Hallo zusammen,
wir haben einen Exchange 2016 auf Windows Server 2012 R2 im Einsatz.
Nun stand das bei der Installation erstelle Zertifikat für IIS, SMTP nach 5 Jahren kurz vor dem Ablauf.
Wir haben dann versucht, dass Zertifikat nach Microsoft-Anleitung zu erneuern:
Erneuern eines Exchange Server-Zertifikats | Microsoft Learn
Das Zertifkat ist gültig; es wurde auch dem IIS und SMTP-Dienst zugeordnet. Auch die Bindungen zur Default Web Site und Exchange Backend wurden angepasst. Das alte Zertifikat wurde gelöscht.
Das Problem ist nun, dass wir intern keine Verbindung mehr mit Outlook aufbauen können.
Es erscheint ein Zertifikatsfehler:
autodiscover.unsere-domain.de
1. "Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft haben. Zeigen Sie das Zertifkat an, um zu bestimmen, ob Sie der Zertifizierungsstelle vertrauen möchten."
-> Dieses Problem könnten wir noch beheben, indem man das Zertifikat in die vertrauenswürdigen Stammzertifizierungsstellen reinnimmt.
2. "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein."
Im Hintergrund erscheint dann noch "Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Das Sicherheitszertifikat stamm nicht von einer vertrauenswürdigen Zertifizierungsstelle. Von Outlook kann keine Verbindung mit dem Proxyserver webmail.unsere-domain.de hergestellt werden. (Fehlercode 18)"
Der Fehler betrifft nur den internen Outlook-Client.
OWA funktioniert (auch wenn er wegen dem Zertifikat einen Sicherheitshinweis bringt).
Mobilgeräte funktionieren auch.
Wir sind ein kleines IT-Team und sind jetzt nicht in den Tiefen des Exchanges beheimatet. Wir haben auch schon gefühlt das Internet rauf und runter gelesen und sind ebenso wie unser ext. Dienstleister noch nicht weiter gekommen.
Vielleicht hat jemand eine Idee.
Vielen Dank im Voraus.
Der Fehler ist behoben...
Wir haben im IIS-Manager noch mal mit den Bindings rumgespielt:
Bei den Bindings von der Default Website gab es vorher ein Binding für https, Port 443 und 127.0.0.1 an das neue selbstsignierte Exchange Zertifikat und ein anderes Binding mit https, Port 443 ohne Adresse auch an dieses Zertifikat.
Wir haben dann das Binding mit https, Port 443 ohne Adresse an das von GoDaddy erstellte webmail.unsere-domain.de-Zertifikat geändert.
Zur Zeit sind dadurch auf jeden Fall alle Funktionalitäten wieder da.
Ich bin eigentlich der festen Überzeugung bei der Erneuerung nur dort das alte Exchange-Zert. gegen das neue ausgetauscht zu haben, wo es auch vorher gebunden war, aber entweder täusche ich mich oder es stimmt sonst noch irgendwas nicht mit dem Zertifikat.
Vielleicht hilft mein Beitrag aber auch denjenigen, die so etwas auch mal erleben und sich vielleicht nicht 4 Tage rumquälen wollen ;-)