Vreemd certificaat - Serversoftware en clouddiensten

dinsdag 8 mei 2012 09:06

Acties:

Topicstarter

Hallo,

Ik heb een Windows SBS 2011 server icm Exchange 2010. Daarop is een SSL certificaat geinstalleerd van GoDaddy welke is aangevraagd op een DNS naam van ons domein. In dit geval: mail.<onzedomeinnaam>.nl. Deze heb ik ook aangemaakt bij de provider en verwijst naar het externe IP van onze Exchange server. Ik wil graag RPC over HTTPS (Outlook Anywhere) gaan gebruiken. Heb Outlook Anywhere ingeschakeld op de server.

Ik heb een Windows 7 pc met Outlook 2010 erop en deze wil ik als client gebruiken. Ik kan het account gewoon toevoegen. De mailbox werkt na toevoegen ook goed, ik zie alle mails keurig verschijnen. Het probleem is echter dat ik na zo'n 20 sec na het opstarten van Outlook een beveiligingswaarschuwing krijg. Zie bijlage 1. Als ik op certificaat weergeven klik dan zie ik een hele vreemde naam staan. Zie bijlage 2. Ik ken Tommybookingssupport helemaal niet. Nooit van gehoord. Ook kan ik het niet terug vinden op de server!? Wie kan me helpen trouble shooten? Heb er al veel tijd ingestoken maar kan nergens iets terug vinden over die Tommybookingsupport. Heb trouwens ook al op meerdere pc's met Outlook 2010 getest. Overal komt dezelfde certificaat waarschuwing terug.

Als ik trouwens naar https://mail.<onzedomeinnaam.nl>.nl/owa surf en dan kijk bij het certificaat zie ik dat hij wel het goede certificaat pakt. Ook de sync van Exchange op de mobiel werkt perfect! Het probleem doet zich alleen voor bij Outlook Anywhere (zoals het nu lijkt).

Alvast bedankt voor de hulp.

Groeten Vincent

Bijlage 1:
Afbeeldingslocatie: http://vincentroelofs.nl/Fout%20SV.jpg

Afbeeldingslocatie: http://vincentroelofs.nl/Fout%20SV.jpg

Bijlage 2:
Afbeeldingslocatie: http://vincentroelofs.nl/Fout%20SV2.jpg

[ Voor 3% gewijzigd door superspinnie op 08-05-2012 09:07 ]

dinsdag 8 mei 2012 09:15

Acties:

__fred__

Outlook gebruikt de autodiscover service, die de informatie terug moet geven om zonder instellingen naar exchange te connecten. Dit doet outlook door te connecten naar autodiscover.<domeinnaam>.nl via SSL en dan een specifiek XML bestand op te vragen.

Waarschijnlijk verwijst *.<domeinnaam>.nl in de DNS naar een bepaalde shared hoster, die op dat IP adres op de SSL poort een andere website heeft draaien.

Zie ook http://technet.microsoft....2063%28v=exchg.80%29.aspx

dinsdag 8 mei 2012 09:37

Acties:

superspinnie

Topicstarter

Ik heb nu gebeld met de hosting provider. Er stond inderdaad een *.<onzedomeinnaam>.nl ingesteld. Heb nu 'hard' de A record autodiscover.<onzedomeinnaam>.nl aan laten maken. Die is inmiddels ook doorgevoerd.

Als ik nu Outlook 2010 opstart krijg ik echter nog steeds de foutmelding zoals in Bijlage 1 in mijn eerste post. Het verschil is dat als ik nu op Certificaat Weergeven klik dan geeft hij nu wel het goede certificaat weer. Namelijk mail.<onzedomeinnaam.nl>.nl Verleend door Godaddy. Zie bijlage van deze post.

Hoe kan het dat ik nog steeds de waarschuwing krijg?!

Bijlage:
Afbeeldingslocatie: http://vincentroelofs.nl/Fout%20SV3.jpg

Afbeeldingslocatie: http://vincentroelofs.nl/Fout%20SV3.jpg

dinsdag 8 mei 2012 10:17

Acties:

Equator

Crew Council

#whisky #barista

Waarschijnlijk omdat het certificaat uitgegeven is op mail.domainnaam.nl en niet op autodiscover.domainnaam.nl

Dit zou je op kunnen lossen door gebruik te maken van een SAN/UC certificaat waarbij zowel mail.domainnaam.nl als autodicover.domainnaam.nl als Subject naam staat opgegeven of door gebruik te maken van een zogeheten wildcard certificaat (*.domainnaam.nl)

Leesvoer:
http://www.digicert.com/unified-communications-ssl-tls.htm
http://www.digicert.com/wildcard-ssl-certificates.htm

[ Voor 12% gewijzigd door Equator op 08-05-2012 10:19 ]

dinsdag 8 mei 2012 10:26

Acties:

Poltergeist

Een andere mogelijkheid is (als je je certificaat niet wil laten aanpassen, of een tweede wil aanschaffen) om een SRV record aan te maken met de naam _autodiscover._tcp.<domeinnaam> en die laten verwijzen naar mail.<domeinnaam>. Dat zou ook moeten werken...

