SBS2008: Beveiligingscertificaat komt niet overeen - Serversoftware en clouddiensten

donderdag 8 mei 2014 19:18

Acties:

Topicstarter

Ik weet het, dit issue is al eerder behandeld, ik kom er alleen daarmee nog niet uit.

Ik heb Outlook 2013 clients in een SBS 2008 domein die de volgende meldingen geven:
X De naam op het beveiligingscertificaat komt niet overeen met de naam van de website

Als ik het certificaat in Outlook opzoek (met CTRL en rechtermuis op Outlook icoon in system tray) is dat remote.domein.nl.
Inderdaad is de naam op deze melding (remote.domein.nl) niet dezelfde als in het certificaat (mail.domein.nl) en had het clientcertificaat mail.domein.nl, wat Outlook gebruikt voor de autodiscovery, IIS niet gekoppeld.
Ik heb IIS gekoppeld aan mail.domein.nl en heb nu 2 certificaten met IIS, nl. mail.domein.nl en remote.domein.nl maar ook na herstart nog steeds de melding.

Kan ik remote.domein.nl straffeloos verwijderen?
Ben dus bang dat dan helemaal alles misgaat.

donderdag 8 mei 2014 20:39

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Remote.domein.nl moet je niet verwijderen, die zal je nodig hebben voor VPN oid. Wat je moet doen is in je IIS configuratie voor alleen de mail.domein.nl 'vhost' (geen idee hoe MS dat noemt) een enkel certificaat presenteren. Is allemaal heel logisch en genoeg over te vinden hoe je dat moet doen.

Commandline FTW | Tweakt met mate

donderdag 8 mei 2014 21:05

Acties:

Linke Loe

Het gaat hier mis met autodiscover. Standaard gebruikt Exchange voor de autodiscover service een interne URL, op basis van de servernaam (https://server.domein.local/autodiscover/autodiscover.xml) en een externe URL, die je opgeeft tijdens de installatie van Exchange (https://mail.domein.nl/autodiscover/autodiscover.xml). Je krijgt nu deze melding omdat Outlook verbinding maakt met de autodiscover service op de interne URL, maar een certificaat voorgeschoteld krijgt voor de externe URL.

Wat je nu moet doen is Exchange zo ver krijgen dat het dezelfde URL voor zowel interne, als externe clients gebruikt. Dit doe je door middle van een 'set-clientaccessserver' cmdlet in de Exchange management shell, met de 'autodiscoverinternaluri' parameter.

vrijdag 9 mei 2014 13:00

Acties:

mbaltus

Dat (EMS gebruiken om dat te wijzigen) is in een SBS server niet erg verstandig. Daar moet je alles regelen via de wizards en de SBS console.

Het probleem is dat je eigenlijk via de SBS console een cert-request had moeten maken voor remote.domein.nl en dat had moeten gebruiken. SBS is er op ingericht om met een single name certificaat te werken (dus geen SAN certificaat, etc.). Mjin advies is:
- of de externe naam via de SBS console aanpassen naar mail (Open de SBS Console > To Do List > en draai de Setup My Internet Address wizard. Kies voor dat je al een domein hebt oid en dat je dit zelf wilt beheren. Klik op de advanced link en je kunt het aanpassen. ff uit mn hoofd, dus misschien dat e.e.a iets anders heet)
- of een nieuwe certificaat op remote.domein.nl nemen en deze (via de SBS console!) inlezen

[ Voor 23% gewijzigd door mbaltus op 09-05-2014 13:08 . Reden: typo en edit ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 9 mei 2014 15:07

Acties:

Linke Loe

Ik heb zelf helemaal geen ervaring met SBS, dus ik ging er van uit dat je dit soort zaken op dezelfde manier moet regelen als bij een normale Windows server en Exchange server installatie. Daar kun je namelijk gewoon opgeven wat je interne en externe URL's zijn voor alle webservices binnen Exchange.

maandag 19 mei 2014 17:48

Acties:

mvandek2

Topicstarter

Bedankt mbaltus.
Inderdaad is een nieuw certificaat maken via de address wizzard vanuit de SBS console voldoende.