Kein Zugriff mehr auf Exchange 2010 - "Initialisierungsfehler" in der Konsole

[Blase 15]

Hallo allerseits,

 

ich habe ein Problem mit unserem Exchange Server 2010 auf einem virtuellen 2008er R2. Und zwar bekomme ich bei der Anmeldung in der Exchange Verwaltungskonsole angehängte Fehlermeldung. Die Clients innerhalb der Domäne bekommen keine Verbindung und auch owa geht nicht.

 

Hintergrund ist folgender: Das Exchange Zertifikat ist ausgelaufen. Da wir eh auch den Zertifikat-Server ausmustern wollen - und das ursprüngliche Zertifikat noch fehlerhaft war (fehlende autodiscover Einträge) habe ich die AD-Zertifizierungsstelle auf diesem Exchange installiert und auch gleich ein neues Zertifikat in Exchange Erstellt. (Das "alte", abgelaufene liegt dort noch "aktiv") Dieses neue Zertifikat habe ich in der Zertifizierungsstelle eingetragen und habe mir schlussendlich mein finales Zertifikat erstellen lassen. Ich habe dieses allerdings zum jetzigen Zeitpunkt noch nicht in Exchange final installiert. Ich hatte es vorab per Mail an alle beteiligten Personen verschickt, damit die das auf Ihren Endgeräten haben, bevor ich es aktiviere.... Soviel zum Hintergrund - das war vorgestern alles geschehen.

 

Stand heute ist, dass der Exchange seinen Dienst komplett einstellt. Von den Windows Diensten sind alle Exchange Dienste, die auf "automatisch" stehen gestartet - bis auf "RPC-Clientzugriffsdienst" und "Transport" - letzterer müsste doch aber laufen, oder? Wenn ich die manuell starte kommt jeweils die Meldung vonwegen wurde gestartet und dann aber gleich wieder angehalten - die Standard Meldung halt.

 

Was ist zu tun? Ist das Problem das abgelaufene Zertifikat? Dann sollte ich doch trotzdem zumindest in die Konsole kommen, oder? Oder war es b***d, die AD-Zertifizierungsstelle (zusätzlich) auch auf dem Exchange zu installieren). Wie gesagt, da das bis vorgestern aktuelle Exchange Zertifikat eh fehlerhaft war und der bisherige Server mit der Zertifizierungsstelle eh zeitnah ausgemustert werden sollte, habe ich halt kurzerhand auf dem Exchange die AD-Zertifizierungsstelle installiert und eben auch gleich ein neues Exchange Zertifikat erstellt....

 

Ach ja, was auch noch geschehen ist, auf dem Server wurde Microsoft Security Essentials installiert (MSE). Das sollte mir aber keine Probleme machen, oder?

 

Bin für jede Hilfe dankbar!

 

MfG Blase

bearbeitet 26. Juli 2013 von Blase

[RobertWi 81]

Moin,

 

da ist so viel passiert, das wird eventuell schwierig, das aus der Ferne zu lösen.

 

Zur ADCS: Technisch kann man sie auf dem Exchange installieren. Es gibt aber einen bösen Fallstrick, der können schuld am Versagen der Webdienste sein: Man darf auf keinen Fall die Rollendienste für die automatische Webkonfiguration installieren. Das verbastelt die Bindungen im IIS. Du musst die Webseite installieren, mit der User sich Zertifikate anfordern können, aber nicht die beiden anderen Rollendienste. Falls passiert: Lösch diese beiden Dienste und melde Dich wieder. Dann schaue ich bei mir nach, wie die Bindungen bei einem "sauberen" Exchange-IIS sind.

[Blase 15]

Hallo Robert,

 

also ich habe lediglich die beiden Rollendienste "Zertifizierungsstelle" und "Zertifizierungsstellen-Webregistrierung" (die meinst Du, oder?)  installiert. Letztere habe ich nun wieder entfernt und den Server neu gestartet.

 

Ändert allerdings nichts am Verhalten bei der Anmeldung an der Konsole.

 

Welches sind die relevanten Einträge im IIS? Bei mir aktuell (nenne nur die aktivierten Typen)

 

Autodiscover:

Authentifizierung: Anonym + Standard + Windows

SSL erforderlich - Clientzertifikate ignorieren

 

EWS (wie Autodiscover)

 

Exchange:

Authentifizierung: angehängte Fehlermeldung beim Aufruf

SSL erforderlich - Clientzertifikate ignorieren

 

OWA:

Authentifizierung: Standard

SSL erforderlich - Clientzertifikate ignorieren

 

PowerShell (wird ja in der ursprünglichen Fehlermeldung genannt)

Authentifizierung: alles deaktiviert

SSL nicht erforderlich - Clientzertifikate akzeptieren

 

So, das ist erst einmal mein Status quo. Hoffe, Du hast dazu eine Idee. Danke Dir auf jeden Fall schon mal für Deine Unterstützung!

 

MfG Blase

 

 

 

Ach, ich habe Dich glaube ich falsch verstanden bezüglich der Bindungen.

 

Du meinst die "Sitebindungen" in der Default Web Site?

 

Dort habe ich für http und https doppelte Einträge.

 

http mit Port 80 und IP *

http mit Port 80 und IP 127.0.0.1

 

https mit Port 443 und IP (da steht nix hinter/drin)

https mit Port 443 und IP 127.0.0.1

 

Und ein paar weitere mir unbekannte Einträge sind dort vom Typ

 

net.tcp

net.pipe

net.msmq

msmq.formatname

 

Jeweils ohne Hostname, Port und IP. Lediglich bei den Bindungsinformationen stehen dort Dinge drin, ist aber uninteressant, oder?

 

Welchen der doppelten Einträge bezüglich http und https soll ich löschen?

 

MfG Blase

[RobertWi 81]

Du meinst die "Sitebindungen" in der Default Web Site?

 

Korrekt. Muss so aussehen, wie in der Anlage und bei den beiden 443 ist unter "Bearbeiten..." noch das korrekte Exchange-Zertifikat eingestellt.

 

Zu Deinem Screenshot. Ok, offensichtlich hats die web.config zerhauen. Lad Dir das Service Pack für Exchange herunter, dass Du auf dem Exchange hast. Dann pack es aus (ist eine selbstwextrahierende Datei), such darin DIESE web.config (es gibt sie mehrmal, nimm die richtige aus dem korrekten Verzeichnis!) und kopier sie auf Deinen Server.

 

 

bearbeitet 26. Juli 2013 von RobertWi

[Blase 15]

Hallo Robert,

 

letztlich sind meine Einstellungen doch, wie auf Deinem Screenshot. Bei den beiden HTTPS Bindungen ist jeweils noch das "alte" Exchange Zertifikat hinterlegt. Ich habe daraufhin aber mal spaßeshalber für die HTTPS Bindung, wo in der IP Adresse nichts eingetragen ist, auch mal ein * eingetragen - jetzt schient das wieder zu laufen?! Ich kann in der Exchange Konsole eine Verbindung aufbauen, die Clients verbinden sich mit Outlook und können senden/empfangen...

 

Ich habe wirklich nichts weiter gemacht, als dort - wie es bei http schon war - das Sternchen bei IP Adresse eingetragen. Sieht jetzt so aus:

 

http mit Port 80 und IP *

http mit Port 80 und IP 127.0.0.1

 

https mit Port 443 und IP *

https mit Port 443 und IP 127.0.0.1

 

Jetzt bin ich etwas verunsichert, in mehrerer Hinsicht, und hoffe, dass Du da noch was zu sagen kannst:

 

1. Wenn Du sagst, so muss die Bindung aussehen wie bei Dir - das tat sie ja scheinbar bei mir auch. Ich muss gestehen, dass ich keine Ahnung habe, wie das vorher, vor der ADCS Geschichte, aussah. Ist das jetzt unproblematisch, dass das Sternchen hinter https gesetzt ist? Spricht das für eine "falsche" Exchange Konfiguration an anderer Stelle?

 

2. Sollte ich lieber bezüglich Exchange noch etwas testen/nachschauen? Augenscheinlich läuft das aktuell erste einmal wieder.

