Scheint also so zu sein, wie ich dachte... Die Namen stimmen nicht überein.
(entsprechenden Meldungen des Browsers auf der OWA-Seite kann man ja wegklicken, aber PDA-ActiveSync ist da ganz streng)
Der öffentliche Hostname "webmail.extern.com" (die OWA-Adresse, die im ActiveSync auf dem PDA angegeben wird) muß als CN im Zertifikat stehen. Man muß also auf dem Server, der Exchange veröffentlicht, das Zertifikat mit diesem Namen einrichten (wie der Server wirklich heißt ist dabei unwichtig).
Du schreibst, da gibts schon eins mit "CN= externe adresse"? Dann scheint das aber nicht auf dem Server der Exchange-Seite im IIS zugewiesen zu sein (der Test findet ja das andere "CN=internerserver").
Also müßte man das eingerichtete SSL-Zertifikat mal auf dem Server (im IIS-Manager) kontrollieren/ändern.
Yossarian