Guten Morgen,
ich hätte da noch ein Problem mit meinem neuen Ex2016-Server... und zwar fehlt mir scheinbar noch etwas bei der Konfiguration des Autodiscovers.
Wir haben ein Wildcard-Zertifikat "*.domaene.de", welches ich im Exchange hinterlegt habe und (nur) für SMTP aktiviert habe. Zwischen Internet und dem Ex2016-Server ist eine Sophos UTM-WAF mit Regeln nach Sophos-Vorgabe.
Ich habe als AutodiscoverServiceInternalUri "https://autodiscover.domaene.de/Autodiscover/Autodiscover.xml" gesetzt. Von extern zeigt "autodiscover.domaene.de" auf unsere öffentliche "OWA-IP", das ist ok. Wenn ich die Microsoft-Verbindungsuntersuchung für Active Sync laufen lasse, ist alles grün und das Wildcard-Zertifikat wird angewendet. Alles schön hier.
Von intern lasse ich einfach im DNS auf unserem DC "autodiscover.domaene.de" per A-Record auf die interne IP vom Ex2016-Server zeigen. Wenn man nun Outlook startet, beschwert es sich, dass "autodiscover.domaene.de" nicht von dem self-signed Zertifikat des Ex2016-Servers abgedeckt wird... verständlicherweise.
Was muss ich tun, damit auch beim Start von Outlook das Wildcard-Zertifikat "abgeglichen" wird und nicht das interne? Muss ich das interne DNS anders konfigurieren oder muss man bei AutodiscoverServiceInternalUri den internen FQDN des Servers angeben?
Vielen Dank erneut für jeden Tipp! ?
Du musst dem Exchange-Server das Wildcard-Zertifikat zuweisen, nicht das selbst signierte.
Ok, aber wie mache ich das richtig, also dass ich das Zertifikat quasi "dem Autodiscover" zuweise? Das letzte mal - kurz nach der Installation - habe ich das Wildcardzertifikat einfach mal dem Dienst IIS zugewiesen, weil ich dachte, damit erreiche ich das - danach hatte ich dann echte Probleme, ECP und OWA wieder heile zu machen, weil das Backend scheinbar weiter das Self signed-Zertifikat erwartete.
Hallo Dennis,
die Verwaltung der Zertifikate erfolgt ausschließlich über die Exchange Admin Center oder die Exchange Management Shell. Im IIS brauchst du das Zertifikat nicht anpassen. Das Exchange Backend, nutzt immer ein SelfSigned Zertifikat, dieses muss nicht angepasst werden.
Wie Christoph schon ganz richtig gesagt hat: Dein Exchange Server benötigt das Wildcard Zertifikat und die Internen und externen URLs müssen gleich sein. Der Rest deiner Einstellungen sieht OK aus.
Gruß,
Frank
Wie Christoph schon ganz richtig gesagt hat: Dein Exchange Server benötigt das Wildcard Zertifikat und die Internen und externen URLs müssen gleich sein.
Guten Morgen,
hm... da liegt dann scheinbar noch etwas anderes im Argen... im Moment ist es so, dass ich z.B. für OWA und ECP den FQDN für die interne URL (also stbr1ex2016.domaene.local), und für die externe URL die öffentliche Adresse (owa.domaene.de) eingetragen habe.
Ich hatte nach der Installation das Skript zur Anpassung der URLs in der Migrationsanleitung 2010->2016 hier auf der Seite benutzt, kam dann aber nicht mehr auf das EAC. Daher hatte ich erstmal wieder die internen URLs auf z.B. https://stbr1ex2016.domaene.local/owa usw. gesetzt.
Ich kann jetzt auch von intern hergehen und mich über https://owa.domaene.de/owa... am EAC anmelden, bekomme dann aber trotzdem vom Server das Self-signed Zertifikat präsentiert.
D.h., wenn ich richtig machen will, müsste ich für die internen URLs auch auf https://owa.domaene.de/owa, https://owa.domaene.de/ecp usw. umstellen und das Wildcard-Zertifikat dann doch dem Service IIS über EAC->Server->Zertifikat zuordnen?
Hi Dennis,
exakt. Interne und externe URLs werden gleich gesetzt, also beide auf owa.domain.de. Dies ist für alle Virtuellen Verzeichnisse der Fall. Im EAC weist du dann das Wildcard Zertifikat den Diensten zu (du kannst es für alle übernehmen).
Gruß,
Frank