Windows 10 kommt wieder mit Startmenü anstelle des Modern-UI beim Start.
Windows 10
Das Startmenü beinhaltet wieder wie die von Windows 7 bekannte Programm Liste mit dem Suchfeld, Rechts jedoch sind App Kacheln angeordnet, dort wo zuvor das Menü zur Systemsteuerung, Geräte und Drucker zu finden war. Mit Taste Windows + S erscheint nicht mehr das Modern-UI, sondern es wird das Startmenü geöffnet, auch die Hot Corners und die Charms Bar gibt es weiterhin. Über die Eigenschaften lässt sich das Startmenü und die Navigation anpassen, ebenso gibt es die Tasten Funktion Windows + X und C weiterhin.
Entgegen der Vermutung Windows 8.1 auf 10 könnte mit weiteren Neuerungen überraschen, wird mit der Preview Version jedenfalls ernüchtert sein, fast alles ist wie von Windows 8.1 her bekannt an gewohnter stelle zu finden. Immerhin kann man sagen das Microsoft weiter auf dem richtigen Weg ist, und die rufe der Anwender nach dem gewohnten Startmenü erhört hat.
Bei der Erstellung eines Zertifikates unter Exchange 2010 erscheint möglicherweise folgender Hinweis.
Der Zertifikatstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung keinen Erfolg hatte.
Symptome
Zertifikat kann nicht abgeschlossen werden. Exchange Dienste können nicht zugeordnet werden.
Lösung
Damit die Sperrlisten-Verteilungspunkte eines PKI (public key infrastructures) Ausstellers erreichbar werden, muss die Firewall den Zugang zur URL der certificate revocation list (CRL – RFC 3280) erlauben. Bei UTM (Proxy Content Filter) ist darauf zu achten das der Download der CRL nicht blockiert wird. Die URL zur certificate revocation list erhält man durch öffnen des Zertifikates und Details.
Sperrlisten-Verteilungspunkte
Durch Aufruf der URL aus dem Browser wird die CRL geöffnet.
Zertifikatsperrliste
Auch kann es erforderlich sein, das die Proxy Einstellung des Servers geändert werden muss, dies geschieht mit folgendem Befehl aus einer als Administrator geöffneten Eingabeaufforderung.
netsh winhttp proxy
1
2
3
4
5
6
7
8
9
10
netsh winhttp set proxy proxy-server="https://router-ip:80"bypass-list="*.domain.local"
# Proxy Einstellung überprüfen
netsh winhttp show proxy
# Proxy Einstellung zurücksetzen (Zeilenweise)
netsh
winhttp
reset proxy
Nach Umsetzung und Sicherstellung der Erreichbarkeit der CRL erscheint in der EMC das Zertifikat als gültig.
Möchte man Outlook 2010/2013 mit der AutoErmittlung (Outlook Anywhere) automatisch konfigurieren, und das Postfach auf einem Exchange 2010/2013 liegt, wird man nach der Installation folgenden Sicherheitshinweis erhalten.
Dies liegt oft daran das kein Zertifikat vorliegt, welches von Microsoft Active Directory Certificate Services (AD CS) ausgestellt wurde.
Problembeschreibung
Nachdem ein neues Zertifikat von einer root CA Zertifizierungsstelle beim Exchange-Server importiert wurde, kann es zu Fehlermeldungen beim Start bei den Outlook Clients kommen.
Im Sicherheitshinweis Fenster sehen wir in der ersten Zeile, dass sich unser Exchange-Server mit seinem internen FQDN “exchsrv.domain.local” meldet. Ebenfalls gibt uns die Meldung die Information, dass das Zertifikat ungültig ist oder die Namen nicht übereinstimmen.
Symptome
Outlook oder das Mobiltelefon können nicht konfiguriert werden.
Outlook hat die Suche nach den URLs für die Autodiscover-Informationen Hardcodet und wird in folgender abfolge durchlaufen:
Autodiscover Lookup Reihenfolge
Wenn nun die nötigen DNS-Records fehlen oder keine der definierten URLs aus dem Internet erreichbar sind, kann Autodiscover nicht abgefragt werden.
Der Name „autodiscover.domain.com“ ist auch im Zertifikat vorhanden, aber die Warnung tritt stattdessen für den Namen „exchsrv.domain.local“ auf.
Zertifikat Details
Ursache
Nicht wie die Vorgänger, verwendet Outlook 2013 intern nicht nur den SCP (Service Connection Point) zur Suche nach Autodiscover, sondern macht gleichzeitig eine DNS-Auflösung gemäss oben dargestellten Reihenfolge. Wenn jetzt die DNS-Auflösung von exchsrv.domain.com auf einen Webserver mit HTTPS Binding zeigt, erscheint der oben gezeigte Sicherheitshinweis.
Lösung
Neues Exchange-Zertifikat erstellen
Neues Zertifikat erstellen
Der EMC-2010 Assistent erstellt abschliessend die Anforderung welche in einer Datei(.req) gespeichert wird, dieser private Schlüssel wird benötigt um bei der CA Zertifizierung (z.B. CAcert.org) mittels Copy & Paste dann über das Formular den Public Key zu erzeugen. Anschliessend wird der ausgestellte Schlüssel mit „Anstehende Anforderung abschliessen“ der wiederum mit Copy & Paste von der Zertifizierungsstelle eingefügte Schlüssel erzeugt. Zuletzt noch dem Zertifikat die Dienste zuordnen.
Die von CA Cert Signing Authority ausgestellten X.509-Zertifikate enthalten nur im Internet auflösbare FQDN, daher müssen die Internen URLs per Exchange Management Shell angepasst werden.
