalurl“ und erhalte "InternalUrl: https://mail.meinedomain.de/ecp" "ExternalUrl: https://mail.meinedomain.de/ecp"
6. Ich prüfe „Get-OABVirtualDirectory | fl internalurl,externalurl“ und erhalte "InternalUrl: https://mail.meinedomain.de/OAB" "ExternalUrl: https://mail.meinedomain.de/OAB"
7. Ich prüfe als nächstes „Get-ActiveSyncVirtualDirectory | fl internalurl,externalurl“ und erhalte
"InternalUrl: https://mail.meinedomain.de/Microsoft-Server-ActiveSync" "ExternalUrl: https://mail.meinedomain.de/Microsoft-Server-ActiveSync"
Das deckt sich mit der Beschreibung in der HowTo auf FrankysWeb und einigen anderen Artikeln die ich fand. Denen zufolge müssen die Einträge für Autodiscover ("leer") ebenso wie für Powershell unverändert bleiben.
Ich hoffe, ich habe das so genau beschrieben, dass einer den Nagel in meinem Kopf findet
Danke & Gruss
Jürgen
Ich habe ein Zertifikat auf "mail.meinedomain.de" und als SAN "autodiscover.meinedomain.DE"
Im SAN _muss_ auch mail.meindomain.de drin stehen. Sonst gibts Fehler.
Hi Norbert,
Im SAN _muss_ auch mail.meindomain.de drin stehen
Wie meinst Du das? Das Zertifikat lautet auf "mail.meinedomain.de". Also der CN lautet darauf!
Wennich mir die Details des Zertifikates anzeigen lasse, dann steht unter "Zertifikatshierarchie" "DigiCert Global Root G2 " --> "GeoTrust TLS RSA CA G1" --> "mail.meinedomain.de"
Unter Zertifikats-Layout steht "mail.meinedomain.de\Zertifkat\Erweiterungen\Zertifikatsgegenstand-Alternativ-Name:
Feld-Wert: Nicht kritisch / DNS-Name: mail.meinedomain.de / DNS-NAme: autodiscover.meinedomain.de".
Entspricht das dem, was Du meinst?
Wie schon gesagt: Von außen keinerlei Probleme. Keine Zertifikatsmeldungen/-abfragen. Garnichts. Nur intern taucht unverändert der lokale Hostname (meinExHost.meinedaomain.ZZ) auf Ich weiß aber nicht, warum!?! Ich habe keine explizite Einstellung, die darauf hinwirkt. Vielleicht DNS-Cache?
ich glaube, ich sehe den Wald vor Bäumen nicht ... irgend etwas übersehe ich bestimmt
Feld-Wert: Nicht kritisch / DNS-Name: mail.meinedomain.de / DNS-NAme: autodiscover.meinedomain.de".
Na dann solltest du autodiscover aber auch anonymisieren. Und ja, genau das meinte ich. Es steht der CN auch als SAN drin.
Nur intern taucht unverändert der lokale Hostname (meinExHost.meinedaomain.ZZ) auf
In deinen Tests fehlt das owavirtualdirectory.
Wie hast du im internen DNS die Einträge angelegt und welche?
Bye
Norbert
Und ja, genau das meinte ich. Es steht der CN auch als SAN drin.
Ahh - also hab ich es richtig gemacht?!
Wie hast du im internen DNS die Einträge angelegt und welche?
Wie in Post #12 beschrieben: "Ich habe zwei DNS-Zonen; eine für mail.meinedomain.de und eine für autodiscover.meinedomain.de. In beiden Zonen einen HostA ohne Namen mit der IP-Adresse des EX-Servers im lokalen Netz." Gemeint sind natürlich auf dem DC der lokalen Domain (meinedomain.ZZ). Auch das habe ich exakt nach der HowTo aus FrankysWeb gemacht.
In deinen Tests fehlt das owavirtualdirectory
Guter Hinweis!!! Okay. Nachgeholt:
Get-OWAVirtualDirectory ergibt:
Name: owa (Default Web Site)
Server: meinExHostname (ohne Doman; ohne TLD)
OwaVersion: Exchange 2013
Das verstehe ich nicht Wenn ich die Adresse "mail.meinedomain.DE" im Browser auf einem beliebigen PC im lokalen Netz eingebe, funktioniert alles. Ohne Zertifikatsmeldung. Klicke ich das Zertifikat an, dann sehe ich das auf Geotrust lautender Root-CA und alles ist gut. Warum also steht hier nur der (lokale) Hostname?
Wie schon beschrieben, habe ich im EAC unter "OWA" "https://mail.meinedomain.de/owa" eingegeben - undzwar sowohl für Intern als auch für Extern!
Soll das mit dem (lokalen) Hostnamen also so, oder ist das ein Fehler? Habe gerade einen Artikel im TechNet gelesen - der widerspricht allerings auch der Beschreibung auf FrankysWeb. Wenn ich das dort nicht falsch interpretiert habe, dannsteht dort:
Autodiscover No external URL displayed
ECP https://owa.contoso.com/ecp
EWS https://mail.contoso.com/EWS/Exchange.asmx
Mapi https://mail.contoso.com/mapi
Microsoft-Server-ActiveSync https://mail.contoso.com/Microsoft-Server-ActiveSync
OAB https://mail.contoso.com/OAB
OWA https://owa.contoso.com/owa
PowerShell http://mail.contoso.com/PowerShell
Hätte ich also noch einen SAN gebraucht (owa.meinedomain.de)??? :-()
Gruß Jürgen
"https://technet.microsoft.com/de-de/library/dd298140(v=exchg.150).aspx" legt den Schluss nahe, dass das völlig korrekt ist, was ich da sehe, wenn ich das abfrage. Also habe ich den wirklichen Fehler noch immer nicjt gefudnen