Nach einem Update auf Exchange 2007 SP2 (ja, ich weiß, sehr spät) habe ich Probleme beim Anmelden bei Outlook. Ich sehe die folgende Meldung ...
Alternativtext http://www.freeimagehosting.net/uploads/1960a40166.jpg
Ich hatte auch ähnliche Probleme mit dem Webzugriff und da ich zu Hause mit IIS arbeite, ließ sich das leicht lösen. Allerdings ist mir aufgefallen, dass der Server eine Reihe von Schlüsseln für autodiscover.mycompamy.com, exchange.mycompamy.com usw. enthält und es scheint, dass das SP2-Upgrade nicht wusste, wie es damit umgehen soll.
Da ich über ein Wildcard-SSL verfüge, halte ich es für ratsam, alle anderen Zertifikate zu entfernen. Was kann ich jedoch tun, um die Fehlermeldungen beim Öffnen von Outlook zu beenden?
Antwort1
Führen Sie von EMS aus get-exchangecertificate aus. Dadurch werden Ihnen alle Ihre Zertifikate und deren Verwendungszweck angezeigt. Unter „Dienste“ steht „I“ für IIS und sollte auf Ihr Wildcard-Zertifikat angewendet werden. Wenn dies nicht der Fall ist, kopieren Sie den Fingerabdruck für Ihr Wildcard-Zertifikat und führen Sie diesen Befehl aus:
Aktivieren Sie „Exchange-Zertifikat - Fingerabdruck <paste thumbprint here>- Dienste IIS“
Probieren Sie anschließend die Verbindung erneut aus.
Antwort2
Dies scheint eher eine Fehlkonfiguration von IIS/Exchange zu sein als ein tatsächliches, durch SP2 verursachtes Problem. Möglicherweise wurden nur einige Einstellungen auf die Standardwerte zurückgesetzt, was dieses Verhalten verursacht.
Aus deinem Screenshot ist ersichtlich, dass der Autodiscover-Dienst über den Hostnamen "autodiscover.ad.unc.edu" aufgerufen wurde, wenn du dort auf den Button "Zertifikat anzeigen" klickst, kannst du dir anschauen, welches Zertifikat tatsächlich verwendet wurde und ob es mit der aufgerufenen URL übereinstimmt.
Außerdem sieht „autodiscover.ad.unc.edu“ für mich wie eine interne Domäne aus (eine Subdomäne Ihrer Hauptdomäne, speziell für die AD-Verwendung); wenn dies der Name ist, den Sie tatsächlich verwenden sollten (oder nicht?), reicht Ihr Platzhalterzertifikat hierfür möglicherweise nicht aus, da viele Browser dafür bekannt sind, Platzhalterzertifikate für Subdomänen der zweiten Ebene (*.*.domain.com) nicht korrekt zu verarbeiten.
Antwort3
Offensichtlich stimmte die Domäne in Ihrer Adressleiste nicht mit dem allgemeinen Namen oder dem Feld „Subject Alternative Name“ (SAN) des Zertifikats auf der Site überein.
Zum Beispielhttp://www.ssltools.com/certificate_lookup/autodiscover.ad.unc.eduzeigt an
Allgemeiner Name: outlook.unc.edu
Alternative Betreffnamen: outlook.unc.edu, autodiscover.ad.unc.edu, ad.unc.edu, outlook.ad.unc.edu, manning.outlook.unc.edu, franklin.outlook.unc.edu
Name des Ausstellers: DigiCert High Assurance CA-3
Seriennummer: 09:85:58:8e:02:1e:74:05:88:7b:11:cc:3e:0a:f6:0c
SHA1-Fingerabdruck: F3:D6:8E:EC:2D:C7:0D:B1:DD:C8:EA:67:69:9B:C0:A9:03:62:73:FB
Schlüssellänge: 2048 Bit
Signaturalgorithmus: sha1WithRSAEncryption
Sichere Neuverhandlung: Nicht unterstützt
Es wird angezeigt, dass Ihr Zertifikat UCC ist und korrekt angezeigt wird, wenn ich autodiscover.ad.unc.edu in das Adressfenster meines Browsers eingebe. Da einige Ihrer SAN-Einträge offensichtlich mehr als eine Ebene von Subdomänen aufweisen, funktioniert Wildcard nicht.