Zertifikatsfehler b...
 
Notifications
Clear all

Zertifikatsfehler bei Outlook

9 Posts
6 Users
0 Reactions
3,811 Views
 MaGo
(@mago)
Eminent Member
Joined: 3 years ago
Posts: 14
Topic starter  

Schönen guten Tag,

lange Zeit wurde der Exchange nur intern benutzt, durch Home Office usw. wurde das ganze jetzt erweitert, dass man von außen auch damit arbeiten kann.

Das ganze läuft auch soweit, nur haben wir Intern die Probleme, dass Outlook ein Zertifikatsfehler anzeigt. Wenn man sich von Extern verbindet, gibt es keine Fehler.

 

Folgendermaßen

Autodiscover ist eingerichtet, ein Let`s Encrypt Zertifikat ist korrekt ausgestellt und installiert. Das ganze funktioniert soweit auch ohne Probleme.

Die Adressen autodiscover.unseredomain.de und exchange.unseredomain.de sind per A Record mit unserem Exchange verbunden.

Die beiden Adressen weisen im Internen DNS Server auf die IP unseres Exchange Servers.

Bei Exchange haben alle Adressen für Outlook Anywhere, ECP, EWS, MAPI, ActiveSync, OAB, OWA die selbe URL (exchange.unseredomain.de) für Intern und Extern.

Vorher war nur die Interne eingetragen mit dem Internen Hostnamen exchange.internedomain.local. Die externe war nicht eingetragen.

 

Nun gibt mir Outlook 2021 und 2016 nach dem Verbinden ein Zertifikatsfehler, weil er sich noch mit der internen Adresse verbinden will und das Zertifikat natürlich nur für die Externen Ausgestellt wurde.

Outlook verbinden sich laut "Verbindungsstatus" mit den neuen externen URL`s aber nach einer gewissen Zeit 30-50 Sekunden kommt trotzdem die Fehlermeldung.

Ich habe über die Exchange Powershell alle Verzeichnisse überprüft und bei allen steht die korrekte URL für intern und extern drin.

 

Eventuelle Fehler ?

-Das einzige was ich da gesehen habe ist, dass der MetabasePath noch auf die interne Adresse verweist. Kann/Muss man das ändern ?

-Die Empfangsconnectoren haben alle die interne Adresse als FQDN eingetragen. Diese habe ich testweise einmal geändert, leider konnte ich danach weder E-Mails versenden noch empfangen und der Zertifikatsfehler war auch noch da. Warscheinlich habe ich da etwas falsch gemacht ? 

Wäre echt super, wenn mir da jemand weiter helfen könnte.

 

MFG


   
Quote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Was zeigt dir denn

get-clientaccessservice | fl *uri*

an?


   
ReplyQuote

 MaGo
(@mago)
Eminent Member
Joined: 3 years ago
Posts: 14
Topic starter  

@norbertfe 

Ich bekomme dabei folgende Ausgabe:

 

AutoDiscoverServiceInternalUri : https://autodiscover.unseredomain.de/Autodiscover/Autodiscover.xml

dementsprechend sollte das doch korrekt sein oder ?


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Wenn der Name im Zertifikat steht ja. Was passiert, wenn du mal ein neues Outlookprofil anlegst? Selber Fehler?


   
ReplyQuote

(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

hast du mal die Autoconfig aus dem Client heraus getestet?

wenn du per Browser an ein Postfach gehst, funktioniert alles? (OAB, ECP, EWS)

Ansonsten kannst du von extern mal mittels

https://testconnectivity.microsoft.com/tests/Ola/input

von extern prüfen. So solltest du auch gute Ansätze bei Fehlern bekommen.

 

Gruß,
Ralf

 


   
ReplyQuote
 MaGo
(@mago)
Eminent Member
Joined: 3 years ago
Posts: 14
Topic starter  

Habe nun ein neues Profil angelegt und siehe da.... es läuft.

Komischerweise war das das Erste, was ich getestet habe, da lief es noch nicht !? ? 

Typisches IT Problem... Habe Sie es mal mit aus und anschalten versucht ? 


   
ReplyQuote

(@olistu)
New Member
Joined: 4 years ago
Posts: 4
 

Hallo zusammen,

ich habe bei einem Kunden ein (glaube ich) identisches Problem. Exchange 2016 CU23.

Wir haben die URLs und den ClientAccessService von intern auf extern geändert und setzen ein Wildcard-Zertifikat dafür ein.

Outlook startet ganz normal, kurz nach dem Öffnen erscheint erst die Zertifikatsmeldung. Wir konnten es soweit darauf runter brechen, dass dies nur passiert wenn der Anwender freigegebene Kalender im Zugriff hat. (AutoKonfiguration zeigt überall nur die richtigen Einträge, der Verbindunsstatus hingegen zeigt die interne Adresse für das jeweilige freigegebene Konto zu dem der Kalender gehört. Den Kalender trennen sorgt dafür, dass die Meldung nicht mehr kommt und neu verbinden zeigt dann wieder die Zertifikatswarnung für die interne URL. Bei einem neuen Profil passt alles.

 Hat da vielleicht noch jemand einen Ansatzpunkt? Ungerne würden wir in dem Fall alle Profile erneuern...

 

Liebe Grüße

Oli


   
ReplyQuote
(@waschl)
New Member
Joined: 2 years ago
Posts: 1
 
Veröffentlicht von: @olistu

Hallo zusammen,

ich habe bei einem Kunden ein (glaube ich) identisches Problem. Exchange 2016 CU23.

Wir haben die URLs und den ClientAccessService von intern auf extern geändert und setzen ein Wildcard-Zertifikat dafür ein.

Outlook startet ganz normal, kurz nach dem Öffnen erscheint erst die Zertifikatsmeldung. Wir konnten es soweit darauf runter brechen, dass dies nur passiert wenn der Anwender freigegebene Kalender im Zugriff hat. (AutoKonfiguration zeigt überall nur die richtigen Einträge, der Verbindunsstatus hingegen zeigt die interne Adresse für das jeweilige freigegebene Konto zu dem der Kalender gehört. Den Kalender trennen sorgt dafür, dass die Meldung nicht mehr kommt und neu verbinden zeigt dann wieder die Zertifikatswarnung für die interne URL. Bei einem neuen Profil passt alles.

 Hat da vielleicht noch jemand einen Ansatzpunkt? Ungerne würden wir in dem Fall alle Profile erneuern...

 

Liebe Grüße

Oli

Hallo Oli,

 

identisches Problem in meiner Firma. Auch auf externe URLs umgestellt und dauernd Zertifikatswarnungen. Wobei mir bei Verbindungen alles korrekt angezeigt wird. Mein Verdacht fiel auch auf die verbundenen Kalender. Bist du hier schon weitergekommen?

Gruß Michael


   
ReplyQuote

(@killjay)
New Member
Joined: 2 years ago
Posts: 1
 

Hm, es reicht den Reg Key unter HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\%%.0\Outlook\Profiles\*Profilname*\Guuid des Profils und dort den Reg_Binary Wert mit dem Namen 001f664a zu löschen(Outlook sollte geschlossen sein). Nach erneutem Start wird der Schlüssel neu korrekt angelegt und die Zertifikatsmeldung verschwindet. Leider ist die Guuid nicht einheitlich und unter Umständen der Profilname auch nicht so dass sich das ganze nur "manuell" beheben lässt. Adminrechte sind dafür nicht unbedingt erforderlich.

This post was modified 2 years ago 2 times by killjay

   
ReplyQuote
Share: