SBS / Outlook: Zertifikat bestätigen

[Stefan Meier]

Hallo!

SBS2008, Outlook2007, beide aktueller Stand

Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
Zertifikatsablauf ge�ffnet; einmal f�r remote.domain und
autodiscover.domain. Beide kann ich mit OK best�tigen und dann mit
Outlook arbeiten. Dies ist f�r alle Benutzer das gleiche Szenario.

Wie kann ich diese Meldungen abstellen?
Ein Zertifikat wird "eigentlich" nicht ben�tigt,d a die Verbindung zum
Exchange ausschlie�lich intern abl�uft!?

Kann ich das angemeckerte Zertifikat (confixx?) deinstallieren und wenn
ja, wo (genau)? Oder ist dem anders (m�glichst ohne Kauf eines
zus�tzlichen Zertifikates) beizukommen?

--
Ciao...
Stefan

XP: microsoft.public.de.windows.server.sbs
FU: microsoft.public.de.exchange

[Robert Riebisch]

Stefan Meier wrote:

> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
> Zertifikatsablauf ge�ffnet; einmal f�r remote.domain und
> autodiscover.domain. Beide kann ich mit OK best�tigen und dann mit
> Outlook arbeiten. Dies ist f�r alle Benutzer das gleiche Szenario.
>
> Wie kann ich diese Meldungen abstellen?

Ist das Zertifikat denn wirklich abgelaufen?
Wann wurde der SBS installiert (Monat/Jahr)?
http://exchangepedia.com/blog/2008/01/exchange-server-2007-renewing-self.html
http://softwelle.de/?p=51

Weiterf�hrend:
http://blogs.technet.com/sbs/archive/tags/Certificates/default.aspx

--
Robert Riebisch
Bitte NUR in der Newsgroup antworten!
Please reply to the Newsgroup ONLY!

[Mark Heitbrink [MVP]]

Hi,

Am 06.01.2010 17:16, schrieb Stefan Meier:
> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit

> Zertifikatsablauf[...]

Schuss ins Blaue, weil es heute geblogt wurde:
http://blogs.technet.com/sbs/archive/2010/01/05/troubleshooting-certificate-mismatch-warnings-in-outlook-2007-clients-on-small-business-server-2008.aspx

Tsch�
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

[Stefan Meier]

Hallo Robert Riebisch,

>> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
>> Zertifikatsablauf ge�ffnet; einmal f�r remote.domain und
>> autodiscover.domain. Beide kann ich mit OK best�tigen und dann mit
>> Outlook arbeiten. Dies ist f�r alle Benutzer das gleiche Szenario.
>> Wie kann ich diese Meldungen abstellen?
> Ist das Zertifikat denn wirklich abgelaufen?

Ja, 2006 bereits, was mich arg verwundert bei einem neu aufgesetzten
Server. Ebenso wundert mich der Zertifikatsname; der lautet "Confixx".

> Wann wurde der SBS installiert (Monat/Jahr)?

Vorletzte Woche; also 12/09.

Ich habe nochmal genau und vor allem selber geguckt:
Beide Hinweise beziehen sich auf remote.domain beziehungsweise
autodiscober.domain und sagen Das Sicherheitszertifikat ist abgelaufen
oder noch nicht g�ltig." und "Der Name auf dem Sicherheitszertifikat ist
ung�ltig oder stimmt nicht mit dem Namen der Website �berein." und
Das Zertifikat lautet auf (f�r und von) "confixx" und ist (eher ja war)
g�ltig bis 25.04.2006.

> http://exchangepedia.com/blog/2008/01/exchange-server-2007-renewing-self.html
> http://softwelle.de/?p=51
>
> Weiterf�hrend:
> http://blogs.technet.com/sbs/archive/tags/Certificates/default.aspx

Ich bin mit noch unsicher ob des Zertifikatsnamens (Confixx); greifen
die obigen Links trotzdem?

--
Ciao...
Stefan

[Stefan Meier]

Hallo Mark Heitbrink [MVP],

>> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
>> Zertifikatsablauf[...]
> Schuss ins Blaue, weil es heute geblogt wurde:
> http://blogs.technet.com/sbs/archive/2010/01/05/troubleshooting-certificate-mismatch-warnings-in-outlook-2007-clients-on-small-business-server-2008.aspx

Ich wei� nicht wirklich ob das trifft; siehe auch Antwort an Robert...

