TweakPC

Zurück   Computer Hardware Forum - TweakPC > Games und Software > Windows & Programme

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 29.04.2020, 12:57   #1 (permalink)
Tweaker
 
Benutzerbild von Morphois
 

Registriert seit: 26.02.2007
Beiträge: 786

Morphois sorgt für eine eindrucksvolle AtmosphäreMorphois sorgt für eine eindrucksvolle Atmosphäre

Standard Exchange Zertifikat abgelaufen oder doch nicht?!

Hallöle Leuts.

Ich hab ein etwas seltsames Problem und hoffe mir kann jemand weiterhelfen.
Ich hab mir schon die Finger wundgegoogelt und die Augen fusselig gelesen aber ich finde keine Lösung.
(Vielleicht suche ich falsch )

Wir haben einen Exchange im Einsatz mit einem selbstausgestellten Zertifikat. Der Exchange muss nur von intern erreichbar sein.
Seit 4 Tagen bekommen die Kollegen die Meldung dass das Zertifikat abgelaufen oder noch nicht gültig ist.
Wenn ich dann auf "Zertifikat anzeigen" gehe, bekomme ich angezeigt, dass das Zertifikat angeblich von 25.04.2018 bis 25.04.2020 gültig ist.
Somit hat Outlook recht. Das Zertifikat ist abgelaufen.

Wenn ich aber auf dem Exchange nachschaue, bekomme ich in der EMS mit "get-exchangecertificate" angezeigt das das Zertifikat bis 04.10.2020 gültig ist.

Die Namen im Zertifikat stimmen auch überein.

Im IIS ist das richtige Zertifikat ausgewählt (Da hat auch keiner was gemacht)

So langsam bin ich mit meinem Latein am Ende.

Vielleicht weiß ja einer von euch woran das liegen könnte.
Morphois ist offline   Mit Zitat antworten
Alt 29.04.2020, 13:43   #2 (permalink)
Hardware Freak
 
Benutzerbild von swatcher1
 

Registriert seit: 10.04.2002
Beiträge: 7.866

swatcher1 kann auf vieles stolz seinswatcher1 kann auf vieles stolz seinswatcher1 kann auf vieles stolz seinswatcher1 kann auf vieles stolz seinswatcher1 kann auf vieles stolz seinswatcher1 kann auf vieles stolz seinswatcher1 kann auf vieles stolz seinswatcher1 kann auf vieles stolz sein

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Was Zertifikate angeht bin ich leider nicht tief genug im Thema. Aber ein Brainstorming schadet ja sicher nichts.

Kann es vielleicht sein, dass das abgelaufene Zertifikat [per GPO] an die Clients ausgerollt wurde, das nachträglich / zusätzlich ausgestellte mit Ablaufdatum 10/2020 jedoch nicht?
Ich brauche keinen Sex; das Leben f.i.c.k.t mich bereits wo es nur kann...
Daher ironiere ich einfach so lange, bis ich einen Sarkasmus habe!


HEADS I win, tails you lose... | https://www.tweakpc.de/forum/members...ture94-sig.gif
swatcher1 ist offline   Mit Zitat antworten
2 Benutzer bedanken sich für den Beitrag:
Morphois (29.04.2020), Tweak-IT (29.04.2020)
Alt 29.04.2020, 14:14   #3 (permalink)
Tweaker
 
Benutzerbild von Morphois
 

Registriert seit: 26.02.2007
Beiträge: 786

Morphois sorgt für eine eindrucksvolle AtmosphäreMorphois sorgt für eine eindrucksvolle Atmosphäre

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Zitat:
Zitat von swatcher1 Beitrag anzeigen
Was Zertifikate angeht bin ich leider nicht tief genug im Thema. Aber ein Brainstorming schadet ja sicher nichts.

Kann es vielleicht sein, dass das abgelaufene Zertifikat [per GPO] an die Clients ausgerollt wurde, das nachträglich / zusätzlich ausgestellte mit Ablaufdatum 10/2020 jedoch nicht?
Hm. Das könnte ich mal nachschauen.
Schon mal danke für den Tipp.
Morphois ist offline   Mit Zitat antworten
Alt 29.04.2020, 14:54   #4 (permalink)
Firmware Killer
 
Benutzerbild von Tweak-IT
 

Registriert seit: 11.03.2005
Beiträge: 4.361

Tweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer AnblickTweak-IT ist ein wunderbarer Anblick

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Also in den offiziellen Dokumenten steht wie es gemacht wird aber kein Wort wie man das Zertifikat auf die Clients bekommt.

https://docs.microsoft.com/en-us/exc...xchserver-2019
Tweak-IT ist offline   Mit Zitat antworten
Alt 29.04.2020, 18:49   #5 (permalink)
Hardware Freak
 
Benutzerbild von Killerpixel
 

Registriert seit: 01.01.2007
Beiträge: 11.494

Killerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz sein

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Das Zertifikat kommt, wie der swatcher das schon richtig tippt, per GPO auf die Clients. Hab zwar länger keinen Exchange mit self-signed Zertifikaten in der Hand gehabt, aber das ist "best practice".

