Nachdem ein paar Änderungen an der Grundsystematik (Exchange 2013 hinter Reverse-Proxy, Split-DNS, Wildcard-Zertifikat) gemacht wurden, konnten ein paar Benutzer ihr Outlook 2010 von außerhalb nicht mehr öffnen.
Folgende Meldung öffnete sich und ein verbinden mit dem Exchange-Server war nicht mehr möglich.
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
Von Outlook kann keine Verbindung mit dem Proxyserver “ hergestellt werden (Fehlercode: 80000000).
Für diejenigen, die einfach nur diesen Fehler beheben möchten, überspringen einfach die folgende Leidensgeschichte 🙂 Ab zur Lösung
Zum Hintergrund. Wir hatten einen Exchange 2013 im internen Netz. Durch einen Reverse-Proxy (auf Basis Debian mit Squid3), haben wir den Zugriff von Außen gewährt. Hier hatten wir allerdings ein Problem mit der Synchronisation des OAB (Offline Address Book), welches wir auch nicht direkt lösen konnten. Da der Reverse-Proxy aber als Haupttäter in Frage kam, entschieden wir uns dazu, diesen auszuklammern und die Reverse-Proxy-Funktionalität unserer Sophos-Firewall zu nutzen. In diesem Zuge haben wir die internen und extern URLs des Exchange auf die externe Adresse umgestellt (Split-DNS). Dazu war es auch erforderlich das Zertifikat auszutauschen. Dieses Zertifikat ist ein Wildcard-Zertifikat, welches nicht selbstsigniert ist.
Nach der Umstellung lief augenscheinlich erstmal alles rund. Auch die Synchronisation des OAB war nun erfolgreich und ohne Probleme. Zugriff von Außen (Outlook, Smartphone, OWA, etc.) alles problemlos möglich.
Doch einige Tage später meldeteten sich einige Kollegen, dass sie Outlook nicht mehr starten können. Meldung war wie oben beschrieben. Komisch an der ganzen Geschichte ist/war, warum es bei einigen geht und bei anderen nicht. Gleiche System, gleicher Patchstand. Aber wenn es sowas nciht gäbe, wäre der Job als ITler ja auch langweilig. 😛
Lösung, die mich zum Erfolg brachte
Nach langem Bemühen der Suchmaschinen, bin ich auf folgenden Artikel gestoßen:
https://kb.abacuslaw.com/articles/1486-Microsoft-Outlook-Proxy-Server-s-Security-Certificate-Error-Code-80000000?view_portal_id=1024
Also schnell mal in die Registry geschaut und siehe da, den entsprechenden Eintrag, den man editieren soll, war gar nicht vorhanden. Also kurzerhand den Eintrag „DefaultSecureProtocols“ unter [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] mit dem HEX-Wert 800 angelegt. Und schon startet Outlook auch wieder ordnungsgemäß.
Für 32-Bit System muss der Eintrag unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp] erfolgen.
Warum, wieso, weshalb, fragt mich bitte nicht. Bei anderen Clients, mit dem selben Betriebssystem, gleicher Outlook-Version und gleichem Patch-Stand, gab es nach der Umstellung keine Probleme.