Certificaat fouten oplossen in Outlook voor Exchange 2010

      Reacties uitgeschakeld voor Certificaat fouten oplossen in Outlook voor Exchange 2010

Wanneer je een migratie uitvoert naar een nieuwe Exchange server, een certificaat vervangt of servernamen wijzigt, kan het voor komen dat je in Outlook opeens certificaat meldingen krijgt met de waarschuwing dat de naam van de server niet overeenkomt met de naam op het certificaat.
Het werkt allemaal wel, maar je wilt natuurlijk liever niet die meldingen ontvangen.
Om dit op te lossen, dienen we de internal en external URL’s aan te passen van de Exchange server. Hoe dat gaat leggen we in dit artikel uit.

Internal en External URL’s en Certificaten ???

Exchange maakt gebruik van 2 soorten URL’s waarop de server bereikbaar is.
Internal URL is het adres waarop de server intern op het netwerk bereikbaar is.
External is het adres waarop je de server kunt bereiken met je telefoon, laptop etc. vanaf het internet, dus buiten het interne netwerk.
Je wilt je verbindingen natuurlijk zo secure mogelijk hebben, dus plaats je er ook een certificaat op waarop staat onder welke namen de server aangesproken mag worden.
Meestal staat op zo’n certificaat niet de lokale naam van de server, maar de FQDN op internet, bijvoorbeeld mail.bedrijfsnaam.com

Wanneer je een certificaat onder IIS plaatst voor OWA (Outlook Web Access), dan kan het zijn dat je in Outlook binnen je interne netwerk certificaat waarschuwingen krijgt.
Outlook krijgt namelijk het certificaat van de webserver binnen, controleert dat en constateert dat de lokale servernaam, bijvoorbeeld srv-exch01.interndomein.local niet op het certificaat staat en vertrouwd het dus niet meer. Onderstaande melding is dan het gevolg :

outlook certificaat melding

De truc is dan om Exchange aan te passen zodat overal dezelfde namen worden gebruikt die overeenkomen met de naam op het certificaat.

Exchange URL’s aanpassen

Om de URL’s aan te passen, moeten we inloggen op de Exchange server en de Exchange Management Shell opstarten.

exchange 2010 certificaat shell 01

Nu moeten we de volgende commando’s gebruiken om de Internal URL aan te passen :

Set-ClientAccessServer -Identity servernaam -AutodiscoverServiceInternalUri https://naam.dieophetcertificaat.staat/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “servernaam\EWS (Default Web Site)” -InternalUrl https://naam.dieophetcertificaat.staat/ews/exchange.asmx

Set-OABVirtualDirectory -Identity “servernaam\oab (Default Web Site)” -InternalUrl https://naam.dieophetcertificaat.staat/oab

De wijzigingen zijn meteen actief en als je Outlook vervolgens start, zullen de certificaat meldingen niet meer voorkomen omdat de Internal URL nu overeenkomt met de naam op het certificaat.

Bereid je goed voor en noteer de instellingen zoals ze waren als backup

Het is altijd goed om te weten hoe de instellingen waren vóórdat je wijzigingen aanbrengt.
Vraag daarom eerst op wat de instellingen zijn.
Gebruik onderstaande commando’s om de huidige instellingen op te vragen :

  • Get-WebServicesVirtualDirectory | Select InternalUrl,BasicAuthenticationExternalUrl,Identity | Format-List
  • Get-OabVirtualDirectory | Select InternalURL,ExternalURL,Identity | FL
  • Get-ActiveSyncVirtualDirectory | Select InternalUrl,ExternalUrl,Identity | fl

Klaar voor gebruik !

Veel werk is het niet, maar het moet wel even gebeuren en je moet het ook maar even weten.
Succes met het implementeren !