Microsoft Exchange

Microsoft Exchange

Posts 1-10 of 15
  • Guy Karlen
    Guy Karlen    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 11:35 am
    Exchange - Zertifikate
    Guten Tag Community,

    Hat jemand Erfahrung mit dem Umgang von Exchange-Zertifikaten? Habe ein offizielles Zeritifkat installiert und seither nur Ärger. Entweder meldet Outlook, dass der Name nicht stimmt oder es fragt nach Benutzername und Passwort oder dem Herausgeber wird nicht vertraut..

    Der Server ist hinter einer Firewall, welche den Port 443 durchleitet.

    Kann das offizielle Zertifikat auch für die interne Outlook Kommunikation genutzt werden?

    Habe versucht dies mit 2 IP-Adressen zu lösen, aber es will nicht richtig.

    Bei Dr. Google finde ich x Tipps und Ratschläge, aber die wirkliche Lösung habe ich nicht gefunden.

    Bin dankbar für jeden Hinweis..

    Schöne Grüsse

    Guy Karlen
  • Bernd Kruczek
    Bernd Kruczek    Premium Member   Group moderator
    The company name is only visible to registered members.
    17 Mar 2011, 11:43 am
    Re: Exchange - Zertifikate
    Hi,

    google mal mit "san certificate exchange 2010".

    Gruß
    Bernd
  • Thomas Wallutis
    Thomas Wallutis    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 12:13 pm
    Re: Exchange - Zertifikate
    Hi,

    Hat jemand Erfahrung mit dem Umgang von Exchange-Zertifikaten? Habe ein offizielles Zeritifkat installiert und seither nur Ärger.
    Wo installiert? Wie sieht die Umgebung aus (ein oder mehrere Server? Rollen verteilt?).

    Entweder meldet Outlook, dass der Name nicht stimmt oder es fragt nach Benutzername und Passwort oder dem Herausgeber wird nicht vertraut..
    - Name stimmt nicht: womit will Outlook sich denn verbinden (URL)?
    - Benutzername/Passwort: klingt nach Standardauthentifizierung. Welche Authentifizierung wird akzeptiert?
    - nicht vertrauenswürdiger Herausgeber: von wem stammt das Zertifikat?

    Über welche Exchange-Version reden wir?

    Der Server ist hinter einer Firewall, welche den Port 443 durchleitet.
    Welche Firewall? "Nur" ein Paketfilter oder ein Reverse Proxy? Evtl. läuft ein Applikationsfilter (CISCO ASA)?

    Kann das offizielle Zertifikat auch für die interne Outlook Kommunikation genutzt werden?
    Radio Eriwan: im prinzip ja, aber...

    Habe versucht dies mit 2 IP-Adressen zu lösen, aber es will nicht richtig.
    Wie sollte das helfen?

    Bin dankbar für jeden Hinweis..
    Und wir sind dankbar für mehr Informationen;-)

    Bis denn

    Thomas
  • Guy Karlen
    Guy Karlen    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 2:16 pm
    Re^2: Exchange - Zertifikate
    Hallo Hr. Wallutis,

    Besten Dank für Ihren Beitrag.

    Die Umgebung.. Die Problematik ist ähnlich bei 3 verschiedenen Installationen, aber ich nehme mal den ersten, wichtigsten Fall.

    1 ADS-Server Windows 2008 64Bit
    1 Exchange Server, Windows 2008 64Bit, Exchange 2007 Standard, alle Updates installiert
    3 Terminal-Server mit Outlook 2010 als Clients

    Hier die Meldung:
    Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie nicht als vertrauenswürdig eingestuft haben. Zeigen Sie das Zertifikat an, um zu bestimmen, ob Sie der Zertifizierungsstelle vertrauen möchten.

    Im Zertifizierungsstatus steht:
    Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet.

    Die Firewall macht ein Port Forwarding von der externen IP, Port 443 zur zweiten internen IP Port 443 mit AV und IDS Schutz. Produkt Fortigate.

