toasti 11 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Hallo zusammen, wir haben hier ein kleines Problem mit dem OAB unseres Exchanges 2010 und abgelaufenen E-Mail Zertifikaten. Intern werden bei uns E-Mails verschlüsselt (nicht alle, ein kleiner Kreis), die Zertifikate kommen von einer internen Zertifizierungsstelle. Im Jahresrythmus werden die Zertifikate automatisch erneuert - alles klappt soweit ganz gut. Das Problem ist leider nur, dass der Exchange abgelaufene Zertifikate nicht aus dem OAB entfernt, nur neue hinzu addiert. Kann man das irgendwie abstellen bzw. bereinigen? Beim AD-Benutzerkonto ist das abgelaufene Zertifikat nicht mehr vorhanden und trotzdem wird es aus dem OAB nicht entfernt. Leider passiert es dann immer wieder, dass das alte Zertifikat als Standard von anderen Outlook Clients beim Verschlüsseln genutzt wird, auf dem anderen Client die E-Mail dadurch aber nicht gelesen werden kann. Ich hoffe auf ein paar Tipps von euch. Danke schön im Voraus. toasti Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Normalerweise sollten die beim REbuild des OAB entfernt werden. Was steht denn im Ereignisprotokoll des Exchangeservers wenn du das OAB neu generierst? Wieso wird ein abgelaufenes Zertifikat überhaupt zur "Verschlüsselung" benutzt? Das müßte Outlook doch ablehnen, oder nicht? Bye Norbert Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 20. Januar 2015 Autor Melden Teilen Geschrieben 20. Januar 2015 (bearbeitet) Du hast Recht, das ist tatsächlich sehr komisch, dass es überhaupt geklappt hat die Mail verschlüsselt zu schicken. Derzeit sind für den User 3 Zertifikate im AD: - Ein abgelaufenes von 2014 - eins welches noch bis 20.02 gültig ist - und ein drittes welches bereits das im Februar ablaufende ersetzen wird. Alles durch die eingestellte Automatik so passiert um die Zertifikate zu erneuern. Das abgelaufende steht im OAB als "Standard" markiert. Folgendes steht im Log: Protokollname: Application Quelle: MSExchangeSA Datum: 20.01.2015 13:12:17 Ereignis-ID: 9327 Aufgabenkategorie:(13) Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: Exchangeserver.domain.local Beschreibung: Es wurden einige Einträge in der Offlineadressliste "\Globale Adressliste" von OALGen ausgelassen. Um festzustellen, welche Einträge betroffen sind, muss die Ereignisprotokollierung für den Offlineadress-Generator mindestens auf "Mittel" festgelegt sein. - \Standard-Offlineadressliste Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="MSExchangeSA" /> <EventID Qualifiers="32768">9327</EventID> <Level>3</Level> <Task>13</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2015-01-20T12:12:17.000000000Z" /> <EventRecordID>18350214</EventRecordID> <Channel>Application</Channel> <Computer>Exchangeserver.domain.local</Computer> <Security /> </System> <EventData> <Data>\Globale Adressliste</Data> <Data>\Standard-Offlineadressliste</Data> </EventData> </Event> Protokollname: Application Quelle: MSExchangeSA Datum: 20.01.2015 13:12:17 Ereignis-ID: 9320 Aufgabenkategorie:(13) Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: Exchangeserver.domain.local Beschreibung: OABGen konnte keine vollständigen Detailinformationen für einige Einträge in der Offlineadressliste der Adressliste '\Globale Adressliste' generieren. Die Ereignisprotokollierung für den Offlineadresslisten-Generator muss mindestens auf "Mittel" festgelegt werden, damit die betroffenen Einträge angezeigt werden. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="MSExchangeSA" /> <EventID Qualifiers="32768">9320</EventID> <Level>3</Level> <Task>13</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2015-01-20T12:12:17.000000000Z" /> <EventRecordID>18350213</EventRecordID> <Channel>Application</Channel> <Computer>Exchangeserver.domain.local</Computer> <Security /> </System> <EventData> <Data>\Globale Adressliste</Data> <Data>\Standard-Offlineadressliste</Data> </EventData> </Event> EDIT: Was mir gerade kommt. Selbst wenn ein altes Zertifikat genutzt wurde, bleibt doch aber der private Schlüssel gleich. Sollte das Lesen der verschlüsselten E-Mail nicht in jedem Fall möglich sein beim Empfänger? bearbeitet 20. Januar 2015 von toasti Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Ich denke du hast das abgelaufene Zertifikat entfernt? Der private Schlüssel ist auch nach Ablauf des Zertifikats zum Entschlüsseln notwendig uund in der Lage. Korrekt. Bye Norbert Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 20. Januar 2015 Autor Melden Teilen Geschrieben 20. Januar 2015 Korrekt, im AD ist es entfernt - nur leider nimmt er das nicht aus der OAB. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 20. Januar 2015 Melden Teilen Geschrieben 20. Januar 2015 Siehe http://www.mcseboard.de/topic/201811-exchange-2010-abgelaufene-zertifikate-im-oab-wie-entfernen/?do=findComment&comment=1256399 Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 21. Januar 2015 Melden Teilen Geschrieben 21. Januar 2015 Die Fehlermeldung der Ereignisanzeige kannst du weiter untersuchen indem du genau das machst, was da steht - das Logging höher schrauben. Bei uns kam dabei raus das Nutzer mehrere Zertifikate im AD haben und ihm das dann zu viel wird und er das dann irgendwann ignoriert. Soweit, normal. Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 3. Februar 2015 Autor Melden Teilen Geschrieben 3. Februar 2015 (bearbeitet) Guten morgen, heute wieder so ein Problem... altes Zertifikat immer noch im Adressbuch. ich habe das Logging des Generators nun auf Expert stehen, aber noch nichts gefunden was daraufhin deutet. Von wie vielen Zertifikaten sprichst du bei mehreren? Ich bekomme im Anwendungslog nur das hier nach Generierung des Adressbuchs: Protokollname: Application Quelle: MSExchangeSA Datum: 03.02.2015 11:42:12 Ereignis-ID: 9320 Aufgabenkategorie:(13) Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: Exchange.domain.local Beschreibung: OABGen konnte keine vollständigen Detailinformationen für einige Einträge in der Offlineadressliste der Adressliste '\Globale Adressliste' generieren. Die Ereignisprotokollierung für den Offlineadresslisten-Generator muss mindestens auf "Mittel" festgelegt werden, damit die betroffenen Einträge angezeigt werden. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="MSExchangeSA" /> <EventID Qualifiers="32768">9320</EventID> <Level>3</Level> <Task>13</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2015-02-03T10:42:12.000000000Z" /> <EventRecordID>18618568</EventRecordID> <Channel>Application</Channel> <Computer>Exchange.domain.local</Computer> <Security /> </System> <EventData> <Data>\Globale Adressliste</Data> <Data>\Standard-Offlineadressliste</Data> </EventData> </Event> Habe heute mal meine OST-Datei gelöscht und alles neu synchronisieren lassen - ich habe bei einigen Usern immer noch alte, abgelaufende Zertifikate drin. Im AD sind die abgelaufenen Zertifikate nicht mal mehr interlegt, im OAB aber sind sie drin. Habe auch mal alle OAB-Daten gelöscht, neu generiert - gleiches Spiel. Woher nimmt der Exchange diese Infos?? EDIT: Genau das beschreibt unsere Lage und funktioniert: http://usefulpki.blogspot.de/2011/08/clearing-certificates-from-global.html Aber muss das nun wirklich jeder User einzeln in seinem Outlook machen? Kann man das auch irgendwie zentral erreichen? bearbeitet 3. Februar 2015 von toasti Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.