--
Ciao...
Stefan

[Volker Strähle]

"Stefan Meier" <s...@computermeier.de> schrieb im Newsbeitrag
news:Ok#CNuujK...@TK2MSFTNGP06.phx.gbl...

> Hallo!
>
> SBS2008, Outlook2007, beide aktueller Stand
>
> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit

Hei�t das, dass Outlook auf dem SBS installiert ist?

Wenn Du Confixx schreibst: Wo steht denn der SBS? Bei euch oder bei einem
Hoster?

Volker

[Stefan Meier]

Hallo Volker Str�hle,

>> SBS2008, Outlook2007, beide aktueller Stand
>> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
> Hei�t das, dass Outlook auf dem SBS installiert ist?

Nein, auf den Clients.

> Wenn Du Confixx schreibst: Wo steht denn der SBS? Bei euch oder bei
> einem Hoster?

Steht inhouse und hat mit Confixx eigentlich nichts zu tun. Wobei...,
die (externe) Mail- und WebDomain liegt tats�chlich beim Hoster.

Das Konstrukt ist:
- interne Domain: kunde.local
- externe Domain: kunde-irgendwas.de

Liegt da etwa der "Einrichtungsfehler"?

--
Ciao...
Stefan

[Roger Wassner]

Hallo Stefan,

> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
> Zertifikatsablauf ge�ffnet; einmal f�r remote.domain und
> autodiscover.domain.

in dem Cert siehst Du, was das Problem ist,
- abgelaufen
oder
- Name falsch / unpassend
oder
- beides

da gibt es dann die entsprechenden Wege das zu l�sen (siehe unten)

> Wie kann ich diese Meldungen abstellen?

wenn das Cert abgelaufen ist musst Du ein neues ... das muss ich Dir ja
nicht sagen.
F�r inten reichen selbstausgestellte (selfsigned), wenn man die auch extern
braucht muss man �berlegen ob es zB viele Clients sind und oder auch externe
Partner etc pp. Ev �ber �ffentliche Certs Nachdenken. Aber es ist mit self
signed Certs l�sbar. (Ausrollen, etc pp). Oder SSl abschalten, je nachdem wo
es in Einsatz ist und ob das tragbar ist

> Ein Zertifikat wird "eigentlich" nicht ben�tigt,d a die Verbindung zum
> Exchange ausschlie�lich intern abl�uft!?

ben�tigt nicht, nein
geht auch CLEAR TEXT
frage an den Betrieb: mus es verschl�sselt sein? wenn nein --> abschalten
tragbar
kommt also drauf an
und dann nur den aufruf anpassen,
bei AUTODISCOVERY sieht man ja u.a. im OL Client (2007) welche URLs genutzt
/ versucht werden
da sind auch welche mit HTTP (ohne SSL dabei)
vergl. Outlook System Tray / STRG+reMaustaste / Test eMail AutoConfig / Log

> Kann ich das angemeckerte Zertifikat (confixx?) deinstallieren

im Webserver der das anbietet

> und wenn ja, wo (genau)?

Default Website / Directory Security glaube
das findet sich optisch schnell ;)
und in Google gibts dann auch viele Berichte, wenn man weis wonach/was man
sucht
(du darfst aber gerne hier fragen, m�glicherweise weis ich es dann aber
nichtauswendig) ;-)

> Oder ist dem anders (m�glichst ohne Kauf eines zus�tzlichen Zertifikates)
> beizukommen?

sicherlich eine Option,
aber ob das Sinn macht h�ngt von mehreren Faktoren ab

Wichtig ist das die Angaben im dem Cert passen, sodass nichts "manuell" vom
Anwender best�tigt werden muss

--

--
Mit freundlichen Gr�ssen / with kind regards
Roger Wassner

Bitte nur in die Newsgroup antworten.

Microsoft Exchange Server Newsgroup
microsoft.public.de.exchange
microsoft.public.de.german.exchange2000.general

"POP3 f�r Server FAQ" online
http://www.asp-partner.de/de/faq/pop3faq

[Roger Wassner]

> Wenn Du Confixx schreibst: Wo steht denn der SBS? Bei euch oder bei einem
> Hoster?

oder mal so gefragt: Wo kommt der "SBS" denn her?
Datentr�ger, ist das ein Original Installation Mediapack mit der SETUP
Routine oder so eine Preinstallation OEM vom Provider gewesen?

Confixx klingt doch sehr nach Provider ;-)

[Tobias Redelberger [MVP - SBS]]

Hi ihr beiden,

>> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit

>> Zertifikatsablauf ge嚙篆fnet; einmal f嚙緝 remote.domain und
>> autodiscover.domain.
[..]

>> Kann ich das angemeckerte Zertifikat (confixx?) deinstallieren
>
> im Webserver der das anbietet
>
>> und wenn ja, wo (genau)?
>
> Default Website / Directory Security glaube
> das findet sich optisch schnell ;)

Nope, da es sich hierbei um ein SBS 2008 handelt, findet er es jedoch unter:

-> IIS7
-> Sites
-> "SBS Web Applications"
-> Bindungen
-> HTTPS
-> Bearbeiten...
-> SSL-Zertifikat

Ich vermute jedoch, dass nicht das Zertifikat, sondern ein DNS-Fehler
vorliegt ("remote.domain.de" bzw. "domain.de" auf internen DNS-Server des
SBS2008 fehlerhaft) und der falsche HTTPS-Server (hier: Web-Provider)
abgefragt und Outlook ein Fall-Back auf RPC macht.

> wenn das Cert abgelaufen ist musst Du ein neues ... das muss ich Dir ja
> nicht sagen.

> F嚙緝 inten reichen selbstausgestellte (selfsigned), wenn man die auch
> extern braucht muss man 嚙箭erlegen ob es zB viele Clients sind und oder
> auch externe Partner etc pp. Ev 嚙箭er 嚙篆fentliche Certs Nachdenken. Aber es
> ist mit self signed Certs l嚙編bar. (Ausrollen, etc pp). Oder SSl

> abschalten, je nachdem wo es in Einsatz ist und ob das tragbar ist
>

>> Ein Zertifikat wird "eigentlich" nicht ben嚙緣igt,d a die Verbindung zum
>> Exchange ausschlie嚙締ich intern abl嚙線ft!?
>
> ben嚙緣igt nicht, nein
> geht auch CLEAR TEXT
> frage an den Betrieb: mus es verschl嚙編selt sein? wenn nein --> abschalten
> tragbar

Wenn man etwas nicht versteht, abschalten?

SBS nach Handbuch einrichten und es funktioniert out-of-the-box AND secure!

--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: T.Rede...@starnet-services.net
Web: http://www.starnet-services.net

[Tobias Redelberger [MVP - SBS]]

FUP2: microsoft.public.de.exchange "SBS / Outlook: Zertifikat best�tigen"

[Tobias Redelberger [MVP - SBS]]

Hi Stefan,

> SBS2008, Outlook2007, beide aktueller Stand
>
> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
> Zertifikatsablauf ge�ffnet; einmal f�r remote.domain und
> autodiscover.domain. Beide kann ich mit OK best�tigen und dann mit Outlook
> arbeiten. Dies ist f�r alle Benutzer das gleiche Szenario.
>
> Wie kann ich diese Meldungen abstellen?
> Ein Zertifikat wird "eigentlich" nicht ben�tigt,d a die Verbindung zum
> Exchange ausschlie�lich intern abl�uft!?
>
> Kann ich das angemeckerte Zertifikat (confixx?) deinstallieren und wenn
> ja, wo (genau)? Oder ist dem anders (m�glichst ohne Kauf eines
> zus�tzlichen Zertifikates) beizukommen?

�berpr�fe bitte einmal den Zertifikatsnamen unter folgender Einstellung:

Auf dem SBS 2008:

-> Servermanager
-> Web Server (IIS)
-> Internetinformationsdienstemanager
-> <Servername>

-> Sites
-> "SBS Web Applications"
-> Bindungen
-> HTTPS
-> Bearbeiten...
-> SSL-Zertifikat

Dort sollte der Zertifikatsname �hnlich wie folgt lauten: "remote.domain.de"
und bei einem Leaf-Cert (Zertifikatsvorlage: Webserver) der SBS 2008 CA ab
Installationsdatum des SBS 2008 2 Jahre g�ltig sein (Exkurs: Root-Cert der
SBS 2008 CA ist 5 Jahre g�ltig)

Ist dem so, liegt vermutlich ein DNS-Konfigurationsproblem Deines internen
DNS-Servers bzw. der TCP/IP-Konfiguration der internen Clients vor.

DNS-Server der internen Clients muss IMMER ein AD-integrierter DNS Server
sein (hier also SBS 2008 himself)

Des Weiteren ist zu �berpr�fen, ob fehlerhafte DNS-Eintr�ge auf externe
IP-Adresse (hier Web-Provider) f�lschlicherweise (per Hand) eingetragen
wurden (und deswegen auf die confixx-Webadministrationsseite des externen
Webservers verweist).

[Tobias Redelberger [MVP - SBS]]

> FUP2: microsoft.public.de.exchange "SBS / Outlook: Zertifikat best�tigen"

Huch.. falsche NG.. :/ .. ;)

[Heiko Schuler [MVP]]

Hallo Stefan,

"Stefan Meier" <s...@computermeier.de> wrote in message
news:Ok#CNuujK...@TK2MSFTNGP06.phx.gbl...

> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
> Zertifikatsablauf ge�ffnet; einmal f�r remote.domain und
> autodiscover.domain. Beide kann ich mit OK best�tigen und dann mit Outlook
> arbeiten. Dies ist f�r alle Benutzer das gleiche Szenario.

vermutlich sind deine vom SBS intern ausgestellten Zertifikate abgelaufen.

> Wie kann ich diese Meldungen abstellen?
> Ein Zertifikat wird "eigentlich" nicht ben�tigt,d a die Verbindung zum
> Exchange ausschlie�lich intern abl�uft!?

In dem du die Zertifikate erneuerst. Dazu einmal den Assistenten zum beheben
von Netzwerkproblemen in der SBS Konsole ausf�hren.
Dabei werden u.a. auch die Zertifikate erneuert.

Viele Gr�sse,
Heiko

[Tobias Redelberger [MVP - SBS]]

Hi Heiko,

"Stefan Meier" <s...@computermeier.de> schrieb im Newsbeitrag

news:eovuLrv...@TK2MSFTNGP02.phx.gbl...
[..]

>>>> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit

>>>> Zertifikatsablauf ge锟絝fnet; einmal f锟絩 remote.domain und
>>>> autodiscover.domain. Beide kann ich mit OK best锟絫igen und dann mit
>>>> Outlook arbeiten. Dies ist f锟絩 alle Benutzer das gleiche Szenario.

>>>> Wie kann ich diese Meldungen abstellen?

>>> Ist das Zertifikat denn wirklich abgelaufen?
>>
>> Ja, 2006 bereits, was mich arg verwundert bei einem neu aufgesetzten
>> Server. Ebenso wundert mich der Zertifikatsname; der lautet "Confixx".
>>
>>> Wann wurde der SBS installiert (Monat/Jahr)?
>>
>> Vorletzte Woche; also 12/09.

[..]

> vermutlich sind deine vom SBS intern ausgestellten Zertifikate abgelaufen.

nach nur 2 Wochen?.. Nein.. :)

Vielmehr vermute ich ein DNS-Problem.

Siehe diesbzgl. mein anderen Thread - aber auch:

Troubleshooting Certificate Mismatch Warnings in Outlook 2007 Clients on
Small Business Server 2008
http://blogs.technet.com/sbs/archive/2010/01/05/troubleshooting-certificate-mismatch-warnings-in-outlook-2007-clients-on-small-business-server-2008.aspx

[Stefan Meier]

Hallo Tobias Redelberger [MVP - SBS],

>> SBS2008, Outlook2007, beide aktueller Stand
>> Auf einem SBS2008 wird beim Start von Outlook zweimal ein Fenster mit
>> Zertifikatsablauf ge�ffnet; einmal f�r remote.domain und
>> autodiscover.domain. Beide kann ich mit OK best�tigen und dann mit
>> Outlook arbeiten. Dies ist f�r alle Benutzer das gleiche Szenario.