    Auf der einen IP ist im IIS das Windows-Zertifikat und auf der zweiten IP ist das öffentliche Zeritifkat für OWA.

    Ich habe diese Version gewählt, weil der interne Servernamen nicht mit dem öffentlichen Namen übereinstimmt. Wenn ich das Zeritifkat auf der Standard-Webseite, ersten IP installiert habe, kam die Fehlermeldung, dass der Name auf dem Zertifikat nicht übereinstimmt.

    An Radio Eriwan: Warum schmecken Spinatküchlein besser, wenn man statt Spinat, Käse nimmt? :-)

    Das schöne wäre so eine Anleitung, für Exchange mit OWA Zugriff und öffentlichen Zeritifkat nehme man.. :-)

    Schöne Grüsse und besten Dank.

    Guy Karlen
  • Thomas Wallutis
    Thomas Wallutis    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 2:29 pm
    Re^3: Exchange - Zertifikate
    Hi,

    Hier die Meldung:
    Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie nicht als vertrauenswürdig eingestuft haben. Zeigen Sie das Zertifikat an, um zu bestimmen, ob Sie der Zertifizierungsstelle vertrauen möchten.

    eine, wie ich finde, ziemlich eindeutige Fehlermeldung;-)

    Im Zertifizierungsstatus steht:
    Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet.

    Und da wird die Lösung genannt. Sie benötigen das Stammzertifikat der ausgebeneden Stelle und müssen das auf den Client einspielen. Bei OWA (und damit nicht unbedingt von Ihnen kontrollierten Rechnern) haben Sie natürlich verloren.

    Ich formuliere es mal direkt: aufs falsche Pferd gesetzt;-)

    Sie sollten sich ein Zertifikat eines Herausgebers besorgen, der in den gängigen Browsern schon hinterlegt ist.

    Ich habe diese Version gewählt, weil der interne Servernamen nicht mit dem öffentlichen Namen übereinstimmt. Wenn ich das Zeritifkat auf der Standard-Webseite, ersten IP installiert habe, kam die Fehlermeldung, dass der Name auf dem Zertifikat nicht übereinstimmt.
    Was ja auch korrekt ist. Sie greifen auf owa.firma.de zu und landen bei owa.firma-intern.de.

    Das schöne wäre so eine Anleitung, für Exchange mit OWA Zugriff und öffentlichen Zeritifkat nehme man.. :-)
    So wie hier: http://blog.sembee.co.uk/post/Exchange-2007-and-SSL-Certific...

    Tipp: wühlen Sie sich mal durch http://www.msxfaq.de

    Bis denn

    Thomas Wallutis
  • Guy Karlen
    Guy Karlen    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 2:48 pm
    Re^4: Exchange - Zertifikate
    Hi,

    Stimmt.. sehr eindeutig.

    Nur ist mein Problem eben, dass diese Meldung bei den Outlook Rechnern kommt, wenn Outlook gestartet wird. Es wird quasi der internen Domänen-Zertifizierungsstelle nicht vertraut, oder eben diese "fehlt".

    Der OWA-Zugriff von der externen IP über den Browser klappt mit SSL Zeritifkat ohne Fehlermledung.

    Danke schon mal für die Links. Da gibt's einiges zu lesen und zu testen.

    Melde mich sicher bald wieder :-)

    mfg
    Guy Karlen
  • Thomas Wallutis
    Thomas Wallutis    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 3:03 pm
    Re^5: Exchange - Zertifikate
    Hi,

    Nur ist mein Problem eben, dass diese Meldung bei den Outlook Rechnern kommt, wenn Outlook gestartet wird. Es wird quasi der internen Domänen-Zertifizierungsstelle nicht vertraut, oder eben diese "fehlt".
    die interne Zertifizierungstelle ist vermutlich der Exchange-Server selber. Was gibt die Fehlermeldung denn als Zertifizierungsstelle an, der nicht vertraut wird?