We gebruiken dat zelf ook: Ons (wildcard) certificaat is opgesteld op onze .net domeinnaam, terwijl we .nl gebruiken als e-mail adres. Dat verwijst dus automatisch naar de verkeerde domeinnaam. Daarom hebben we het volgende record in de DNS staan:

SRV _autodiscover._tcp.domeinnaam.nl 0 443 autodiscover.domeinnaam.net

Bij jou zou dat dus kunnen worden

SRV _autodiscover._tcp.domeinnaam.nl 0 443 mail.domeinnaam.nl

(geen idee wat de officiele schrijfwijze is, trouwens. Ik moest dit ook door onze hoster laten invullen...)

Het testen kun je trouwens ook doen via https://www.testexchangeconnectivity.com/

Meer info: A new feature is available that enables Outlook 2007 to use DNS Service Location (SRV) records to locate the Exchange Autodiscover service

[ Voor 56% gewijzigd door Poltergeist op 08-05-2012 10:34 ]

dinsdag 8 mei 2012 10:44

Acties:

superspinnie

Topicstarter

Moeten we dat SRV record aanmaken op de server of bij de hoster?

Bedankt voor uw antwoorden

dinsdag 8 mei 2012 10:49

Acties:

Poltergeist

superspinnie schreef op dinsdag 08 mei 2012 @ 10:44:
Moeten we dat SRV record aanmaken op de server of bij de hoster?

Bedankt voor uw antwoorden

Bij de hoster

donderdag 10 mei 2012 09:39

Acties:

superspinnie

Topicstarter

Hmm heb contact gezocht met de hoster maar we krijgen die SRV records nog niet goed voor elkaar. Is het niet gewoon mogelijk om de bovenste link (autodiscover...) Zie bijlage, aan te passen in iets anders? Als ik namelijk kijk naar een andere server zie ik dat daar heel iets anders staat. Dus ik denk dat het wel kan!?

ALs ik in weet te stellen dat ie daar kijkt naar mail.<domeinnaam>.nl ipv autodiscover.<domeinnaam>.nl dan denk ik dat het werkt toch?

Afbeeldingslocatie: http://vincentroelofs.nl/Fout%20SV.jpg

donderdag 10 mei 2012 15:23

Acties:

mistercash

SRV-Record anders zal het niet werken.

donderdag 10 mei 2012 15:37

Acties:

Paul

Outlook zoekt nog steeds naar het A-record (of CNAME) 'autodiscover'. dit doet het vóór het een SRV-record bekijkt; bestaat je A-record nog steeds?

Ook lees ik dat je een wildcard hebt, in dat geval zou ik het A-record voor autodiscover naar 0.0.0.0 laten wijzen. Het duurt dan iets langer voordat Outlook (de eerste keer) connect omdat het op een time-out gaat wachten maar geeft geen certificate warnings meer.

Long story short, als je maar één naam op je certificate hebt / wilt:

- Zorg dat autodiscover.(mail-domein) niet resolved, of resolved naar een adres waar geen webserver op draait
- Maak een SRV-record aan naar de naam die op het certificate staaat
- Zet alle internal- en external URLs in Exchange goed:

PowerShell:

Set-WebServicesVirtualDirectory -Identity "(SERVERNAAM)\EWS (Default Web Site)" -InternalUrl https://mail.domeinnaam.nl/ews/exchange.asmx
Set-OABVirtualDirectory -Identity "(SERVERNAAM)\oab (Default Web Site)" -InternalUrl https://mail.domeinnaam.nl/oab
Set-UMVirtualDirectory -Identity "(SERVERNAAM)\unifiedmessaging (Default Web Site)" -InternalUrl https://mail.domeinnaam.nl/unifiedmessaging/service.asmx
Set-ClientAccessServer -Identity (SERVERNAAM) -AutodiscoverServiceInternalUri https://mail.domeinnaam.nl/autodiscover/autodiscover.xml

De UM-opdracht gaat veel kans op je SBs niet werken en volgens mij staat het daar ook niet in de Default Web Site, dus die naam moet je even aanpassen

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock