Problem
Nach der Migration aller Postfächer zu Microsoft 365 zeigt Outlook weiterhin Zertifikatfehler an. Die Statusleiste meldet z. B. „Übermittlung wird vorbereitet“ mit einem Zertifikathinweis — obwohl das Konto korrekt auf Exchange Online konfiguriert ist.
Ursache
Der alte Exchange Server hat im Active Directory einen sogenannten Service Connection Point (SCP) hinterlassen. Dieses AD-Objekt enthält die Autodiscover-URL des alten Servers (z. B. https://mail.domain.de/Autodiscover/Autodiscover.xml).
Domain-joined Outlook-Clients fragen beim Start zuerst das Active Directory nach einem SCP-Eintrag — noch bevor DNS-basierte Autodiscover-Abfragen (CNAME, SRV) zum Einsatz kommen. Findet Outlook den alten SCP, versucht es den alten Exchange zu kontaktieren. Da dort das Zertifikat abgelaufen ist, kommt es zum Fehler.
Voraussetzungen
- Zugriff auf einen Domain Controller oder eine Workstation mit installiertem ActiveDirectory-PowerShell-Modul
- Domain-Admin- oder Enterprise-Admin-Rechte (Schreibzugriff auf die Configuration-Partition)
- Bestätigung, dass keine Postfächer mehr auf dem alten Exchange Server liegen
Lösung
Schritt 1: SCP-Eintrag im AD identifizieren
PowerShell als Administrator öffnen und folgenden Befehl ausführen. Den Domain-Suffix (DC=domain,DC=tld) an eure Umgebung anpassen:
powershell
# Active Directory-Modul laden (falls nicht automatisch geladen)
Import-Module ActiveDirectory
# SCP-Eintrag des Exchange Servers suchen
$scp = Get-ADObject `
-Filter {objectClass -eq "serviceConnectionPoint" -and keywords -like "*67661d7F-8FC4-4fa7-BFAC-E1D7794B1544*"} `
-SearchBase "CN=Configuration,DC=domain,DC=tld" `
-Properties serviceBindingInformation, keywords
# Ergebnis anzeigen
$scp | Format-List distinguishedName, serviceBindingInformationDie Ausgabe zeigt den Distinguished Name des SCP-Objekts sowie die hinterlegte Autodiscover-URL. Prüft, ob die URL auf den alten Exchange Server zeigt.
Schritt 2: SCP-Eintrag entfernen
Wenn sichergestellt ist, dass kein Postfach mehr auf dem alten Server liegt:
powershell
# SCP-Eintrag löschen (mit Bestätigungsabfrage)
$scp | Remove-ADObject -Confirm:$trueHinweis: Der Befehl fragt zur Sicherheit nochmal nach. Mit
Jbestätigen.
Schritt 3: Outlook-Clients testen
Nach dem Entfernen des SCP-Eintrags:
- Outlook schließen und neu starten
- Autodiscover testen: Strg gedrückt halten → Rechtsklick auf das Outlook-Symbol im Tray → „E-Mail-Autoermittlung testen“ → E-Mail-Adresse eingeben → „Test“
- Im Ergebnis sollte die Server-URL jetzt auf
https://outlook.office365.com/...zeigen — nicht mehr auf den alten Server
Tipp: Falls der Fehler bei einzelnen Clients bestehen bleibt, kann ein lokaler Autodiscover-Cache schuld sein. In dem Fall Outlook-Profil neu erstellen oder den Registry-Key
HKCU\Software\Microsoft\Office\16.0\Outlook\AutoDiscoverprüfen.
(Optional) Schritt 4: Temporärer Workaround per Registry
Falls der SCP nicht sofort entfernt werden kann (z. B. weil der alte Exchange noch für andere Zwecke läuft), kann man Outlook per Registry zwingen, den SCP zu ignorieren:
Windows-Taste + R → regedit
Pfad: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\AutoDiscover
Neuer DWORD-Wert (32 Bit):
Name: ExcludeScpLookup
Wert: 1Dieser Eintrag kann auch per GPO oder Intune verteilt werden.
Langfristig: Exchange sauber dekommissionieren
Das Entfernen des SCP-Eintrags behebt das akute Symptom. Der alte Exchange Server sollte aber langfristig sauber deinstalliert werden (über das Exchange-Setup → Deinstallation), damit keine verwaisten Objekte im AD zurückbleiben (Connectoren, Empfangsrichtlinien, Adressbuch-Einträge etc.).
Wichtig: Die VM des alten Exchange Servers niemals einfach löschen, ohne vorher die Exchange-Deinstallation durchzuführen. Sonst bleiben AD-Einträge zurück, die später Probleme verursachen können.