    Und auf welche Webseite will Outlook zugreifen? (ich tippe mal auf die Autodiscover-Seite).

    Bis denn

    Thomas Wallutis
  • Guy Karlen
    Guy Karlen    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 3:47 pm
    Re^6: Exchange - Zertifikate
    Hi,

    Richtig. Ausgestellt für, Ausgestellt von ist der Exchange-Server. Im Zeritifizierungspfad ist nur der Exchangeserver-Namen aufgelistet mit dem roten Kreuz und unten steht im Status:
    Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet.

    Webseite.. Im Exchange-Konto steht der FQDN des Exchange-Servers, also Autodiscover.

    Danke!

    mfg
    Guy Karlen
  • Thomas Wallutis
    Thomas Wallutis    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 4:09 pm
    Re^7: Exchange - Zertifikate
    Hi,

    Richtig. Ausgestellt für, Ausgestellt von ist der Exchange-Server. Im Zeritifizierungspfad ist nur der Exchangeserver-Namen aufgelistet mit dem roten Kreuz und unten steht im Status:
    Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet.

    dann verteilen Sie das Zertifikat mal an ihre Outlook-Clients (per GPO). Dann dürfte schnell Ruhe sein. Ist zwar nicht die eleganteste Lösung, aber sie dürfte funktionieren.

    Webseite.. Im Exchange-Konto steht der FQDN des Exchange-Servers, also Autodiscover.
    Hier bitte auf Präzision achten:

    FQDN: exchange-server. firma.de

    Autodiscover: autodiscover.firma.de

    (grob vereinfacht).

    Wo genau soll der FQDN stehen?

    Beim MAPI-Profil kommt der normale Servername rein. Oder nutzen Sie Outlook Anywhere (aka RPCoverHTTP)?

    Bis denn

    Thomas Wallutis
  • Guy Karlen
    Guy Karlen    Premium Member
    The company name is only visible to registered members.
    17 Mar 2011, 4:30 pm
    Re^8: Exchange - Zertifikate
    Hi,


    Thomas Wallutis schrieb:
    Hi,
     
    Richtig. Ausgestellt für, Ausgestellt von ist der Exchange-Server. Im Zeritifizierungspfad ist nur der Exchangeserver-Namen aufgelistet mit dem roten Kreuz und unten steht im Status:
    Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig, da es sich nicht in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet.
     
    dann verteilen Sie das Zertifikat mal an ihre Outlook-Clients (per GPO). Dann dürfte schnell Ruhe sein. Ist zwar nicht die eleganteste Lösung, aber sie dürfte funktionieren.

    Ok, muss ich versuchen ob ich das zustande kriege. Aber ich frage mich weshalb diese Meldung plötzlich kam...

     
    Webseite.. Im Exchange-Konto steht der FQDN des Exchange-Servers, also Autodiscover.
     
    Hier bitte auf Präzision achten:
     
    FQDN: exchange-server. firma.de
     
    Autodiscover: autodiscover.firma.de
     
    (grob vereinfacht).
     
    Wo genau soll der FQDN stehen?

    Ah.. stimmt.

    In den Konto-Einstellungen des Exchange-Kontos steht Server: srv-exch-1.domain.local

    Beim Start von Outlook, kommen 2 Fehlermeldungen, 1x kommt srv-exch-1 beim Sicherheitshinweis und auch im Zertifizierungspfad, bei der zweiten Meldung steht srv-exch-1.domain.local im Sicherheitshinweis, aber im zeritifzierungspfad nur der Servernamen, srv-exch-1, was wohl auch normal ist.


     
    Beim MAPI-Profil kommt der normale Servername rein. Oder nutzen Sie Outlook Anywhere (aka RPCoverHTTP)?
     

    Nein, normales Mapi, kein Anywhere.


    Bis denn
     
    Thomas Wallutis

    Danke!

    mfg
 
Sign up for free: