Hallo, angeblich ist das Zertifikat ungültig. Ich kann aber Owa ohne probleme öffnen. Das Zertifikat (lets encrypt) ist gültig. Allerdings unterscheidet sich die Domain von der 365 Domain (de statt com). Ist das das Problem?
PS C:\Users\Administrator> winrm quickconfig -transport:https
Der WinRM-Dienst wird auf diesem Computer bereits ausgeführt.
WSManFault
Message
ProviderFault
WSManFault
Message = Es kann kein WinRM-Listener für HTTPS erstellt werden, da der Computer kein geeignetes Zertifikat besitzt. Zur Verwendung für SSL muss ein Zertifikat einen mit dem Hostnamen identischen, allgemeinen Namen (CN) besitzen und für die Serverauthentifizierung geeignet sein. Außerdem darf das Zertifikat nicht abgelaufen, gesperrt oder sel
bstsigniert sein.
Fehlernummer: -2144108267 0x80338115
Es kann kein WinRM-Listener für HTTPS erstellt werden, da der Computer kein geeignetes Zertifikat besitzt. Zur Verwendung für SSL muss ein Zertifikat einen mit dem Hostnamen identischen, allgemeinen Namen (CN) besitzen und für die Serverauthentifizierung geeignet sein. Außerdem darf das Zertifikat nicht abgelaufen, gesperrt oder selbstsigniert sein.
Ich habe jetzt die andere Domain auch noch ins Zertifikat mit reingeholt und es zugewiesen (das erste in der Liste). Ich habe schon IIS neugestartet und die ganze VM, irgendwie wird immer noch das alte angezeigt in OWA, auch in privaten Browser Fenstern :/
Thumbprint Services Subject ---------- -------- ------- 601A992235170F7F6AE8D59E0B4C94A17E1D2BF6 IP.WS.. CN=mail.xxx.com C7ED6C5E5AFD5DE56A76D4E342667BEABA8BD4C8 ....... CN=mail.xxx.de 71037785ADC172DC4372B7476B20DFD95FAF0519 ....S.. CN=autodiscover.yyy.com E71CE2E757745116175955F1C5E5177C509E0466 ....S.. CN=autodiscover.xxx.com DCE4D0D5CC1804D9A2135F48B0FB012856EBBEAA ....S.. CN=mail.xxx.de 996189F5A5D30F4FAA8350CE8EEE28D2BED36D31 ....S.. CN=Microsoft Exchange Server Auth Certificat 77F95DBDBEE74679059B0DFE50793B8E53E92D50 ....S.. CN=xxx-MX2012 B4A04DB73D35EEFDB32D019C6F64AD4DBBC0BE33 ....S.. CN=Microsoft Exchange Server Auth Certificat C2A9EFEF0B07259E2FC3670E1A1C9CD972FCE49D ....S.. CN=xxx-MX2012 508EE86BD8C98A11326DF5FCEF0659627F6B2812 ....... CN=WMSvc-xxx-MX2012
angeblich ist das Zertifikat ungültig.
Nein, es konnte keine Verbindung per https hergestellt werden. Das hat erstmal nix mit der Gültigkeit des Zertifikats zu tun.
Steht denn vor deinem Exchange evtl. noch ein Reverse Proxy?
Nein, da ist nur eine Fortigate die Port 25, 80 und 443 weiterleitet und auf dem Exchange läuft Eset Mail Security.
Kann es damit zusammenhängen dass der Exchange ein anderes standardgateway hat als der Domaincontroller?
Macht die fortigate nat oder fasst die den ssl Traffic irgendwie an? Ich vermute letzteres. Was für ein anderes Standardgateway? Solange dein routing passt sollte das keine Rolle spielen. Aber das kann man mit solchen Aussagen im Forum natürlich nur vermuten. ;)
@norbertfe ich bin dabei auch die Firewall von der Fortigate auf eine Opnsense umzustellen, der Exchange ist der einzige Server der noch über die Fortigate geht.
Ich hab in der Fortigate mal alle Sicherheitsfeatures ausgestellt und nochmal probiert, ohne Erfolg. NAT macht die Fortigate indem sie Anfragen an bestimmte Ports an bestimmte Server weiterleitet.
Ich könnte zur Not die Firewall Umstellung am Wochenende machen. Dann würde ich das Gateway des Exchange auf die Opnsense ändern, neustarten und den DNS Eintrag beim Domain Provider korrigieren und hoffen dass es dann noch funktioniert :/
Kenne mich mit fortigates nicht aus, deswegen kann ich dir da nicht wirklich helfen. Wenn aber das falsche Zertifikat beim Aufruf kommt, dann steht irgendwas vorm Exchange. Und das verhindert vermutlich auch den hybrid wizard, weil vermutlich tls 1.2 nicht möglich ist.