Toon posts:

Exchange certificaat problemen

Pagina: 1

Acties:

1.527 views
Reageer

donderdag 23 februari 2012 16:46

Acties:

Topicstarter

Ik dacht dat ik een tijd geleden het certificaat goed vernieuwd had van exchange. Echter krijg ik nu bij twee computers die extern werken de melding dat het certificaat niet geldig is. Hij laadt het verouderde certificaat zien. Terwijl deze inmiddels al is vernoemd.

Naar mijn idee is het allemaal goed geinstalleerd. Via SSL checker geeft hij ook geen errors:

Waarom blijft hij zoeken naar het oude certificaat? bij de server certificates in IIS staat enkel de nieuwe.

zijn er nog checks die ik kan doen? intern schijnt het wel goed te gaan en komt deze melding niet.

http://www.sslshopper.com...xchange.topselectgroep.nl

Ik hoor het graag! en alvast bedankt!

donderdag 23 februari 2012 19:38

Acties:

Moderator SSC/WOS

F7 - Nee - Ja

Tja, zonder te vermelden welke Exchange versie het om gaat en wat voor certificaat je precies ingesteld hebt wordt het lastig voor ons. Vertel dus eerst eens wat meer over:

Welke Exchange versie we praten
Wat voor certificaat gebruikt wordt, van welke Authority
Welke services gebinded zijn aan het certificaat
Zit er nog een reverse proxy tussen Exchange server en het internet
Etc.

Wat gebeurt er verder als je eea controleert met: https://www.testexchangeconnectivity.com/

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 24 februari 2012 07:56

Acties:

heb je de cache van die computers al eens leeggegooit?

kan ook zijn dat degene van die computers het certificaat lokaal heeft opgeslagen.

Hier resolvt alles goed in ieder geval dus lijkt mij bij die 2 computers te liggen.

vrijdag 24 februari 2012 08:00

Acties:

Topicstarter

Excuses voor de summiere post.

Het gaat hier om exchange 2007
het certificaat is een USERTrust Legacy Secure Server CA, issueed to exchange.topselectgroep.nl

Als ik in de exchange management shell kijk zijn de volgende services gebind aan CN=exchange.topselectgroep.nl IP.WS

daarnaast heb ik ook nog wat certificaten staan die door de server zelf zijn geissued deze hebben enkel de service S. Is dat correct?

De error die exchangeconnectivity test heeft is :

ExRCA is attempting to test Autodiscover for jules@topselectgroep.nl.
Testing Autodiscover failed.

Welke info is nog meer wenselijk om te kijken waar het probleem zou kunnen zitten?

vrijdag 24 februari 2012 12:01

Acties:

Om wat voor clients gaat het precies? Bij Windows XP Sp2 is bekend dat nieuwer certificaten (bv sha-256) niet goed worden herkend.
Daarnaast kan voor XP Sp3 nog een aanvullende patch nodig zijn om de nieuwe certificaten op correcte wijze van de server af te halen (Windows Server 2003 and Windows XP clients cannot obtain certificates from a Windows Server 2008-based certification authority (CA) if the CA is configured to use SHA2 256 or higher encryption)

vrijdag 24 februari 2012 12:02

Acties:

Topicstarter

Het gaat hierbij om Windows 7. met outlook 2010. Zou het er mee te maken kunnen hebben dat de autodiscover er niet is of iets dergelijks? Waardoor hij het nieuwe certificaat niet gaat zoeken?

vrijdag 24 februari 2012 12:10

Acties:

aap411vm schreef op vrijdag 24 februari 2012 @ 12:02:
Het gaat hierbij om Windows 7. met outlook 2010. Zou het er mee te maken kunnen hebben dat de autodiscover er niet is of iets dergelijks? Waardoor hij het nieuwe certificaat niet gaat zoeken?

Volgens mij kan dat niet zomaar worden uitgezet, maar dat weet ik niet zeker.
Is het toevallig zo dat het nieuwe certiticaat ook onder een nieuwe CA is uitgegeven? Mogelijk dat deze dan op de clients nog niet getrust is.

Bij andere clients werkt het neem ik aan wel naar behoren? Zijn dat ook OWA clients?

vrijdag 24 februari 2012 12:14

Acties:

Topicstarter

Dat zou kunnen dat deze op een nieuwe CA is uitgegeven. Bij andere clients werkt het wel naar behoren. 1 notebook doet het prima, 1 notebook gaf de melding

Nu op verse installatie van notebook + outlook hetzelfde probleem. Dacht eerst dat het wellicht een cache probleem kon zijn of iets dergelijks. Maar bij de nieuwe install wordt deze melding ook weer geven.

