Zertifikat Exchange 2010 erneuern / ersetzen

Irgendwie kommt nun wieder die Zeit, in der mehrere Exchange-Zertifikate bei unseren Kunden ablaufen. Das ist glücklicherweise nur bei den „Spezialfällen“ von Kunden der Fall. Normalerweise setzen wir natürlich richtige Zertifikate von öffentlichen CA’s ein.

In diesem Fall war auf dem Exchange ein Zertifikat aktiv, welches von der internen CA ausgestellt wurde. Hier kurz und knapp, wie ich das Zertifikat neu ausstellte:

Auf Server EXCHANGE02:

$ReqCert = New-ExchangeCertificate -Server 'EXCHANGE02' -PrivateKeyExportable $true -GenerateRequest –SubjectName "CN=EXCHANGE02.domain.local, OU=OU1, O=ORGANISATION, L=City, S=County, C=CH" –DomainName DOMAIN.local,autodiscover.DOMAIN.local,EXCHANGE02.DOMAIN.local -FriendlyName "Exchange Server Certificate 2018"
Set-Content –path C:\TEMP\EX-CertRequest2018.req –Value $ReqCert

Auf interner CA:

http://ca-name/certsrv

öffnen

Ein Zertifikat anfordern > erweiterte Zertifikatanforderung > Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein. > Text aus oben erstelltem File rein kopieren

Zertifikatvorlage (normalerweise Webserver) > Einsenden

Zertifizierungsstellen MMC starten > Ausstehende Anforderungen > rechte Maustaste auf aktuelle anforderung > Alle Aufgaben > Ausstellen

(Nochmals)

http://ca-name/certsrv

öffnen

Status ausstehender Zertifikate anzeigen > aktuelle Anforderung auswählen > Base-64-codiert > Download des Zertifikats > speichern als „certnew_2018.cer“

Auf EXCHANGE02:

Exchange Zertifikat importieren > Obige Datei angeben („Alle Dateien *.*“ wählen) > bei Kennwort irgendwas eingeben > Weiter > Weiter > Importieren

Dem Zertifikat die entsprechenden Dienste zuordnen, und das alte Zertifikat entfernen.

Advertisements

Exchange mit mehreren UPN-Domain-Namen – DNS SRV Record erstellen

Ein Kunde hat mehrere UPN-Domain-Namen. Als Hauptdomainname z.b. contoso.com, die zweite Domain adatum.com.

Dies hat immer wieder Fehlermeldungen betreffend Zertifikat erzeugt, da der Name autodiscover.adatum.com nicht im Zertifikat aufgeführt ist.

Natürlich könnte der Name dem Zertifikat hinzugefügt werden, aber das geht in diesem Fall leider nicht.

Somit musste ich einen SRV-Record für die entsprechende Domain (mit Split-DNS) erstellen:

  1. neue Zone „autodiscover.adatum.com“ erstellen (primär, in AD speichern, nur sichere Updates zulassen)
  2. „weitere neue Einträge“ – SRV Record erstellen

ExchangeSplitDNSSRV_3

Host = Mailserver; Name sollte via Split-DNS auf interne IP aufgelöst werden

Der Eintrag sieht nun wie folgt aus:
ExchangeSplitDNSSRV_4

Die Änderung ist sofort aktiv, die Meldungen betreffend Zertifikat sollten nicht mehr angezeigt werden.

 

Welche Clients verbinden mit meinem Exchange?

