Nachdem ein neues Zertifikat in den Exchange-Server importiert wurde, kann es zu Fehlermeldungen beim Start von Outlook auf den Client-PCs kommen. In diesem Fenster sehen wir in der ersten Zeile, dass sich unser Exchange mit seinem internen FQDN “servername.domäne.local” meldet. Ebenfalls gibt uns die Meldung die Information, dass das Zertifikat ungültig ist oder die Namen nicht übereinstimmen.
Mit einem Klick auf “Zertifikat anzeigen” erhalten wir zusätzliche Informationen und können nun die Namen überprüfen. Hier sehen wir direkt, dass sich diese unterscheiden.
Vorgehen am Exchange
Nun haben wir im Exchange, genau genommen in der Exchange Management Shell, drei Punkte, die uns besonders interessieren. Dies sind die externen und internen Adressen für:
AutodiscoverService
AutodiscoverVirtualDirectory
WebServicesVirtualDirectory
Diese Informationen müssen entsprechend des Servernamens im Zertifikat angepasst werden.
AutodiscoverService
Mit dem cmdlet “Get-ClientAccessServer” erhält man alle ClientAccessServer der Organisation. Nach der Anpassung an unseren Exchange-Server und dem Zuschneiden der Ausgabe auf die Adresse des AutodiscoverService erhalten wir auch die Informationen, die wir benötigen.
Anstelle des lokalen FQDN “servername.domäne.local” muss nun entsprechend des Zertifikats die neue Adresse eingegeben werden. Dies erreichen wir mit dem Set-ClientAccessServer cmdlet: Set-ClientAccessServer -Identity servername -AutoDiscoverServiceInternalUri “https://exchange.domain.de/Autodiscover/Autodiscover.xml”
AutodiscoverVirtualDirectory
Jetzt lesen wir die interne und externe URL des AutodiscoverVirtualDirectory aus. Nach der Standardinstallation von Exchange sind diese i.d.R. leer.
Folgende Befehlszeile setzt beide notwendigen Einträge, damit wir der Übereinstimmung mit dem Zertifikat einen Schritt näher kommen: Set-AutodiscoverVirtualDirectory -Identity “servername\Autodiscover (Default Web Site)” -InternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml” -ExternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml”
WebServicesVirtualDirectory
Die externe Adresse der WebServicesVirtualDirectory ist ebenfalls leer. Die interne Adresse zeigt wiederum auf unseren internen FQDN. Beide Einträge müssen also wieder angepasst werden.
Set-WebServicesVirtualDirectory -Identity “servername\EWS (Default Web Site)” -InternalUrl “https://exchange.domain.de/EWS/Exchange.asmx” -ExternalUrl “https://exchange.domain.de/EWS/Exchange.asmx”
Weitere Konfigurationsmöglichkeiten
Zusätzlich kann man natürlich noch weitere Zugänge optimieren (wenn wir schon einmal dabei sind…). Darunter z.B. der OWA-Zugriff oder auch Microsoft-ActiveSync. Hier eine kleine Auflistung der notwendigen Befehlszeilen: Set-OWAVirtualDirectory -Identity “servername\OWA (Default Web Site)” -InternalUrl “https://exchange.domain.de/owa” -ExternalUrl “https://exchange.domain.de/owa”
Set-ECPVirtualDirectory -Identity “servername\ECP (Default Web Site)” -InternalUrl “https://exchange.domain.de/ecp” -ExternalUrl “https://exchange.domain.de/ecp”
Set-ActiveSyncVirtualDirectory -Identity “servername\Microsoft-Server-ActiveSync (Default Web Site)” -InternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync” -ExternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync”
Set-OABVirtualDirectory -Identity “servername\OAB (Default Web Site)” -InternalUrl “https://exchange.domain.de/OAB” -ExternalUrl “https://exchange.domain.de/OAB”
Damit die Clients auch etwas mit der Adresse “exchange.domain.de” anfangen können, muss noch eine Forward-Zone im lokalen DNS eingerichtet werden. Dies ist auch schnell erledigt. Achten Sie bitte darauf, nur “exchange.domain.de” als Forward-Zone einzutragen.
1. Öffnen der DNS-Verwaltung 2. Rechtsklick auf Forward-Lookupzonen und im Kontextmenu “Neue Zone…” wählen
3. Der Assistent startet 4. “Primäre Zone” wählen
5. Den Namen der Zone angeben. Hier den Namen aus dem Zertifikat verwenden. In unserem Beispiel “exchange.domain.de”
6. Den Assistenten durchlaufen und “Fertig stellen” 7. Anschließend die Zone öffnen 8. Via Rechtsklick im rechten Bereich das Kontextmenu öffnen und “Neuer Host (A oder AAAA)…” auswählen 9. Das Feld “Name” leer lassen, damit der übergeordnete Name “exchange.domain.de” verwendet wird 10. IP-Adresse des lokalen Exchange-Servers eintragen im Feld “IP-Adress” eintragen
Bei all diesen Änderungen sollten zumindest die Exchange-Dienste neugestartet und ein IIS-Reset durchgeführt werden. Am besten einmal sowohl Server als auch Clients neustarten.
Die Benutzer sollten ihr Outlook nun ohne Fehlermeldung nutzen können. Viel Erfolg.