Natürlich auch möglich dass da mal irgendwann einer den roflcopter ausgepackt und die Dinger von Hand verteilt hat...aber GPO ist der richtige Ansatz. Einfach per Richtlinie das aktuelle Zert (eventuell gleich n Neues erstellen, wenne einmal drüber bist?) in den vertrauswürdigen Speicher auf den Clients und presto, Fehler weg.
Das Motto der Minensucher: Wer suchet, der findet. Wer drauftritt verschwindet.

Killerpixel ist offline   Mit Zitat antworten
Für diesen Beitrag bedankt sich:
Tweak-IT (29.04.2020)
Alt 29.04.2020, 22:36   #6 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

N'Abend.

Habt ihr ne interne CA?
Dann muss da nix per GPO ausgerollt werden, außer dem Stammzertifikat der Domain.

Wenn ihr keine interne CA habt, greift das, was meine Vorredner schon geschrieben haben: Korrektes Zertifikat per GPO verteilen.

"Best Practice" ist beides aber mitnichten. Best Practice ist es, ein offizielles Zertifikat zu benutzen, dann steht man niemals vor dem geschilderten Problem. Seid einiger Zeit geht das sogar kostenlos mit nem Let's Encrypt Zertifikat, das wird mittlerweile von allen aktuellen Browsern und Mailclients akzeptiert.

Cheers,
Joshua
select * from USERS where IQ > 60
0 rows returned.
Joshua ist offline   Mit Zitat antworten
4 Benutzer bedanken sich für den Beitrag:
Killerpixel (30.04.2020), Profi Overclocker (30.04.2020), poiu (04.05.2020), Tweak-IT (30.04.2020)
Alt 29.04.2020, 23:04   #7 (permalink)
Mega Hyperaktiver Nerd
 
Benutzerbild von Profi Overclocker
 

Registriert seit: 12.12.2009
Beiträge: 7.616

Profi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer Anblick

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Zitat:
Zitat von Joshua Beitrag anzeigen
N'Abend.

Habt ihr ne interne CA?
Dann muss da nix per GPO ausgerollt werden, außer dem Stammzertifikat der Domain.

Wenn ihr keine interne CA habt, greift das, was meine Vorredner schon geschrieben haben: Korrektes Zertifikat per GPO verteilen.

"Best Practice" ist beides aber mitnichten. Best Practice ist es, ein offizielles Zertifikat zu benutzen, dann steht man niemals vor dem geschilderten Problem. Seid einiger Zeit geht das sogar kostenlos mit nem Let's Encrypt Zertifikat, das wird mittlerweile von allen aktuellen Browsern und Mailclients akzeptiert.

Cheers,
Joshua

+1


Geht mit Letsencrypt auch vollautomatisiert.
https://www.frankysweb.de/exchange-2...-lets-encrypt/
Profi Overclocker ist offline   Mit Zitat antworten
Alt 30.04.2020, 08:21   #8 (permalink)
Tweaker
 
Benutzerbild von Morphois
 

Registriert seit: 26.02.2007
Beiträge: 786

Morphois sorgt für eine eindrucksvolle AtmosphäreMorphois sorgt für eine eindrucksvolle Atmosphäre

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Zitat:
Zitat von Killerpixel Beitrag anzeigen
Natürlich auch möglich dass da mal irgendwann einer den roflcopter ausgepackt und die Dinger von Hand verteilt hat...aber GPO ist der richtige Ansatz.
Der Roflcopter ist leider ziemlich weit weggezogen sonst hätte ich den schon mehrmals an den Ohren herbeigezogen und ihn mit allen mir zu Verfügung stehenden Mitteln gezwungen seinen Bull-Shit zu korrigieren, den er hier verbrochen hat.

