MS Exchange-Problem: Servername und Name im Zertifikat stimmen nicht überein

Problembeschreibung

Nachdem ein neues Zertifikat in den Exchange-Server importiert wurde, kann es zu Fehlermeldungen beim Start von Outlook auf den Client-PCs kommen.
In diesem Fenster sehen wir in der ersten Zeile, dass sich unser Exchange mit seinem internen FQDN “servername.domäne.local” meldet. Ebenfalls gibt uns die Meldung die Information, dass das Zertifikat ungültig ist oder die Namen nicht übereinstimmen.

Mit einem Klick auf “Zertifikat anzeigen” erhalten wir zusätzliche Informationen und können nun die Namen überprüfen. Hier sehen wir direkt, dass sich diese unterscheiden.

Vorgehen am Exchange

Nun haben wir im Exchange, genau genommen in der Exchange Management Shell, drei Punkte, die uns besonders interessieren. Dies sind die externen und internen Adressen für:

• AutodiscoverService
• AutodiscoverVirtualDirectory
• WebServicesVirtualDirectory

Diese Informationen müssen entsprechend des Servernamens im Zertifikat angepasst werden.

AutodiscoverService

Mit dem cmdlet “Get-ClientAccessServer” erhält man alle ClientAccessServer der Organisation. Nach der Anpassung an unseren Exchange-Server und dem Zuschneiden der Ausgabe auf die Adresse des AutodiscoverService erhalten wir auch die Informationen, die wir benötigen.

Anstelle des lokalen FQDN “servername.domäne.local” muss nun entsprechend des Zertifikats die neue Adresse eingegeben werden. Dies erreichen wir mit dem Set-ClientAccessServer cmdlet:
Set-ClientAccessServer -Identity servername -AutoDiscoverServiceInternalUri
“https://exchange.domain.de/Autodiscover/Autodiscover.xml”

AutodiscoverVirtualDirectory

Jetzt lesen wir die interne und externe URL des AutodiscoverVirtualDirectory aus. Nach der Standardinstallation von Exchange sind diese i.d.R. leer.

Folgende Befehlszeile setzt beide notwendigen Einträge, damit wir der Übereinstimmung mit dem Zertifikat einen Schritt näher kommen:
Set-AutodiscoverVirtualDirectory -Identity “servername\Autodiscover (Default Web Site)” -InternalUrl
“https://exchange.domain.de/Autodiscover/Autodiscover.xml” -ExternalUrl
“https://exchange.domain.de/Autodiscover/Autodiscover.xml”

WebServicesVirtualDirectory

Die externe Adresse der WebServicesVirtualDirectory ist ebenfalls leer. Die interne Adresse zeigt wiederum auf unseren internen FQDN. Beide Einträge müssen also wieder angepasst werden.

Set-WebServicesVirtualDirectory -Identity “servername\EWS (Default Web Site)” -InternalUrl
“https://exchange.domain.de/EWS/Exchange.asmx” -ExternalUrl “https://exchange.domain.de/EWS/Exchange.asmx”

Weitere Konfigurationsmöglichkeiten

Zusätzlich kann man natürlich noch weitere Zugänge optimieren (wenn wir schon einmal dabei sind…). Darunter z.B. der OWA-Zugriff oder auch Microsoft-ActiveSync. Hier eine kleine Auflistung der notwendigen Befehlszeilen:
Set-OWAVirtualDirectory -Identity “servername\OWA (Default Web Site)” -InternalUrl
“https://exchange.domain.de/owa” -ExternalUrl “https://exchange.domain.de/owa”

Set-ECPVirtualDirectory -Identity “servername\ECP (Default Web Site)” -InternalUrl “https://exchange.domain.de/ecp”
-ExternalUrl “https://exchange.domain.de/ecp”

Set-ActiveSyncVirtualDirectory -Identity “servername\Microsoft-Server-ActiveSync (Default Web Site)” -InternalUrl
“https://exchange.domain.de/Microsoft-Server-Activesync” -ExternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync”

Set-OABVirtualDirectory -Identity “servername\OAB (Default Web Site)” -InternalUrl
“https://exchange.domain.de/OAB” -ExternalUrl “https://exchange.domain.de/OAB”

Enable-OutlookAnywhere -Server servername -ExternalHostname “exchange.domain.de” –
ClientAuthenticationMethod “Basic”-SSLOffloading:$False

Änderungen am lokalen DNS

Damit die Clients auch etwas mit der Adresse “exchange.domain.de” anfangen können, muss noch eine Forward-Zone im lokalen DNS eingerichtet werden. Dies ist auch schnell erledigt. Achten Sie bitte darauf, nur “exchange.domain.de” als Forward-Zone einzutragen.

1. Öffnen der DNS-Verwaltung
2. Rechtsklick auf Forward-Lookupzonen und im Kontextmenu “Neue Zone…” wählen

3. Der Assistent startet
4. “Primäre Zone” wählen

5. Den Namen der Zone angeben. Hier den Namen aus dem Zertifikat verwenden. In unserem Beispiel “exchange.domain.de”

6. Den Assistenten durchlaufen und “Fertig stellen”
7. Anschließend die Zone öffnen
8. Via Rechtsklick im rechten Bereich das Kontextmenu öffnen und “Neuer Host (A oder AAAA)…” auswählen
9. Das Feld “Name” leer lassen, damit der übergeordnete Name “exchange.domain.de” verwendet wird
10. IP-Adresse des lokalen Exchange-Servers eintragen im Feld “IP-Adress” eintragen

Bei all diesen Änderungen sollten zumindest die Exchange-Dienste neugestartet und ein IIS-Reset durchgeführt werden. Am besten einmal sowohl Server als auch Clients neustarten.

Die Benutzer sollten ihr Outlook nun ohne Fehlermeldung nutzen können. Viel Erfolg.