Outlook 2007 Autodiscover - Zertifikat-Problem

1. offizieller Beitrag

    Hallo zusammen,


    ich vermute ich habe das gleiche Zertifikat Problem wie das Forumsmitglied jahn_hlsi in folgendem Beitrag:


    http://www.nobbysweb.de/community/index.php/Thread/5917


    Ich habe zwar keinen ISA Server, aber bekomme ebenfalls die Fehlermeldung The name of the security certificate is invalid or does not match the name of the site., sobald ich mich mit Outlook 2007 am Server anmelde. Es handelt sich also um das gleiche Problem mit Autodiscover, wobei der im Zertifikat gespeicherte Name nicht dem FQDN im Autodiscover Dienst entspricht. Ich denke deshalb, dass der KB-Artikel, der jahn_hlsi weitergeholfen hat, auch mir weiterhilft (http://support.microsoft.com/kb/940726/en-us). Aber ich habe noch zwei kleine Verständnisfragen, bei denen ihr mir vielleicht helfen könnt:


    1. Die Änderungen setzen voraus, dass im DNS ein Host Eintrag besteht, der vom ext. FQDN (z.b. mail.contoso.com) auf die IP Adresse des CAS Servers verweist. Meine Frage: Reicht auch der bei mir vorhandene DNS Eintrag, der vom ext. FQDN auf den Servernamen verweist, der ja einen eigenen Host Eintrag hat?


    2. Gibt es eine Möglichkeit, den aktuellen Wert in der autodiscover.xml auszulesen oder zu sehen, bevor man ihn ändert? Das wäre wichtig, um ihn bei Problemen wieder zurücksetzen zu können. Es wäre ja fatal, wenn ich eine Änderung machen würde, von der ich nicht weiss, wie ich sie rückgängig machen kann, und danach könnte sich keiner mehr Outlook verbinden.


    Gruss
    jaX

    Gruß, Andreas

    • Offizieller Beitrag

    Hallo,


    zu 1: Wenn dein certificat nur den externen Hostnamen hat (mail.domain.de) dann musst du diesen auch in den im Artikel angegebenen virtuellen Verzeichnissen angeben. Wenn deine Domäne aber intern domäne.local heisst, wird das schwierig, das die Clients diesen Eintrag dann auch nicht finden können. Schrieb uns doch mal etwas mehr zu deiner Domäne. Namenstrucktur intern und extern sowie Name des CAS und öffentlicher Name.


    zu2: mit get-xxx anstelle von set-xxx kannst du die aktuellen Einträge auslesen und notieren. die autodiscover.xml ist keine fixe Datei, sondern wird dynamisch erstellt. Daher ist da nix mit auslesen.

    Hallo Mojo,


    erstmal danke für deine Antwort. Leider ist das ganze noch recht neu für mich und ich habe die Exchange Organisation nicht selbst aufgebaut, sondern nur übernommen. Ich steig da noch nicht so richtig durch.


    Deshalb sag ich dir mal, was das der Befehl Get-ExchangeCertificate | fl zurückgibt:


    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {SERVERNAME.DOMÄNE.de}
    HasPrivateKey : True
    IsSelfSigned : False
    Issuer : CN=FIRMA AG, DC=DOMÄNE, DC=de
    NotAfter : 31.07.2008 15:33:12
    NotBefore : 01.08.2007 15:33:12
    PublicKeySize : 1024
    SerialNumber : xxxxxxx
    Status : Valid
    Subject : CN=SERVERNAME.DOMÄNE.de
    Thumbprint : xxxxxxx


    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {mail.DOMÄNE.de}
    HasPrivateKey : True
    IsSelfSigned : False
    Issuer : CN=FIRMA AG, DC=DOMÄNE, DC=de
    NotAfter : 16.07.2009 16:56:05
    NotBefore : 17.07.2007 16:56:05
    PublicKeySize : 2048
    SerialNumber : xxxxxxx
    Status : Valid
    Subject : CN=mail.DOMÄNE.de, OU=FIRMA AG, O=FIRMA AG, L=STADT, S=NRW, C=DE
    Thumbprint : xxxxxxx


    Wo genau kann ich sehen, ob meine Domäne intern domäne.local heisst?

    Gruß, Andreas

    • Offizieller Beitrag

    Hallo,


    die Ausgabe zeigt uns, das du zwei Certifikate hast, eines auf den Histnamen des Servers das ander auf mail.domäne.de. Welches du jetzt auf das virtuelle Verzeichnis gebunden hast, kann man dabei aber nicht erkennen. Wie lautet den dein Domänen Name? Ist der domäne.de oder anders?

    Hallo MAJO,


    der lautet domäne.de, richtig.


    Kann doch nicht sein dass man nirgendwo sehen kann ob das virtuelle autodiscover Verzeichnis auf den Hostnamen oder auf mail.domäne.de gebunden ist :-?


    Welche Probleme könnten entstehen, wenn ich das einfach mit dem Befehl Set-ClientAccessServer -Identity Hostname -AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml ändere?

    Gruß, Andreas

    Hallo,


    das mit Einstellung merken kann ich ja vergessen, wie ich in meinem letzten Beitrag schon angemerkt habe. Deshalb tue ich mich ja auch so schwer das wirklich zu ändern. Wenn danach was nicht funktioniert, weiss ich die alte Einstellung nicht.


    Zum Thema DNS: Es besteht ein A-Record für den Servername und ein CNAME für mail.domäne.de, der auf den A-Record verweist. Das sollte ja reichen?!

    Gruß, Andreas

    Lang lang ist's her, aber das Problem besteht immernoch. Weil wir noch Outlook 2003 einsetzen, habe ich das Problem erstmal ruhen lassen. Jetzt wird es aber wieder relevant (Umstieg geplant).


    Kennt nun irgendjemand eine Möglichkeit, den aktuellen Wert in der autodiscover.xml auszulesen oder zu sehen, bevor man ihn ändert?


    Außerdem konnte ich bisher nicht rausfinden, welcher Wert für die InternalURL des Exchange 2007 Web Services (EWS) eingestellt ist. Der Befehl Set-WebServicesVirtualDirectory -Identity "Servername\EWS (Default Web Site)" (mit dem man es ändert) hilft mir nicht weiter. Wenn ich den Befehl mit Get- anstatt Set- am Anfang eingebe, verlangt die console nach weiteren Eingaben (das Prompt ändert sich zu >>).


    Für Hilfe wäre ich sehr dankbar!

    Gruß, Andreas

    Eigentlich müsste


    Zitat

    Get-WebServicesVirtualDirectory


    ausreichen um die InternalURL auszulesen.


    Und die AutodiscoverURL lässt sich mit


    Zitat

    Get-ClientAccessServer | fl aut*


    anzeigen.