Es wird tatsächlich ein Zertifikat per GPO ausgerollt. Allerdings bringt das ein weiteres Ablaufdatum ins Spiel. Und, das ist nicht das Zertifikat für den Exchange (exchange.unsere-domain.de/local) sondern nur für den Server.
(S02 / S02.unsere-domain.local)

Zitat:
Zitat von Joshua Beitrag anzeigen
Habt ihr ne interne CA?
Dann muss da nix per GPO ausgerollt werden, außer dem Stammzertifikat der Domain.
Leider nicht.

Edit: Doch. Wir haben eine CA. (Ich könnte ihn würgen.)
Also ich hab mir jetzt mal die Zertifikate im MMC-SnapIn anzeigen lassen und komischerweise wird bei den Computerkonto-Zertifikaten das richtige gezogen, doch bei den Benutzerkonto-Zertifikaten weiterhin das abgelaufene.

Edit2: oh man... Ich könnte ihn ERwürgen...
Es werden insgesamt 11 Zertifikate in unterschiedlichen GPOs ausgerollt.
Am Besten ich fang nochmal von 0 an.
Schick alle in den Lockdown und bereite das die nächsten Wochen vor...

Geändert von Morphois (30.04.2020 um 13:08 Uhr)
Morphois ist offline   Mit Zitat antworten
2 Benutzer bedanken sich für den Beitrag:
Profi Overclocker (30.04.2020), poiu (04.05.2020)
Alt 30.04.2020, 16:19   #9 (permalink)
Hardware Freak
 
Benutzerbild von Killerpixel
 

Registriert seit: 01.01.2007
Beiträge: 11.494

Killerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz sein

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Klingt ganz danach, als hätte da jemand wild sämtliche how-tos, die er gefunden hat, einfach mal befolgt.

Ganz von Null musst du da nicht. Einfach die Zertifikate frisch machen. Wenn du dich an die "unbekannte" CA nicht rantraust, dann mach für den Exchange ein separates per Let's Encrypt (oder wenns Ghetto bleiben soll, ein self-signed...) und roll das per GPO aus, das sollte deine Probleme beheben.

@Joshua: Daher auch die Anführungszeichen um das "best practice". Ich hatte ewig keinen mehr ohne gekauftes Zertifikat in den Griffeln, aber die hier geschilderte "Lösung" trägt nen starken Hauch von SBS 08/11....und da war das idR mit den Zertifikaten so, das war von Haus aus ne ziemliche Katastrophenlösung.
Killerpixel ist offline   Mit Zitat antworten
Für diesen Beitrag bedankt sich:
Morphois (04.05.2020)
Alt 30.04.2020, 23:49   #10 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

N'Abend.
Zitat:
Zitat von Morphois Beitrag anzeigen
[...]Ich könnte ihn ERwürgen...[...]
Nicht doch - geht zu schnell. Das hier ist besser:
https://www.getdigital.de/LART-Netzw...ine-Tails.html

Back2topic:
Ist das Stammzertifikat eurer Domain noch gültig? Wenn ja, einfach ein neues Zertifikat für den Exchange von ihr ausstellen lassen und im Exchange einbinden (IIS nicht vergessen). Wenn das Stammzertifikat abgelaufen ist, wird's eh blöd, nicht nur mit dem Exchange. Da würd' ich dann zu intensiver Lektüre oder einem Dienstleister raten, der das vor Ort binnen kürzester Zeit wieder grad gebogen bekommt.

Ich lege noch mal zwei Links nach, einfach nur auf die Hauptseite(n) - dort finden sich nicht nur viele sondern vor allem sehr gute Artikel:
https://www.msxfaq.de
https://www.frankysweb.de

Cheers,
Joshua

P.S.:
Ich möchte nur klarstellen, dass der Hinweis auf einen Dienstleister hier nicht despektierlich gemeint ist. Es gibt aber Situationen, in denen "einmal mit Profis arbeiten" tatsächlich der beste Rat ist...

---------- Post hinzugefügt 23:49 ---------- Vorheriger Post von at 23:46 ----------

N'Abend.
Zitat:
Zitat von Killerpixel Beitrag anzeigen
[...]@Joshua: Daher auch die Anführungszeichen um das "best practice". Ich hatte ewig keinen mehr ohne gekauftes Zertifikat in den Griffeln, aber die hier geschilderte "Lösung" trägt nen starken Hauch von SBS 08/11....und da war das idR mit den Zertifikaten so, das war von Haus aus ne ziemliche Katastrophenlösung.
Naja, auch zu SBS-Zeiten waren interne Zertifikate eher die Computerbild- und Bastellösung. Auch der Exchange auf dem SBS hat mit öffentlichen Zertifikaten deutlich besser funktioniert.