De OWA gaat wel via https://remote.topselectgroep.nl maar geeft helemaal geen melding.

in het interne netwerk schijnt het wel goed te gaan.

vrijdag 24 februari 2012 12:55

Acties:

aap411vm schreef op vrijdag 24 februari 2012 @ 12:14:
Dat zou kunnen dat deze op een nieuwe CA is uitgegeven. Bij andere clients werkt het wel naar behoren. 1 notebook doet het prima, 1 notebook gaf de melding

Nu op verse installatie van notebook + outlook hetzelfde probleem. Dacht eerst dat het wellicht een cache probleem kon zijn of iets dergelijks. Maar bij de nieuwe install wordt deze melding ook weer geven.

De OWA gaat wel via https://remote.topselectgroep.nl maar geeft helemaal geen melding.

in het interne netwerk schijnt het wel goed te gaan.

Certificate komt hier in ieder geval goed door wat OWA betref, dus dat is inderdaad goed.
Krijgen machines die in het interne netwerk staan toevallig via een aparte GPO de CA voor hun kiezen, of gaat dit via een andere werkwijze?

vrijdag 24 februari 2012 13:10

Acties:

Topicstarter

Een van de notebooks die extern veel werkt. Zit gewoon in het domein dus. Als deze extern werkt komt de GPO toch ook gewoon door?

vrijdag 24 februari 2012 13:21

Acties:

Verwijderd

Heb je wel een UC certificaat ?

http://www.sslshopper.com...s-with-exchange-2007.html

Dit loste bij mij ook problemen op met exchange 2010.
Onder andere autodiscover zit er dan bij
en je locale DNS naam

vrijdag 24 februari 2012 13:37

Acties:

Topicstarter

ik heb het certificaat bij deze firma aangeschaft. https://www.sslcertificat...xchange.topselectgroep.nl

Wat raar is dat voor de verlening heeft hij het prima gedaan..

vrijdag 24 februari 2012 16:34

Acties:

Had je het oude certificaat ook verwijdert uit Exchange?
En je moet je beginpagina van je webmail even laten redirecten naar /owa.

The best thing about UDP jokes is that I don't care if you get them or not.

vrijdag 24 februari 2012 17:10

Acties:

Topicstarter

naar mijn idee wel. Hoe kan ik dit controleren? Waar zou deze moeten staan?

vrijdag 24 februari 2012 21:57

Acties:

in het certificaat staat geen autodiscover.domain.com heb je iets van srv record die dit door verwijst?

ook de Exchange connectivitie test failed op de autodiscover. zit daar dan niet het probleem, misschien vergeten in het nieuwe certificaat?

zondag 26 februari 2012 00:52

Acties:

aap411vm schreef op vrijdag 24 februari 2012 @ 17:10:
naar mijn idee wel. Hoe kan ik dit controleren? Waar zou deze moeten staan?

Via de Exchange powershell: Get-ExchangeCertificate

The best thing about UDP jokes is that I don't care if you get them or not.

zondag 26 februari 2012 00:53

Acties:

Oid schreef op vrijdag 24 februari 2012 @ 21:57:
in het certificaat staat geen autodiscover.domain.com heb je iets van srv record die dit door verwijst?

ook de Exchange connectivitie test failed op de autodiscover. zit daar dan niet het probleem, misschien vergeten in het nieuwe certificaat?

Volgens mij wordt autodiscover alleen door Outlook gebruikt.

The best thing about UDP jokes is that I don't care if you get them or not.

zondag 26 februari 2012 13:27

Acties:

@hierboven

aap411vm schreef op vrijdag 24 februari 2012 @ 12:02:
Het gaat hierbij om Windows 7. met outlook 2010. Zou het er mee te maken kunnen hebben dat de autodiscover er niet is of iets dergelijks? Waardoor hij het nieuwe certificaat niet gaat zoeken?

daar heeft die het toch ook over? of zie Ik iets over het hoofd?

zondag 26 februari 2012 14:52

Acties:

Oid schreef op zondag 26 februari 2012 @ 13:27:
@hierboven

[...]

daar heeft die het toch ook over? of zie Ik iets over het hoofd?

@hierboven
yep, my bad...

The best thing about UDP jokes is that I don't care if you get them or not.

maandag 27 februari 2012 16:00

Acties:

Topicstarter

ik heb nu een DNS aangemaakt met autodiscover.domeinnaam en deze naar de server laten door verwijzen. Nu krijg ik een extra certificaat fout

. autodiscover.domeinnaam.nl de naam komt niet overeen met de naam van de website.

Ook geeft hij de melding van het oude certificaat nog steeds.

ik heb wat screens van de settings gemaakt. Wellicht zien jullie iets fouts.

Daarnaast heb ik nogmaals de exchange connectivity test uitgevoerd en dan de proxy ingevuld. Zoals ik dat ook in outlook doe.

Echter geeft hij een melding RPC Service unavailable op poort 6001. Als ik een telnet doe op die poort krijg ik keurig antwoord. Is dat geen rare melding? poort 6001 6002 en 6004 worden geforward naar de juiste server.

Afbeeldingslocatie: http://www.fourmedia.nl/1.png

Afbeeldingslocatie: http://www.fourmedia.nl/1.png

Afbeeldingslocatie: http://www.fourmedia.nl/2.png

Afbeeldingslocatie: http://www.fourmedia.nl/3.png

maandag 27 februari 2012 16:27

Acties:

heb je een srv account aangemaakt zoals bijv. hier staat aangegeven: Een nieuwe functie is beschikbaar maakt Outlook 2007 gebruiken DNS-Service Location (SRV) records vinden de Exchange Autodiscover-service

dinsdag 28 februari 2012 09:50

Acties:

Logisch dat je een certificaat fout krijgt... autodiscover zit niet in je certificaat.

dinsdag 28 februari 2012 10:31

Acties:

Topicstarter

nee, autodiscover heb ik er inderdaad niet inzitten. Maar in outlook geef ik altijd de proxy exchange.topselectgroep.nl . Dan zou hij toch gewoon het nieuwe certificaat moeten ophalen?

dinsdag 28 februari 2012 11:04

Acties:

Moderator SSC/PB

Moooooh!

Ah, ik denk dat ik weet wat er mis gaat. Outlook 2007 en hoger gebruikt standaard Autodiscover en gaat een hele riedel af om zijn confiuguratie op te halen. De tweede stap is dat hij het laatste deel van je mailadres pakt en hier een url mee creëert, in jouw geval: https://topselectgroep.nl/autodiscover/autodiscover.xml Om één of andere reden luister jij op die site/url maar heb je niet het juiste certificaat er op staan, dat is het punt waarop jij die melding krijgt.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 28 februari 2012 11:15

Acties:

Topicstarter

Maar als ik de proxy invul gaat hij alsnog op de autodiscover zitten zoeken?

Zo ja,

Kan ik via een SRV record een redirect maken zodat ik niet een extra certificaat nodig heb?

dinsdag 28 februari 2012 11:28

Acties:

Moderator SSC/PB

Moooooh!

Ja, hij gebruikt evengoed Autodiscover en je kunt de volgorde niet aanpassen omdat die hardcoded in Outlook zit.

Je opties, zoals ik die op het moment zie:
- Koppel een correct certifctaat aan https://topselectgroep.nl/autodiscover/autodiscover.xml (dus met topselectgroep.nl in het certificaat)
- Zorg dat je webserver niet antwoordt op https://topselectgroep.nl/autodiscover/autodiscover.xml, dan zal Outlook gewoon doorgaan met zijn rijtje
- Het gedrag van Autodiscover per client aanpassen, handige info hier: How to troubleshoot Autodiscover issues in Outlook in a Business Productivity Online Standard Suite environment

Je kunt wel een SRV record aanmaken maar dat is pas de vijfde of zesde stap voor Outlook, als hij één van de eerdere opties lijkt te kunnen gebruiken dan zal hij dat doen.

Misschien moet je het gewoon beschouwen als leergeld en een nieuw certificaat kopen met de juiste namen er op. Kost een paar honderd euro maar dan kun je ook weer drie jaar vooruit.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 28 februari 2012 12:39

Acties:

Topicstarter

Bedankt voor je uitgebreide antwoord Jazzy.

Ik heb de autodiscover gedisabled op de client (het gaat hierbij maar om twee externe gebruikers). Wat ik een beetje gek vind op de client is dat ik inlog met de gegevens. Ik gewoon verbonden ben en email krijg zonder meldingen of iets dergelijks.

Echter als ik weer op verzenden/ontvangen druk krijg ik weer de melding "certificate is expired". Wat ik dan gewoon niet begrijp dat als ik naar https://exchange.topselectgroep.nl deze de juiste gegevens heeft (niet expired) maar dat outlook nog de oude ophaalt. Terwijl er in de proxy toch echt exchange.topselectgroep.nl staat.

ik vraag mij zelf een beetje af of een certificaat van autodisover mijn probleem wel gaat verhelpen?

dinsdag 28 februari 2012 12:46

Acties:

Moderator SSC/PB

Moooooh!

Let even goed op de url: de plek waar je verkeerde certificaat draait is op de plek waar jullie website woont: topselectgroep.nl. Daar zit dat verkeerde certificaat.

Exchange en Office 365 specialist. Mijn blog.

woensdag 29 februari 2012 09:55

Acties:

Topicstarter

Dat was inderdaad niet zo handig. Nu is https://topselectgroep.nl/autodiscover/autodiscover.xml niet meer bereikbaar. maar de melding komt nog steeds. Dat zou toch niet moeten of wel?

Het oude certificaat kan toch niet op mijn externe webserver staan? Daar heb ik helemaal geen beheer op.

De laatste optie zou zijn een certificaat voor autodiscover.topselectgroep.nl aan te schaffen en te installeren op de server?

woensdag 29 februari 2012 10:16

Acties:

Moderator SSC/PB

Moooooh!

Screenshot van de melding?

Exchange en Office 365 specialist. Mijn blog.

woensdag 29 februari 2012 10:33

Acties:

Topicstarter

Hier 3 screenshots van de melding.

Afbeeldingslocatie: http://www.fourmedia.nl/outlook1.png

Afbeeldingslocatie: http://www.fourmedia.nl/outlook1.png

Afbeeldingslocatie: http://www.fourmedia.nl/outlook2.png

Afbeeldingslocatie: http://www.fourmedia.nl/outlook3.png

woensdag 29 februari 2012 10:50

Acties:

?

Certificaat geldig tot 12/11/2011
Dus verlopen.

Heb je er een ISA of TMG server tussen zitten waarop je 'oude' certificaat nog staat ?

[ Voor 45% gewijzigd door ZeRoC00L op 29-02-2012 10:51 ]

[*] Error 45: Please replace user
Volg je bankbiljetten

woensdag 29 februari 2012 11:11

Acties:

Topicstarter

In het netwerk draaien twee servers: Terminal Services en een SBS 2008 server. Hier draait wel Forefront Server Security op. (op de SBS dan).

Maar deze werkt toch nauw samen met exchange?

woensdag 29 februari 2012 13:08

Acties:

heb je het certificaat via het sbs console toegevoegd?

woensdag 29 februari 2012 14:04

Acties:

Topicstarter

uhm nee, Wel gemoeten?

woensdag 29 februari 2012 14:23

Acties:

Topicstarter

Ik heb hem niet geimporteerd via de SBS console. Maar hij staat er wel tussen. Echter kan ik deze niet verwijdereren denk ik zonder dat ik een ander certificaat erin zet. Zijn er soort van dummy certificaten die ik kan installeren en dan de exchange.topselectgroep.nl verwijderen en opnieuw importeren via de SBS console?

woensdag 29 februari 2012 15:26

Acties:

verwijder deze hoe je hem hebt geïmporteerd, en daarna voeg je hem weer toe via het SBS console? bij SBS is het best practice om gewoon alles via het console te doen, dan had je waarschijnlijk ook een goed certificaat gehad.

donderdag 1 maart 2012 11:41

Acties:

Topicstarter

Het blijft steeds raarder worden. Heb het certificaat opnieuw laten aanmaken met de CSR code. Dacht deze importeer ik dan in de SBS console. Geeft hij aan de imported certificate does not match your website.

Certificate installeren via de shell gaat helemaal prima. En als ik dan in de console dubbelklik op het certificaat krijg ik hem ook te zien.

Terug naar outlook om te testen: Maakt na het inloggen keurig verbinding en haalt mail op (zonder melding).

Zodra ik op verzenden/ontvangen druk. Komt hij weer met het verlopen certificaat aanzetten....

Ik vraag me nu echt af waar hij dat ding nog vandaag kan halen. Op de terminal server nog gecontroleerd maar daar zat ook geen certificaat in..

Is er nog een manier om dat certificaat te traceren? waar hij wordt opgehaald?

dinsdag 6 maart 2012 10:21

Acties:

Topicstarter

Heb het probleem eindelijk gevonden. Naast de default web applications in IIS. heb ik ook een sharepoint draaien. Hier hing het oude niet bestaande certificaat nog aan. Deze verwijderd en weg melding.

Wellicht dat iemand anders hier nog iets aan heeft.

dinsdag 6 maart 2012 15:14

Acties:

Moderator SSC/PB

Moooooh!

Bedankt voor het terugkoppelen.

Exchange en Office 365 specialist. Mijn blog.

Pagina: 1

Reageer