Outlook (egal welche Version) Zertifikats-Sicherheitshinweis beim Start im lokalen Netzwerk

HMnet · 1. Februar 2021

Hallo zusammen!

Ich weiß, altes und immer wieder durchgekautes Thema - allerdings weiß ich gerade nicht mehr wirklich weiter!

Auf meinem (eigenen) Exchange 2013 läuft ein Letsencrypt-Zertifikat mit zwei Domänen-Namen (Domain1.tld und office.Domain2.tld). Die erste Domain ist für die external URLs und die zweite ist für die internen URLs. Beide sind öffentlich problemlos erreichbar und auch in den Virtual Directories konfiguriert.

Mobile Endgeräte wie iPhones oder auf Notebooks per ActiveSync können sich problemlos verbinden - auch OWA läuft 1a.

Lediglich beim Start von Outlook im lokalen Netzwerk (das geht doch per RPC - oder?) kommt die Zertifikatswarnmeldung, dass der Servername server.[Domain].local nicht im Zertifikat enthalten ist. Was ja auch stimmt und logisch ist, da es ja ein "öffentliches" Zertifikat von Letsencrypt ist und da keine lokalen Domain-Namen mit hinterlegt werden können.

Wie bringe ich dem Client bei, dass er die "alte Server-Adresse" server.[Domain].local vergisst und nur noch über die im Zertifikat enthaltene Adresse office.Domain2.tld die Verbindung herstellt. Ich frage mich, von wo diese Adresse noch angefordert wird. Drücke ich einfach Ja (bei "Möchten Sie den Vorgang fortsetzen?"), läuft alles ganz normal - kurioserweise AUCH, wenn ich Nein drücke. Dieser Sicherheitshinweis kommt beim Start immer 2x, einmal für die Adresse server.[Domain].local (klein geschrieben) und einmal für die Adresse SERVER.[Domain].local (groß geschrieben)!

Vielleicht hat ja jemand eine Idee und kann mich retten...

Viele Grüße

Thomas

NobbyausHB · 2. Februar 2021

Moin,

ganz abgesehen davon, das 2013 aus dem Support ist - wie lauten die Domänen?

(OK, bis 2023 erweiterter Support..)

Bist du wenigstens auf dem letzten möglichen Stand, sprich CU23

Du must mindesten eine URL für Autodiscover im externen Zertifikat haben, dahin weißt auch der interne DNS-Name

Split-DNS ist hier das mittel der Wahl.

Anleitungen gibt es hier und im Netz zuhauf, daher schreibe ich das jetzt nicht noch mal...

NorbertFe · 2. Februar 2021

Zitat von NobbyausHB

ganz abgesehen davon, das 2013 aus dem Support ist

Nope.

NobbyausHB · 2. Februar 2021

Zitat von NorbertFe

Nope.

Habe ich in der Zeile darunter relativiert...

HMnet · 2. Februar 2021

Hallo allerseits... - DANKE für das Feedback.

Klar - CU23 ist drauf.

Autodiscover-Url auch im Zertifikat - siehe Bild.

Split-DNS meine ich, hätte ich konfiguriert...

NobbyausHB · 2. Februar 2021

Zitat von HMnet

Split-DNS meine ich, hätte ich konfiguriert...

ist oder ist nicht?

Einfach den Namen pingen oder ein tracert machen beantwortet das...

HMnet · 3. Februar 2021

Hallo nochmal...

Ist schon so lange her!

Ein Ping oder Tracert liefert immer die öffentliche IP des Exchange-Serves auf beiden Adressen (internal und external URL)

NobbyausHB · 3. Februar 2021

wieso internal und external URL

das ist falsch.

warum gibt es verschiedene URL?

Der Exchange muss von intern und extern mit der gleichen URL wie im Zertifikat angegeben erreicht werden können.

Dafür eben Split-DNS

NorbertFe · 4. Februar 2021

Dann konfiguriere Split-DNS korrekt, so dass du intern die interne ip bekommst und extern die externe. Was ergibt denn ein get-clientaccessserver | fl *uri*

HMnet · 5. Februar 2021

Hallo!

Das gibt folgendes:

Code

[PS] C:\Users\Administrator.XXX\Desktop>get-clientaccessserver | fl *uri*
AutoDiscoverServiceInternalUri : https://office.firma.tld/Autodiscover/Autodiscover.xml

Sollte passen!

Ich glaube, ich habe das Problem der beiden Zertifikatsmeldungen gefunden:

Die erste Meldung "mit dem klein geschriebenen" server.hmnet.local kam wohl durch die SSL-Einstellung "Client-Zertifikate akzeptieren" im IIS (habe nun auf "Ignorieren" gestellt) und die zweite mit dem "mit dem groß geschriebenen" Server.hmnet.local kam durch einen alten RSS-Feed im Outlook der noch über https://server/Anrufmonitor.xml konfiguriert war...

DANKE für Eure Mithilfe!

Grüße!

Teilen