Tuesday, May 11, 2010

Het vertrouwen van een niet-vertrouwde website

Onlangs kreeg ik de volgende vraag in mijn mailbox:

Ik heb een probleem met een certificaatfout bij outlook web exchange. Onze server is https://61.236.1.137/exchange zodra je deze site bezoekt krijg ik de foutmelding. Nieuwe gebruikers met thuis Windows Vista kunnen nu helemaal niks meer door deze foutmelding.

Bij navraag bleek het te gaan om een server met Small Business Server 2003 die blijkbaar netjes geconfigureerd is met de Configure E-mail and Internet Configuration Wizard (CEICW). Laten we eens kijken wat er precies gebeurt als we naar die url toe gaan met onze browser:

image

Daar lezen we dat het certificaat van deze website niet is uitgegeven door een vertrouwde Certificate Authority. Dit betekent dat we niet met zekerheid vast kunnen stellen of deze website wel de site is dit we denken dat het is, misschien staat de site wel op een server die probeert ons wachtwoord te stelen. Naast de controle op de uitgever van het certificaat zal de browser ook de geldigheidsdatum van het certificaat controleren en ten slotte kijkt hij of de hostnaam in de adresbalk overeenkomt met de naam die op het certificaat staat. Als één of meer van die controles mislukken, dan wordt de gebruiker lastig gevallen met deze waarschuwing.

Bij dit voorbeeld is de waarschuwing relatief onschuldig en te verwachten bovendien. In de volgende stappen gaan we dit probleem oplossen, waarna de gebruiker niet meer wordt lastig gevallen door deze waarschuwing.

Om te beginnen openen Windows Vista of 7 gebruikers een ‘elevated’ Internet Explorer. Zoek in het Start Menu de snelkoppeling voor Internet Explorer, bijvoorbeeld voor het woord ‘internet’ in het zoekvakje te typen. Klik op de snelkoppeling met de rechtermuisknop en kies voor Run as Administrator.

image

In het browservenster wat nu geopend wordt typen we het adres van de website in de adresbalk. Wanneer bovenstaande waarschuwing verschijnt klikken we op Continue to this website (not recommended). De adresbalk kleurt rood en de website verschijnt in beeld:

image

Om meer te weten over het probleem met het certificaat klikken we op Certificate Error. Nu volgt nog eens een duidelijke uitleg van het probleem, de uitgever van het certificaat wordt door onze computer niet vertrouwd:

image

Omdat we dat certificaat wel eens willen zien klikken we op View certificates, het certificaat wordt nu getoond:

image

Ook hier worden we nog een keer geattendeerd op het feit dat de uitgever van dit certificaat niet vertrouwd wordt. Ook wordt uitgelegd dat we, om deze uitgever in het vervolg wel te vertrouwen, het certificaat kunnen installeren in de Trusted Root Certification Authorities store. Die ‘store’ kun je vergelijken met een opbergkast in je computer, in die kast zitten een aantal vakjes en worden de diverse certificaten opgeslagen. Eén van die vakjes is bestemd voor uitgevers van certificaten die wij vertrouwen, in dat vakje willen wij dit certificaat dus plaatsen.

Dat doen we door op de knop Install Certificate… te klikken. Er start nu een wizard waarbij we op de eerste pagina op Next klikken. Op de volgende pagina mogen we kiezen waar we dit certificaat willen installeren, klik op Browse en kies de Trusted Root Certificate Authorities store:

image

Bevestig de keuze met een klik op OK en vervolg de wizard door op Next en vervolgens op Finish te klikken. De volgende waarschuwing verschijnt nu:

image

Dit is misschien wel de belangrijkste vraag in het hele proces. Om zeker te weten dat je een certificaat installeert van de juiste website zou je nu eigenlijk de beheerder van de site moeten bellen om te vragen of deze vingerafdruk (Thumbprint) overeenkomt met die op het certificaat wat hij aan de echte website gekoppeld heeft. Maar in de praktijk zal dat zelden gebeuren. Dus klikken we op Yes, bevestigen de keuzes nog twee keer met een klik op OK en sluiten alle openstaande browservensters. Die laatste stap is belangrijk om zeker te weten dat de wijziging opgepikt wordt door Internet Explorer, voordat we dit gaan testen.

We openen vervolgens een nieuwe browser en gaan weer naar de bewuste url. We krijgen nu geen waarschuwing meer en de adresbalk kleurt niet meer rood:

image

Let op het gesloten slotje wat rechts van het adres staat, deze geeft aan de alle controles geslaagd zijn en dat er een versleutelde verbinding is opgebouwd. Het is nu veilig om in te loggen met je gebruikersnaam en wachtwoord, deze zullen niet eenvoudig afgeluisterd kunnen worden.

Tip voor beheerders

Wanneer jij een server beheert waarbij je een self-signed certificaat gebruikt, dat wil zeggen een certificaat wat standaard niet door internetbrowsers vertrouwd wordt, maak dan een verkorte handleiding voor je gebruikers. Laat de uitleg weg en geef alleen de te nemen stappen, eventueel met screenshots van een Nederlandstalige versie van Windows.

Maar overweeg ook eens om een certificaat aan te schaffen bij een uitgever van certificaten die vertrouwd wordt door de client computers. De kosten voor een certificaat wat 3 jaar geldig is zullen niet veel hoger uitvallen dan zo’n 300 euro. (prijsindicatie Digicert) Reken maar eens uit wat het kost als je 150 gebruikers elk een kwartiertje bezig zijn met bovenstaande handleiding, en dat opnieuw zullen doen voor een andere werkplek of mobile device. Een officieel certificaat duur? Dat valt dus best wel mee.

Monday, May 3, 2010

Mei 2010: Nieuwe KB artikelen voor Exchange en Outlook

Hieronder vind je het overzicht van de nieuwe en bijgewerkte Microsoft knowledge-base artikelen over Exchange en Outlook.

Exchange

Exchange Svr 2000 EN: MS10-024: Description of the security update for Exchange 2000 Server: April 13, 2010

http://support.microsoft.com/kb/976703/EN-US

Exchange Svr 2003 SP2 EN: MS10-024: Description of the security update for Exchange Server 2003 Service Pack 2: April 13, 2010

http://support.microsoft.com/kb/976702/EN-US

Exchange Svr 2007 SP1 AL: Description of Update Rollup 10 for Microsoft Exchange Server 2007 Service Pack 1

http://support.microsoft.com/kb/981407/EN-US

Exchange Svr 2007 SP2 AL: A user can only set the time zone to Bucharest in OWA after you update Exchange Server 2007 Service Pack1 to Exchange Server 2007 Service Pack 2

http://support.microsoft.com/kb/980639/EN-US

Exchange Svr 2007 SP2 AL: Description of Update Rollup 4 for Microsoft Exchange Server 2007 Service Pack 2

http://support.microsoft.com/kb/981383/EN-US

Exchange Svr Ent 2003 EN: Microsoft support policy for the customization of Outlook Web Access for Exchange (Updated)

http://support.microsoft.com/kb/327178/EN-US

Exchange Svr Ent 2007 AL: You cannot mount a public folder store on a newly installed Exchange 2007 server, and it fails with a MapiExceptionNoAccess error

http://support.microsoft.com/kb/979693/EN-US

Exchange Svr Ent 2007 AL: Exchange Management Console (EMC) crashes, and you receive an error: "MMC could not create the snap-in"

http://support.microsoft.com/kb/979695/EN-US

Exchange Svr Ent 2007 AL: Installation of Exchange Server 2007 fails on a multiprocessor server

http://support.microsoft.com/kb/981539/EN-US

Exchange Svr Ent 2007 AL: "Outlook Web Access has disabled this link for your security" error message when you click a link in an e-mail message in Outlook Web Access 2007

http://support.microsoft.com/kb/982463/EN-US

Exchange Svr Enterprise 2010 AL: Description of Update Rollup 3 for Microsoft Exchange Server 2010 Release to Manufacturing

http://support.microsoft.com/kb/981401/EN-US

Exchange Svr Enterprise 2010 AL: RPC clients or MAPI on the Middle Tier clients may not receive responses from the mailbox server role on an Exchange 2010 server

http://support.microsoft.com/kb/981664/EN-US

Exchange Svr Std 2003 EN: You receive a "This item exceeds the maximum size defined for this folder" error message when you use OWA to post an item that has an attachment to a public folder in Exchange Server 2003 and in Exchange 2000 Server (Updated)

http://support.microsoft.com/kb/304307/EN-US

Exchange Svr Std 2007 AL: Custom Address Lists are not shown in the GAL in Microsoft Office Outlook

http://support.microsoft.com/kb/982351/EN-US

Outlook

Outlook 2002 Win32 EN: You receive a ".pst is not compatible" error message when you open an Outlook 2003 or Outlook 2007 .pst file in  earlier versions of Outlook (Updated)

http://support.microsoft.com/kb/839109/EN-US

Outlook 2003 Win32 AL: Attachments remain in the Outlook Secure Temporary File folder when you exit Outlook 2003 or Outlook 2007 (Updated)

http://support.microsoft.com/kb/817878/EN-US

Outlook 2003 Win32 AL: You may receive an "Outlook blocked access to the following potentially unsafe attachments" message in Outlook (Updated)

http://support.microsoft.com/kb/829982/EN-US

Outlook 2003 Win32 AL: Description of the Outlook 2003 hotfix package (Outlook.msp): February 25, 2010 (Updated)

http://support.microsoft.com/kb/980998/EN-US

Outlook 2003 Win32 AL: Description of the Office Outlook 2003 Junk E-mail Filter update: April 13, 2010

http://support.microsoft.com/kb/981432/EN-US

Outlook 2007 Win32 ML: Error message when you start Outlook: "Unable to open the Outlook window," "No profile has been created," or "The list of Profiles cannot be loaded" (Updated)

http://support.microsoft.com/kb/252304/EN-US

Outlook 2007 Win32 ML: How to find and run the Inbox Repair tool in Outlook (Updated)

http://support.microsoft.com/kb/272227/EN-US

Outlook 2007 Win32 ML: How to reset the nickname and the automatic completion caches in Outlook (Updated)

http://support.microsoft.com/kb/287623/EN-US

Outlook 2007 Win32 ML: How to move your personal folders (.pst) file in Outlook (Updated)

http://support.microsoft.com/kb/291636/EN-US

Outlook 2007 Win32 ML: You receive an error message when you click a hyperlink in Outlook (Updated)

http://support.microsoft.com/kb/310049/EN-US

Outlook 2007 Win32 ML: How to create and configure an e-mail profile in Outlook 2010, Outlook 2007, and Outlook 2003 (Updated)

http://support.microsoft.com/kb/829918/EN-US

Outlook 2007 Win32 ML: You cannot open a shared Outlook folder from a sharing invitation that you receive from another Outlook user (Updated)

http://support.microsoft.com/kb/912265/EN-US

Outlook 2007 Win32 ML: There are no Group Policy settings for CDO in Outlook 2007 (Updated)

http://support.microsoft.com/kb/926195/EN-US

Outlook 2007 Win32 ML: A new feature is available that enables Outlook 2007 to use DNS Service Location (SRV) records to locate the Exchange Autodiscover service (Updated)

http://support.microsoft.com/kb/940881/EN-US

Outlook 2007 Win32 ML: When you send an e-mail message from a shared mailbox in Outlook 2007, the sent message is not saved in the Sent Items folder of the shared mailbox (Updated)

http://support.microsoft.com/kb/972148/EN-US

Outlook 2007 Win32 ML: When you reply to or forward a signed or an encrypted e-mail message, the message is sent without encryption in Outlook 2007 and Outlook 2010 (Updated)

http://support.microsoft.com/kb/974334/EN-US

Outlook 2007 Win32 ML: Description of the Office Outlook 2007 hotfix package (Outlook-x-none.msp): February 23, 2010 (Updated)

http://support.microsoft.com/kb/978401/EN-US

Outlook 2007 Win32 ML: Description of the Office Outlook 2007 Junk E-mail Filter update: April 13, 2010

http://support.microsoft.com/kb/981433/EN-US

Sunday, May 2, 2010

Verwacht je hier actueel nieuws?

Veruit de meeste lezers van mijn blog zijn toevallige passanten, zij zoeken informatie over een foutmelding of onderwerp en een zoekmachine brengt ze op deze pagina. Misschien ben jij wel zo’n toevallige passant. Af en toe spreek ik wel eens iemand die mijn pagina bij zijn Favorieten heeft staan, of RSS gebruikt om een melding van een nieuw bericht te krijgen.

Met de artikelen die ik schrijf richt ik me onbewust op de eerste groep. Wanneer er een nieuwe rollup pack uit is, of een bepaalde tool ge-update is dan meldt ik dat niet hier, maar gebruik ik bijvoorbeeld Twitter. Nu vraag ik me af of er regelmatige lezers zijn die via mijn site op de hoogte willen blijven van het actuele nieuws over Exchange en randzaken.

Als je dit interessant vindt, of juist niet, wil je dat aangeven in onderstaande poll?

online survey

Het antwoord ‘Nee’ is ook prima. Het belangrijkste voor mij is dat bezoekers iets vinden waar ze wat aan hebben, als ik iemand eenmalig helpen kan dan is dat voor mij al prima. Bedankt voor het invullen.

O ja, op Twitter heet ik JetzeMellema.