Jump to content

Schannel EventID 36884 / Zertifikatserneuerung auf Exchange Server


Guest
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

auf unserem Windows 2003 SP2 Server mit Exchange 2003 SP2 existieren 2 Probleme die vermutlich zusammenhängen.

 

Zum Einen erscheint bei jedem Neustart des Servers folgende Meldung im Eventlog.

 


Ereignistyp: Fehler
Ereignisquelle: Schannel
Ereigniskategorie: Keine
Ereigniskennung: 36884
Datum: 25.06.2008
Zeit: 09:33:32
Benutzer: Nicht zutreffend
Computer: COMPUTERNAME
Beschreibung:
Das vom Remoteserver erhaltene Zertifikat enthält nicht den erwarteten
Namen. Es ist daher nicht möglich festzustellen, ob eine Verbindung mit dem
richtigen Server hergestellt wird. Der erwartete Servername ist
Computername.Domäne.local. Die SSL-Verbindungsanforderung ist
fehlgeschlagen. Die angehängten Daten enthalten das Serverzertifikat.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.

Daten:
(Es handelt sich offenbar um das SSL Zertifikat für den OWA,
aus Sicherheitsgründen nicht aufgelistet)
[/Code]

 

Zur Info: Der Benutzer ist Domänenadmin. Ansonsten erscheinen keine Fehlermeldungen nach dem Neustart.

 

 

Zum Anderen möchte ich gerne das Zertifikat für die Exchange Website verlängern, damit diese weiterhin benutzt werden kann.

 

Normalerweise kenne ich das so:

IIS-->Website-->Eigenschaten-->Verzeichnissicherheit->Serverzertifikat-->Zertifikat erneuern

Hier wählt man dann "Anforderung sofort an eine Onlinezertifizierungsstelle senden" und erhält sofort das Zertifikat.

 

Nun ist das Feld leider ausgegraut und ich kann nur "Anforderung jetzt vorbereiten, aber später senden" wählen. Das funktioniert auch. Aber wie kann ich in unserer Windows 2003 AD-integrierten Zertifizierungsstelle (auf dem gleichen Server wie Exchange!) nun das Zertifikat freigeben?

Im SnapIn "Zertifikatsstelle" habe ich die Möglichkeit "Neue Anforderung einreichen". Allerdings weiß ich dann nicht wie ich das Zertifikat in die Webseite bekomme.

 

Es wäre echt Klasse, wenn mir da vielleicht jemand helfen könnte.

 

Vielen Dank!

Link to comment

Hmm, ehrlich gesagt nicht. Habe das grade nachgeholt und das Zertifikat für die Exchange Website nochmal entfernt und neu hinzufügt.

 

Leider ändert das nichts daran, dass ich kein neues Zertifikat auf dem bekannten Weg anfordern kann :(

Zusätzlich erscheinen auf einem Domänencontroller jede Minuten folgender Eintrag im Eventlog:

 

Ereignistyp:	Fehlerüberw.
Ereignisquelle:	Security
Ereigniskategorie:	Verzeichnisdienstzugriff 
Ereigniskennung:	565
Datum:		25.06.2008
Zeit:		17:30:18
Benutzer:		DOMÄNE\EXCHANGESERVER$
Computer:	DOMÄNENCONTROLLER
Beschreibung:
Geöffnetes Objekt:
	Objektserver:	DS
	Objekttyp:	configuration
	Objektname:	CN=Configuration,DC=domäne,DC=local
	Neue Handlekennung:	-
	Vorgangskennung:	{0,1646302050}
	Prozesskennung:	268
	Primärer Benutzer:	DOMÄNENCONTROLLER$
	Primäre Domäne:	DOMÄNE
	Primäre Anmeldekennung:	(0x0,0x3E7)
	Clientbenutzername:	EXCHANGESERVER$
	Clientdomäne:	DOMÄNE
	Clientanmeldekennung:	(0x0,0x5D3F9AC2)
	Zugriffe		Zugriff steuern 

	Berechtigungen		-

Eigenschaften:
LÖSCHEN 
LESEN_KONTROLLE 
SCHREIBEN_DAC 
SYNCHRONISIEREN 
MAX_ERLAUBT 
Write Property 
Struktur löschen 
Objekt auflisten 
Zugriff steuern 
%%7689
%%7690
%%7691
%%7692
%%7694
%%7695
	Manage Replication Topology

 

Vielleicht hängt das irgendwie zusammen?

 

Auf jeden Fall könnte das bei der Lösung helfen.

Link to comment

Hi,

 

kann ich dir jetzt grade nicht sagen, da ich grade keinen Zugriff habe.

Das Zertifikat, die OWA bzw. Certsrv Seite funktionieren aber seit etwa 1 Jahr über https.

 

Da wurde auch nichts geändert. Deswegen verstehe ich nicht was da das Problem sein soll.

 

Ich schätze mal, dass irgendwie die Kommunikation zwischen Exchange und DC Probleme macht.

 

Nur Lösungsmöglichkeiten habe ich keine gescheiten gefunden :(

 

Wo kann ich ansetzen?

 

Viele Grüße

Stefan

Link to comment

...sieht schon ein wenig "komisch" aus die Events auf dem DC. Findest Du weitere Events auf dem Exchange Server, der auf Probleme mit der Domänenzugehörigkeit hinweisen könnten? Application- als auch SYSTEM-Eventlog?

 

Wie lange ist das Zertifikat vom Exchange gültig?

 

Viele Grüße

olc

Link to comment

Moin,

 

interessanterweise bekomme ich beim öffnen des Öffentlichen Ordners im Exchange System Manger die Fehlermeldung "Der Servername auf dem SSL-Zertifikat ist falsch. ID-Nr. c103b404"

 

Seit gestern Abend sind die Schannel Fehlermeldungen im Log verschwunden und wurden durch Informationsmeldungen ersetzt. Das scheint also wieder zu funktionieren.

 

Die anderen Fehler bleiben leider bestehen.

Link to comment

Habe es nun hinbekommen ein Zertifikat zu installieren.

 

Zwar nur über "Anforderung speichern und später einreichen" und dann über die die certsrv Seite, aber immerhin hat es geklappt.

 

Danke an alle für die Unterstützung.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...