Ich hatte (und habe noch) die Ehre, ne ganze Reihe von den Dingern durch etwas "vernünftiges" zu ersetzen. Meine Begeisterung könnte nicht größer sein... :-\

Cheers,
Joshua
Joshua ist offline   Mit Zitat antworten
Für diesen Beitrag bedankt sich:
Morphois (04.05.2020)
Alt 30.04.2020, 23:55   #11 (permalink)
Hardware Freak
 
Benutzerbild von Killerpixel
 

Registriert seit: 01.01.2007
Beiträge: 11.494

Killerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz sein

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Zitat:
Zitat von Joshua Beitrag anzeigen
Naja, auch zu SBS-Zeiten waren interne Zertifikate eher die Computerbild- und Bastellösung. Auch der Exchange auf dem SBS hat mit öffentlichen Zertifikaten deutlich besser funktioniert.

Ich hatte (und habe noch) die Ehre, ne ganze Reihe von den Dingern durch etwas "vernünftiges" zu ersetzen. Meine Begeisterung könnte nicht größer sein... :-\
Habe nichts anderes behauptet.

Habe in den letzten zwei Jahren leider auch einige von den Dingern "zwangsmigrieren" müssen. Hab nicht einen einzigen mit nem öffentlichen Zertifikat vorgefunden. Die waren alle mehr oder weniger so, wie sie aus dem SBS-Konfigurator rausgefallen sind.


@Morphois: Was ist das für eine Exchange-Version? Und auf welchem Windows läuft die? Wenn da grad was "nicht funktioniert" wäre das ne gute Gelegenheit, nach einer Freigabe für ein Upgrade zu angeln, sofern das nicht schon was halbwegs aktuelles ist.
Killerpixel ist offline   Mit Zitat antworten
Für diesen Beitrag bedankt sich:
Morphois (04.05.2020)
Alt 04.05.2020, 08:28   #12 (permalink)
Tweaker
 
Benutzerbild von Morphois
 

Registriert seit: 26.02.2007
Beiträge: 786

Morphois sorgt für eine eindrucksvolle AtmosphäreMorphois sorgt für eine eindrucksvolle Atmosphäre

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Zitat:
Zitat von Joshua Beitrag anzeigen
N'Abend.

Nicht doch - geht zu schnell. Das hier ist besser:
https://www.getdigital.de/LART-Netzw...ine-Tails.html
Nee schön langsam. Immer wieder Luft holen lassen zwischendurch.

Zitat:
Zitat von Joshua Beitrag anzeigen
Back2topic:
Ist das Stammzertifikat eurer Domain noch gültig? Wenn ja, einfach ein neues Zertifikat für den Exchange von ihr ausstellen lassen und im Exchange einbinden (IIS nicht vergessen). Wenn das Stammzertifikat abgelaufen ist, wird's eh blöd, nicht nur mit dem Exchange. Da würd' ich dann zu intensiver Lektüre oder einem Dienstleister raten, der das vor Ort binnen kürzester Zeit wieder grad gebogen bekommt.
Stammzertifikat ist noch gültig.
Hab mich grad mit meinem Kollegen beraten. Wir werden jetzt einen Dienstleister einschalten. Für diese Kinder***** haben wir im normalen Betrieb keine Zeit. Sind eh chronisch unterbesetzt.

Zitat:
Zitat von Killerpixel Beitrag anzeigen
@Morphois: Was ist das für eine Exchange-Version? Und auf welchem Windows läuft die? Wenn da grad was "nicht funktioniert" wäre das ne gute Gelegenheit, nach einer Freigabe für ein Upgrade zu angeln, sofern das nicht schon was halbwegs aktuelles ist.
Ist ein Exchange 2013 auf einem 2012 R2.
Upgrade wird höchst wahrscheinlich nichts werden. Wir werden vermutlich demnächst in Kurzarbeit gehen müssen, "dank" der aktuellen Situation. Da brauch ich unsere Chefin nicht nach mehrstelligen Beträgen für neue Software und/oder (um Gottes Willen, ich trau mich was) Hardware zu fragen.
Morphois ist offline   Mit Zitat antworten
Alt 04.05.2020, 22:28   #13 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

N'Abend.
Zitat:
Zitat von Morphois Beitrag anzeigen
[...]Stammzertifikat ist noch gültig.[...]
Dann könnte das in Minuten erledigt sein - also, wenn ihr eure interne CA bedienen könnt/diese erreichbar ist und funktioniert:
https://www.frankysweb.de/exchange-2...ungsstelle-ca/

Zitat:
[...]Wir werden jetzt einen Dienstleister einschalten.[...]
In Anbetracht leerer Kassen auch ein Schritt, den man vor seinem Chef erstmal rechtfertigen und von ihm genehmigt bekommen muss.

In any case - ich wünsch' euch viel Erfolg.

Cheers
Joshua
Joshua ist offline   Mit Zitat antworten
Alt 12.05.2020, 09:19   #14 (permalink)
Tweaker
 
Benutzerbild von Morphois
 

Registriert seit: 26.02.2007
Beiträge: 786

Morphois sorgt für eine eindrucksvolle AtmosphäreMorphois sorgt für eine eindrucksvolle Atmosphäre

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

So.
Mal ein kurzes Update.
Gefühlt sind da jetzt schon 1000h Arbeit reingeflossen.
Ich frag mich ernsthaft was mein Vorgänger hier gemacht hat.
Ich glaube wirklich der hat gewürfelt, welche Funktion er auf welchen Server verteilt.
Nachdem wir es nicht hinbekommen haben, haben wir einen Dienstleister eingeschaltet.
Der kannste wohl auch meinen Vorgänger und hat während des Telefonats mehrfach vor sich hingemurmelt... "Was hat der denn da für einen ****** gemacht."
Nun haben wir ein neues Zertifikat.
Allerdings funktioniert das immer noch nicht, da nun scheinbar unsere Firewall/Proxy sich quer stellt.

Wenn ich in den Internetoptionen den Proxy eingetragen habe und unter [Erweitert] noch *.unsere-domain.de eintrage, dann wird das richtige Zertifikat gezogen. Sobald ich das wieder rausnehme, ZACK, Meldung das das Zertifikat abgelaufen ist.
Wir haben das Zertifikat auch schon auf unseren Terminalservern installiert.
Das wird einfach weg ignoriert.

Ich hab auch schon auf der Firewall versucht die URL freizugeben.
Diverse Ansätze probiert...
Keine Chance.

Jetzt wird der nächste Dienstleister beauftragt.
Kostet ja nur 140€/h + Steuer...
Morphois ist offline   Mit Zitat antworten
Alt 13.05.2020, 19:58   #15 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

N'Abend
Zitat:
Zitat von Morphois Beitrag anzeigen
So. Mal ein kurzes Update.[...]
Wow... Liest sich wie ein schlechter Krimi - halte die Daumen, dass ihr das hinbekommt.

Cheers,
Joshua

P.S.:
Zitat:
[...]Jetzt wird der nächste Dienstleister beauftragt.
Kostet ja nur 140€/h + Steuer...
Wir nehmen weniger.
Joshua ist offline   Mit Zitat antworten
Alt 20.05.2020, 10:33   #16 (permalink)
Tweaker
 
Benutzerbild von Morphois
 

Registriert seit: 26.02.2007
Beiträge: 786

Morphois sorgt für eine eindrucksvolle AtmosphäreMorphois sorgt für eine eindrucksvolle Atmosphäre

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

So.Was lange währt wird endlich gut.
Wir haben es geschafft (mit externer Unterstützung)

Nachdem bei uns auf den Rechner die Firewall (Sophos UTM9) als Proxy eingetragen ist, deswegen auch auf den lokalen Rechner das Zertifikat exchange.unsere-domain.de, gehen die Rechner den Weg durchs Netzwerk, Über die Firewall/Proxy, sind somit eigentlich "außerhalb" des Netzwerkes und greifen dann wieder auf den internen Exchange zu.

Obwohl in dem Zertifikat auch exchange.unsere-domäne.local drin steht UND S02.unsere-domäne.local (S02 = Exchange) UND auch in den Netzwerkeinstellungen eingetragen ist, das der Proxy für lokale Adressen umgangen werden soll, hat das alles nicht funktioniert.

Nach langem Suchen haben wir dann entdeckt, das in der Firewall das Zertifikat für Zugriffe von extern auch nochmal eingetragen war.
Zertifikat ausgetauscht und alles gut...

Morphois ist offline   Mit Zitat antworten
2 Benutzer bedanken sich für den Beitrag:
Profi Overclocker (20.05.2020), Tweak-IT (20.05.2020)
Alt 20.05.2020, 10:44   #17 (permalink)
Mega Hyperaktiver Nerd
 
Benutzerbild von Profi Overclocker
 

Registriert seit: 12.12.2009
Beiträge: 7.616

Profi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer Anblick

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

io, ja mit nem Proxy wird das schnell lustig

Mit der UTM 9 habt ihr aber auch die Möglichkeit die WAF zu verwenden und - je nachdem wie aktuell eure Firmware ist - automatisch Let's Encrypt Zertifikate zu verwenden (Erstellung und Renewal macht die Sophos).

Bei vollständiger Konfiguration kommunizieren die Clients dann mit der WAF (UTM9) und die WAF mit dem Exchange. Dazu gibt's auf Frankysweb auch einen Guide
Du hast dann das Letsencrypt Cert mit Autorenewal auf der Sophos und brauchst am Exchange keins mehr zu verlängern - da kann das Zert dann getrost auslaufen.

Und ich denke mal die Sophos ist bei euch eh der zentrale dreh und Angelpunkt?

Main:
ASUS ROG MAXIMUS X FORMULA|Intel Core i9 9900k @ 5 GHz|DUAL AMD RX VEGA 64 @WATER
|Samsung 950 Pro NVMe M2 256 GB|BeQuiet DarkBase 900 Rev. 2|Corsair AX 1600i

Server:
ASUS Z6PE-D18|Intel Xeon X5670|Intel Xeon X5670|96GB RAM Hynix DDR3 1333 RDIMM ECC|HP P410 1GB FBWC|4x 2TB Curcial MX500

Profi Overclocker ist offline   Mit Zitat antworten
Alt 20.05.2020, 17:51   #18 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Servus
Zitat:
Zitat von Profi Overclocker Beitrag anzeigen
[...]Du hast dann das Letsencrypt Cert mit Autorenewal auf der Sophos und brauchst am Exchange keins mehr zu verlängern - da kann das Zert dann getrost auslaufen.[...]
Da bin ich anderer Meinung - ein abgelaufenes Zertifikat auf dem Exchange verhindert zuverlässig die verschlüsselte Kommunikation, egal ob da ne Sophos vorne dran steht oder nicht. Der IIS auf dem Exchange wird dir bei jedem Aufruf -ob der nun direkt von nem Client oder von der Sophos kommt- ne Fehlermeldung rauskotzen.

Cheers,
Joshua
Joshua ist offline   Mit Zitat antworten
Alt 21.05.2020, 18:33   #19 (permalink)
Mega Hyperaktiver Nerd
 
Benutzerbild von Profi Overclocker
 

Registriert seit: 12.12.2009
Beiträge: 7.616

Profi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer AnblickProfi Overclocker ist ein wunderbarer Anblick

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Das mit der Fehlermeldung stimmt. Aber die Kommunikation findet auch trotz abgelaufenen Zertifikat verschlüsselt statt.

Mit nem Client würdest du dann eine Zertifikatswarnung erhalten - mit der WAF wird das aber, wenn gewollt, ignoriert.

Aber ja, schöner ist's wenn beides aktuell ist.
Profi Overclocker ist offline   Mit Zitat antworten
Für diesen Beitrag bedankt sich:
Joshua (22.05.2020)
Alt 22.05.2020, 08:08   #20 (permalink)
IT-Pro aus Leidenschaft
 
Benutzerbild von Joshua
 

Registriert seit: 28.10.2002
Beiträge: 1.463

Joshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekanntJoshua ist jedem bekannt

Standard AW: Exchange Zertifikat abgelaufen oder doch nicht?!

Moin.
Zitat:
Zitat von Profi Overclocker Beitrag anzeigen
[...]Mit nem Client würdest du dann eine Zertifikatswarnung erhalten - mit der WAF wird das aber, wenn gewollt, ignoriert.[...]
Interessant, danke für den Hinweis, das muss ich mal nachstellen und testen.

Cheers,
Joshua
Joshua ist offline   Mit Zitat antworten
Antwort

Stichworte
abgelaufen, exchange, zertifikat


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[News] AMD steht nicht zum Verkauf - oder doch? TweakPC Newsbot News 12 11.10.2010 12:49
Kolumne: Die Diskette ist out - oder doch nicht? TweakPC Newsbot News 13 29.04.2008 22:42
E6750 oder doch nicht? FrankfurtAdler Prozessoren 7 08.11.2007 16:08
XL = XL oder doch nicht in diesem Land.... xtrm2k Politik & Gesellschaft 19 30.04.2004 13:38


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:04 Uhr.






Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.
Impressum, Datenschutz Copyright © 1999-2015 TweakPC, Alle Rechte vorbehalten, all rights reserved