Mit folgendem cmdlet wird die aktuelle URI abgefragt.
Exchange Management Shell
Die AutoDiscoverServiceInternalUri wird nun auf den Externen FQDN geändert, damit es dem ausgestellten Zertifikat entspricht.
Set-AutoDiscoverVirtualDirectory-Identity"exchsrv.domain.local\Autodiscover (Default Web Site)"-InternalUrl"https://exchsrv.domain.com/Autodiscover/Autodiscover.xml"-ExternalUrl"https://exchsrv.domain.com/Autodiscover/Autodiscover.xml"
und die folgenden VirtualDirectory noch ändern.
1
2
3
Set-AutoDiscoverVirtualDirectory-Identity"exchsrv.domain.local\Autodiscover (Default Web Site)"-InternalUrl"https://exchsrv.domain.com/Autodiscover/Autodiscover.xml"-ExternalUrl"https://exchsrv.domain.com/Autodiscover/Autodiscover.xml"
Set-WebServicesVirtualDirectory-Identity"exchsrv.domain.local\EWS (Default Web Site)"-InternalUrl"https://exchsrv.domain.com/EWS/Exchange.asmx"-ExternalUrl"https://exchsrv.domain.com/EWS/Exchange.asmx"
Ohne DNS geht nichts, deshalb erstellen wir eine neue Forward-Lookupzone, wir öffnen dnsmgmt und erstellen eine neue Zone für unser exchsrv.domain.com
dnsmgmt Neue Forward-Lookupzone
Rechts im Fenster wieder mit Rechtsklick ein neuen Host als Type A erstellen, das Name Feld leer lassen und die IP Adresse von exchsrv.domain.com eintragen.
Neuer Host A
Nun sollten die Exchange-Dienste neu gestartet werden, den IIS mit iisreset /noforce aktualisieren. Ist der Nameserver als BIND auf einem Linux/Unix Host, steht folgende Zone für unsere Mail Domain für Autodiscovery.
DNS Zone
Für Windows wird im DNS-Manger im Kontextmenu unter weitere Einträge der Eintrag „Dienstidentifizierung SRV“ erstellt.
Windows DNS Manager
Zu guter letzt soll unser Zertifikat auf die Clients ausgerollt werden, hierzu bieten sich die Gruppenrichtlinien an.
Mit Rechtsklick auf Importieren gehen, mittels des Assistenten die zuvor exportierte Zertifikatsdatei (.cer) importieren.
Beim Client wird mit gpupdate /force die Policy aktualisiert.
Alternativ kann das Zertifikat auf den Clients auch mittels des cmd-Tool certutil importiert werden, beispielsweise aus einer Batch Datei.
Troubleshooting
Am einfachsten geht’s mit dem Browser um herauszufinden wohin die URL https://exchsrv.domain.com zeigt. Alternativ kann auch nslookup oder host aufgerufen werden.
Browser SSL Zertifikat
Ebenso bietet sich hier das cmd-Tool certutil zur Überprüfung an.
1
2
certutil-f–urlfetch-verify exchsrv.crt
Ob das Zertifikat an der richtigen stelle im Zertifikatsspeicher ist, lässt sich anhand der mmc-Konsole überprüfen.
Hinweis!
Das hier verwendete Zertifikat wird mit dem öffentlichen Schlüssel der kostenfreien Zertifizierungsstelle CAcert (cacert.org) ausgestellt, dies erfordert dass das Stammzertifikat von CAcert als Klasse 1 PKI Schlüssel im PEM oder DER Format zum Zertifikatsspeicher „Vertrauenswürdige Stammzertifizierungsstellen“ importiert werden muss.
Das Zertifikat ist für die dauer von einem Jahr gültig, danach muss es erneuert werden, wer dies mit „Exchange Zertifikat erneuern“ versucht, wird feststellen das dies nicht geht, Exchange 2010 möchte nur neue Zertifikate erstellen, deshalb die Methode mittels certutil.
1
2
Certutil-repairstore my Seriennummer
Die Seriennummer findet man in den Zertifikat Details, danach das Exchange-Zertifikat importieren.
Wir verwenden Cookies, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern, während Sie durch die Website navigieren. Von diesen werden die Cookies, die nach Bedarf kategorisiert werden, in Ihrem Browser gespeichert, da sie für das Funktionieren der grundlegenden Funktionen der Website wesentlich sind. Wir verwenden auch Cookies von Drittanbietern, mit denen wir analysieren und verstehen können, wie Sie diese Website nutzen. Diese Cookies werden nur mit Ihrer Zustimmung in Ihrem Browser gespeichert. Sie haben auch die Möglichkeit, diese Cookies zu deaktivieren. Das Deaktivieren einiger dieser Cookies kann sich jedoch auf Ihre Browser-Erfahrung auswirken.
Notwendige Cookies sind unbedingt erforderlich, damit die Website ordnungsgemäß funktioniert. Diese Kategorie enthält nur Cookies, die grundlegende Funktionen und Sicherheitsmerkmale der Website gewährleisten. Diese Cookies speichern keine persönlichen Informationen.
Alle Cookies, die für die Funktion der Website möglicherweise nicht besonders erforderlich sind und speziell zur Erfassung personenbezogener Daten des Benutzers über Analysen, Anzeigen und andere eingebettete Inhalte verwendet werden, werden als nicht erforderliche Cookies bezeichnet. Es ist obligatorisch, die Zustimmung des Benutzers einzuholen, bevor diese Cookies auf Ihrer Website ausgeführt werden.
