Jump to content

Event-ID 15021 HttpEvent nach Exch 2016 CU4 Update


peterg
Direkt zur Lösung Gelöst von peterg,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe gerade das Exchange 2016 CU4 Update (von CU2) gemacht (auf einem Server2012R2), welches reibungsllos funktioniert hat. Nun habe ich im Ereignisprotokoll den Fehler 15021:

Bei der Verwendung der SSL-Konfiguration für den Endpunkt (::'):443 ist ein Fehler aufgetreten.

Die Fehlermeldung kommt ständig!!!

 

OWA funktioniert, Outlook kann sich am Exchange anmelden und auch die Anmeldung an der EAC funktioniert.

 

Im IIS unter "Default Web Site" -> Bindungen -> ist bei beiden https-Einträgen das "externe" Exchange Zertifikat eingetragen (siehe Bilder), welches ich bei der Exchange-Installation eingebunden habe.

 

Kann das Zertifikat irgendwie "defekt" sein?

 

 

Hat evtl. jemand einen Tipp?

 

Gruß,

Pit

post-9377-0-15060600-1482927725_thumb.jpg

post-9377-0-14383900-1482927732_thumb.jpg

bearbeitet von peterg
Link zu diesem Kommentar

Hallo,

 

ich habe auch nicht im iis gemacht. Da traue ich mich nicht ran. :-) Wenn man "googelt" wird beschrieben, dass oft das Zertifikat fehlt und im iis eingetragen werden muss. Bei mir war aber alles eingetragen. Das wollte ich nur prüfen.

 

Bei get-exchangecetrificate kommt folgendes (siehe Bild)

 

Kann/soll ich das Zertifikat gemäß der Technet-Seite reinstallieren?

 

Welchen Kommentar meinst Du? Es geht ja auch teils um die Bindung beim "Exchange Back End", 444. 

 

Bei "netsh http show sslcert" steht nur bei einem Zertifikat "0.0.0.0:8172" die Anwendungs-ID mit 00000 drin. Bei den Zertifikaten mit Port 443 steht überall etwas bei der Anwendungs-ID.

 

Gruß,

Pit

post-9377-0-78631300-1482929553_thumb.jpg

bearbeitet von peterg
Link zu diesem Kommentar

Hi,

 

habe ich mich noch nicht getraut. Was heißt mit "Key" exportieren?

 

Ich habe das Zertiifkat über die EAC exportiert inkl. Passworteingabe oder muss ich das Zertifikat über die MMC exportieren? Hier habe ich keine Ahnung. Geht das so: https://www.digicert.com/ssl-support/pfx-import-export-iis-7.htm

oder https://technet.microsoft.com/de-de/library/aa996305(v=exchg.160).aspx

 

Kann ich dann einfach die 4 Schritte wie im Artikel beschrieben ausführen? Das habe ich noch nie gemacht, daher frage ich lieber ganz genau nach. Muss ich nicht bei "delete" die IP und den Port eingeben?                
-> delete sslcert ipport=127.0.0.1:443                        
-> delete sslcert ipport=[::]:443

bearbeitet von peterg
Link zu diesem Kommentar

Hallo,

 

ich weiß nicht ob ich auf dem richtigen Weg bin. Ich habe mir mal die Hash-Werte und die Anwendungs-IDs der SSL-Zertifikatsbindungen angeschaut  (netsh http show sslcert). Zudem hatte ich die Möglichkeit über einen Bekannten bei einem anderen Exchange 2016 die SSL-Zertifikatsbindungen anzuschauen (siehe Anlage).

 

Fazit:

0.0.0.0:443 und 127.0.0.1:443 haben den gleichen Hash und die gleiche Anwendungs-ID --> ist bei beiden Exchange-Servern so

 

0.0.0.0:444 hat einen anderen Hash, aber die gleiche Anwendungs-ID wie 0.0.0.0:443 und 127.0.0.1:443 --> ist bei beiden Exchange-Servern so

 

Das Problemkind [::]:443 stimmt weder mit Hash, noch mit Anwendungs-ID mit irgendeinen anderen Zertifikat zusammen

Zudem gibt es dieses Zertifikat nur bei dem Exchange mit der Fehlermeldeung.

Das Zertifikat wurde auf diesem Server gelöscht (andere Geschichte) und ein neues Zertifikat installiert. Evtl. ist das irgendein Überbleibsel und wird evtl. gar nicht benötigt und kann gelöscht werden.

 

Das hat mit dem CU4 Update wohl gar nichts zu tun und die Fehlermeldung ist mir erst jetzt aufgefallen. Der Zertifikatswechsel wurde auch erst vor kurzem gemacht.

 

--> Kann dazu jemand was sagen?

 

Gruß,

Peter

SSL-Zertifikatbindungen mit Fehlermeldung.txt

SSL-Zertifikatbindungen Vergleichsserver.txt

bearbeitet von peterg
Link zu diesem Kommentar

Ja, da in dem alten Exchange Zertifikat der CN nicht auch als SAN eingetragen war. Ich habe dann ein neues Zertifikat bekommen, wo dann alle Einträge richtig waren.

 

Ich habe gerade mal im Zertifikatsspeicher nachgeschaut und den Fingerabduck der Zertifikate mit dem Hash-Wert des [::]:443 Zertifikats verglichen. Dieses Zertifikat gibt es im Zertifikatsspeicher nicht.

 

Ich werde es jetzt mittles netsh http delete xxx löschen. Oder?

 

Wie lautet dann eigentlich das Kommando?  netsh http delete sslcert ipport=[::]:443

Passt das so mit den [::]? So wird es bei den Bindungen mit netsh http show sslcert angegeben.

 

Normalerweise schaut es ja so aus: netsh http delete sslcert ipport=0.0.0.0:443

bearbeitet von peterg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...