Während den Vorbereitungen einer Exchange Migration stellte sich mir die Frage, welche Exchange-Clients im Einsatz sind. Folgender Befehl zeigt die verwendeten Clients an:

Get-MailboxServer | Get-LogonStatistics | Select UserName,ClientVersion,LastAccessTime,ServerName

Die Clientversionen:

Client Version number Friendly Name
5.0.3165.0 Outlook 2000
6.0.7654.12 Outlook 2000
6.0.8153.0 Outlook 2000
6.0.8165.0 Outlook 2000
6.0.8211.0 Outlook 2000
6.0.8244.0 Outlook 2000
10.0.0.2627 Outlook 2002
10.0.0.4115 Outlook 2002 SP2
10.0.0.6515 Outlook 2002 SP3
10.0.0.6742 Outlook 2002 SP3
11.0.5604.0 Outlook 2003
11.0.6352.0 Outlook 2003 SP1
11.0.6555.0 Outlook 2003 SP2
11.0.8000.0 Outlook 2003 SP2
11.0.8161.0 Outlook 2003 SP3
11.0.8200.0 Outlook 2003 SP3
11.0.8303.0 Outlook 2003 SP3
12.0.4518.1014 Outlook 2007 RTM
12.0.6024.5000 Outlook 2007 RTM
12.0.6211.1000 Outlook 2007 SP1
12.0.6300.5000 Outlook 2007 SP1
12.0.6315.5000 Outlook 2007 SP1
12.0.6423.1000 Outlook 2007 SP2
12.0.6504.5001 Outlook 2007 SP2
12.0.6509.5000 Outlook 2007 SP2
12.0.6529.5000 Outlook 2007 SP2
12.0.6539.5000 Outlook 2007 SP2
12.0.6550.5000 Outlook 2007 SP2
12.0.6554.5000 Outlook 2007 SP2
12.0.6557.5000 Outlook 2007 SP2
12.0.6562.5003 Outlook 2007 SP2
12.0.6606.1000 Outlook 2007 SP3
12.0.6661.5000 Outlook 2007 SP3
12.0.6665.5000 Outlook 2007 SP3
14.0.4734.1000 Outlook 2010 RTM
14.0.6025.1000 Outlook 2010 SP1
14.0.6109.5000 Outlook 2010 SP1
14.0.6117.5001 Outlook 2010 SP1
15.0.4128.1019 Outlook 2013 Preview
HTTP MAC or other HTTP clients

Das TechNet-Script OutlookVersion.ps1 (Verwendung auf eigene Gefahr – ich konnte allerdings keinen Schadcode entdecken) spuckt in etwa dasselbe aus.

O365 Hybrid Configuration wizard startet nicht

Ich muss den Hybrid Configuration wizard auf einem Server installieren. Beim herunterladen via https://aka.ms/HybridWizard wird mir folgende Fehlermeldung angezeigt:

HCW_01

Application cannot be started. Contact the application vendor.

Ich fand heraus, dass im IE folgende Seiten zu den vertrauenswürdigen Seiten hinzugefügt werden müssen:

https://*.aka.ms
https://*.microsoft.com
https://*.windows.net

Danach konnte der HCW installiert werden.

O365 Public Folder / öffentlicher Ordner: Limite pro Ordner

Get-OrganizationConfig | fl *DefaultPublicFolder*
DefaultPublicFolderAgeLimit :
DefaultPublicFolderIssueWarningQuota : 1.7 GB (1,825,361,920 bytes)
DefaultPublicFolderProhibitPostQuota : 2 GB (2,147,483,648 bytes)
DefaultPublicFolderMaxItemSize : Unlimited
DefaultPublicFolderDeletedItemRetention : 30.00:00:00
DefaultPublicFolderMovedItemRetention : 7.00:00:00
Set-OrganizationConfig -DefaultPublicFolderProhibitPostQuota 5368709120
Set-OrganizationConfig -DefaultPublicFolderIssueWarningQuota 4831838208
Get-OrganizationConfig | fl *DefaultPublicFolder*
DefaultPublicFolderAgeLimit :
DefaultPublicFolderIssueWarningQuota : 4.5 GB (4,831,838,208 bytes)
DefaultPublicFolderProhibitPostQuota : 5 GB (5,368,709,120 bytes)
DefaultPublicFolderMaxItemSize : Unlimited
DefaultPublicFolderDeletedItemRetention : 30.00:00:00
DefaultPublicFolderMovedItemRetention : 7.00:00:00