 

3. Wie verhält es sich jetzt mit dem Exchange Zertifikat? Ich habe ja nach wie vor das alte, ausgelaufene Zertifikat drin. Hat das entfernen der Web-CA Geschichte (negativen) Einfluss auf mein bereits angefordertes und ausgestelltes, aber noch nicht in Exchange final eingebundenes Zertifikat?

 

4. Wo ich grade sehe, dass in den https Bindungen auch das Zertifikat angegeben wird - reicht es innerhalb von Exchange das neue Zertifikat im Bereich "IIS" einzubinden, oder muss ich anschließend manuell im Bereich der Bindungen für https auch das neue Zertifikat hinterlegen?

 

Hab vielen vielen Dank für Deine Hilfe! Auf die Bindungen wäre ich wohl in hundert Jahren nicht gekommen....

 

MfG Blase

[RobertWi 81]

1. Wenn Du sagst, so muss die Bindung aussehen wie bei Dir - das tat sie ja scheinbar bei mir auch. Ich muss gestehen, dass ich keine Ahnung habe, wie das vorher, vor der ADCS Geschichte, aussah. Ist das jetzt unproblematisch, dass das Sternchen hinter https gesetzt ist? Spricht das für eine "falsche" Exchange Konfiguration an anderer Stelle?

 

Das mit den "*" ist an der Stelle auch ok. Ich denke, da war intern irgendwas verkehrt und es wurde stillschweigend einfach korrigiert, als Du die Bindungen angefasst hast. Du kannst ja mal testweise das "*" wieder rausnehmen.

 

 

2. Sollte ich lieber bezüglich Exchange noch etwas testen/nachschauen? Augenscheinlich läuft das aktuell erste einmal wieder.

 

Alle Dienste müssen laufen, Mails rein/raus, Client-Zugriff.

 

3. Wie verhält es sich jetzt mit dem Exchange Zertifikat? Ich habe ja nach wie vor das alte, ausgelaufene Zertifikat drin. Hat das entfernen der Web-CA Geschichte (negativen) Einfluss auf mein bereits angefordertes und ausgestelltes, aber noch nicht in Exchange final eingebundenes Zertifikat?

 

Jein.

1. Du brauchst das Stammstellenzertifikat für die Vertrauenskette -> Du hast die CA ja aber noch

2. Für das ausstellen eines SAN-Zertifikates muss man entweder die Web-Seite nehmen oder das umständlich via certutil manuell machen. Solange Du kein neues Zert brauchst, stört das nicht. Aber wie gesagt: Das ist eh die richtige Seite, die ist nicht schuld für die falschen Einstellungen gewesen. Die anderen sind problematisch.

 

4. Wo ich grade sehe, dass in den https Bindungen auch das Zertifikat angegeben wird - reicht es innerhalb von Exchange das neue Zertifikat im Bereich "IIS" einzubinden, oder muss ich anschließend manuell im Bereich der Bindungen für https auch das neue Zertifikat hinterlegen?

 

In der EMC dem Zertifikat die korrekten Dienste zuweisen -> Alles, außer UM.

 

Hab vielen vielen Dank für Deine Hilfe! Auf die Bindungen wäre ich wohl in hundert Jahren nicht gekommen....

 

Wie gesagt, denke ich, dass im Hintergrund was verbastelt war. Es ist immer gefährlich, ein anderes IIS-intergriertes Produkt auf Exchange zu installieren. Ich brauche halt bei Exchange den IIS nicht nur für OWA, sondern eigentlich für alles, Management und Clients. Wenn dann am IIS was kaputt geht, ist der Spaß groß.

 

Daher empfehle ich immer, nichts auf einen Exchange zu installieren, was den IIS ändert, z.B. WSUS, CA oder gar Sharepoint Services.

 

Zum Spaß kann ich jedem nur empfehlen, mal in einem SBS in die IIS-Manager zu schauen und zu sehen, was Microsoft für Verrenkungen gemacht hat, damit Exchange, WSUS und Sharepoint auf einer Kiste laufen. Das will man eigentlich nicht und da sind Probleme vorprogrammiert.

[NeMiX 76]

Nur eine kurze Anmerkung: Wenn deine CA AD integriert ist, musst du das Stammcert nicht extra verteilen was du anscheinend gemacht hast.