> �berpr�fe bitte einmal den Zertifikatsnamen unter folgender
> Einstellung: Auf dem SBS 2008:
> -> Servermanager
> -> Web Server (IIS)

> -> [...]

> -> SSL-Zertifikat
> Dort sollte der Zertifikatsname �hnlich wie folgt lauten:
> "remote.domain.de" und bei einem Leaf-Cert (Zertifikatsvorlage:
> Webserver) der SBS 2008 CA ab Installationsdatum des SBS 2008 2 Jahre
> g�ltig sein (Exkurs: Root-Cert der SBS 2008 CA ist 5 Jahre g�ltig)

So ist es; das Zertifikat f�r remote.domain.de ist dort hinterlegt und
g�ltig bis Ende 2012.

> Ist dem so, liegt vermutlich ein DNS-Konfigurationsproblem Deines
> internen DNS-Servers bzw. der TCP/IP-Konfiguration der internen
> Clients vor.

Die Clients sind alle in der Dom�ne und haben statische IP's.
Als DNS und WINS ist ausschlie�lich der (einzige) SBS2008 eingetragen;
nslookup und ping funktionieren in beide Richtungen klaglos. Gateway-IP
ist die der Router/Firewall.

> DNS-Server der internen Clients muss IMMER ein AD-integrierter DNS
> Server sein (hier also SBS 2008 himself)

Yep; das kenne ich auch so und ist auch so eingestellt.
Outlook wurde �brigens durch die "normale" Installation eingerichtet;
also nur Best�tigung der Mailadresse und dann durch den
Officeassistenten; falls das von Bedeutung ist?

> Des Weiteren ist zu �berpr�fen, ob fehlerhafte DNS-Eintr�ge auf
> externe IP-Adresse (hier Web-Provider) f�lschlicherweise (per Hand)
> eingetragen wurden (und deswegen auf die
> confixx-Webadministrationsseite des externen Webservers verweist).

DA ist es; das kleine aber nervige �bel... :-)
Der Server hatte bei der Grundinstallation die IP 192.168.1.1 bekommen
und wurde nachtr�glich vor Ort angepasst auf 192.168.1.200. Assistent
lief problemlos durch und hat auch "alles sch�n" gemeldet.
Im DNS und DHCP war aber der alte Eintrag (.1) nicht korrigiert worden;
nach manueller Anpassung desselben klappt es jetzt.

Herzlichen Dank f�r Deine und Eure Unterst�tzung!
Der Wink mit dem DNS war goldrichtig!

Merksatz an mich selber: Assistenten sind auch nur Assistenten. ;)

--
Ciao...
Stefan

[Tobias Redelberger [MVP - SBS]]

Hi Stefan,

>> Des Weiteren ist zu �berpr�fen, ob fehlerhafte DNS-Eintr�ge auf
>> externe IP-Adresse (hier Web-Provider) f�lschlicherweise (per Hand)
>> eingetragen wurden (und deswegen auf die
>> confixx-Webadministrationsseite des externen Webservers verweist).
>
> DA ist es; das kleine aber nervige �bel... :-)
> Der Server hatte bei der Grundinstallation die IP 192.168.1.1 bekommen und
> wurde nachtr�glich vor Ort angepasst auf 192.168.1.200. Assistent lief
> problemlos durch und hat auch "alles sch�n" gemeldet.
> Im DNS und DHCP war aber der alte Eintrag (.1) nicht korrigiert worden;
> nach manueller Anpassung desselben klappt es jetzt.

daf�r gibt es den Wizzard "Fix my Network" aka "Beheben von
Netzwerkproblemen" (<- wer h�t's gedacht..)

> Herzlichen Dank f�r Deine und Eure Unterst�tzung!
> Der Wink mit dem DNS war goldrichtig!

Fein, das es jetzt klappt.

> Merksatz an mich selber: Assistenten sind auch nur Assistenten. ;)

Wenn man den Richtigen nimmt, klappt's auch mit dem SBS.. ;)