Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
peterg

Event-ID 15021 HttpEvent nach Exch 2016 CU4 Update

Empfohlene Beiträge

Hallo,

 

ich habe gerade das Exchange 2016 CU4 Update (von CU2) gemacht (auf einem Server2012R2), welches reibungsllos funktioniert hat. Nun habe ich im Ereignisprotokoll den Fehler 15021:

Bei der Verwendung der SSL-Konfiguration für den Endpunkt (::'):443 ist ein Fehler aufgetreten.

Die Fehlermeldung kommt ständig!!!

 

OWA funktioniert, Outlook kann sich am Exchange anmelden und auch die Anmeldung an der EAC funktioniert.

 

Im IIS unter "Default Web Site" -> Bindungen -> ist bei beiden https-Einträgen das "externe" Exchange Zertifikat eingetragen (siehe Bilder), welches ich bei der Exchange-Installation eingebunden habe.

 

Kann das Zertifikat irgendwie "defekt" sein?

 

 

Hat evtl. jemand einen Tipp?

 

Gruß,

Pit

post-9377-0-15060600-1482927725_thumb.jpg

post-9377-0-14383900-1482927732_thumb.jpg

bearbeitet von peterg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du solltest im iis am besten gar nichts mit den Zertifikaten tun. Prüfen kann man das auch per powershell mittels get-exchangecertificate.

Hast du hier mal geschaut?

https://technet.microsoft.com/en-us/library/cc727844(v=ws.10).aspx Auch die Kommentare lesen.

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

ich habe auch nicht im iis gemacht. Da traue ich mich nicht ran. :-) Wenn man "googelt" wird beschrieben, dass oft das Zertifikat fehlt und im iis eingetragen werden muss. Bei mir war aber alles eingetragen. Das wollte ich nur prüfen.

 

Bei get-exchangecetrificate kommt folgendes (siehe Bild)

 

Kann/soll ich das Zertifikat gemäß der Technet-Seite reinstallieren?

 

Welchen Kommentar meinst Du? Es geht ja auch teils um die Bindung beim "Exchange Back End", 444. 

 

Bei "netsh http show sslcert" steht nur bei einem Zertifikat "0.0.0.0:8172" die Anwendungs-ID mit 00000 drin. Bei den Zertifikaten mit Port 443 steht überall etwas bei der Anwendungs-ID.

 

Gruß,

Pit

post-9377-0-78631300-1482929553_thumb.jpg

bearbeitet von peterg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja, da steht bei https Port 444 beim SSL-Zertifikat "Microsoft Exchange" und nicht das "externe Zertifikat" drin.

 

Bei meinem Test-Exchange (gleich mit CU4 aufgesetzt) ist das aber auch so! Gehört hier das "externe Zertifikat" rein?

 

Gruß,

Pit

bearbeitet von peterg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

ich habe mal bei "Default Web Site" die https-Bindungen auf "Microsoft Exchange" umgestellt, einen iis-Reset gemacht und dann wieder das Exterene Zertifikat eingetragen (und iis-reset). Brachte nichts :-(

 

Die Fehlermeldung komme alle 10 Sek.

 

Gibt's doch nicht....

bearbeitet von peterg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

habe ich mich noch nicht getraut. Was heißt mit "Key" exportieren?

 

Ich habe das Zertiifkat über die EAC exportiert inkl. Passworteingabe oder muss ich das Zertifikat über die MMC exportieren? Hier habe ich keine Ahnung. Geht das so: https://www.digicert.com/ssl-support/pfx-import-export-iis-7.htm

oder https://technet.microsoft.com/de-de/library/aa996305(v=exchg.160).aspx

 

Kann ich dann einfach die 4 Schritte wie im Artikel beschrieben ausführen? Das habe ich noch nie gemacht, daher frage ich lieber ganz genau nach. Muss ich nicht bei "delete" die IP und den Port eingeben?                
-> delete sslcert ipport=127.0.0.1:443                        
-> delete sslcert ipport=[::]:443

bearbeitet von peterg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

ich weiß nicht ob ich auf dem richtigen Weg bin. Ich habe mir mal die Hash-Werte und die Anwendungs-IDs der SSL-Zertifikatsbindungen angeschaut  (netsh http show sslcert). Zudem hatte ich die Möglichkeit über einen Bekannten bei einem anderen Exchange 2016 die SSL-Zertifikatsbindungen anzuschauen (siehe Anlage).

 

Fazit:

0.0.0.0:443 und 127.0.0.1:443 haben den gleichen Hash und die gleiche Anwendungs-ID --> ist bei beiden Exchange-Servern so

 

0.0.0.0:444 hat einen anderen Hash, aber die gleiche Anwendungs-ID wie 0.0.0.0:443 und 127.0.0.1:443 --> ist bei beiden Exchange-Servern so

 

Das Problemkind [::]:443 stimmt weder mit Hash, noch mit Anwendungs-ID mit irgendeinen anderen Zertifikat zusammen

Zudem gibt es dieses Zertifikat nur bei dem Exchange mit der Fehlermeldeung.

Das Zertifikat wurde auf diesem Server gelöscht (andere Geschichte) und ein neues Zertifikat installiert. Evtl. ist das irgendein Überbleibsel und wird evtl. gar nicht benötigt und kann gelöscht werden.

 

Das hat mit dem CU4 Update wohl gar nichts zu tun und die Fehlermeldung ist mir erst jetzt aufgefallen. Der Zertifikatswechsel wurde auch erst vor kurzem gemacht.

 

--> Kann dazu jemand was sagen?

 

Gruß,

Peter

SSL-Zertifikatbindungen mit Fehlermeldung.txt

SSL-Zertifikatbindungen Vergleichsserver.txt

bearbeitet von peterg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja, da in dem alten Exchange Zertifikat der CN nicht auch als SAN eingetragen war. Ich habe dann ein neues Zertifikat bekommen, wo dann alle Einträge richtig waren.

 

Ich habe gerade mal im Zertifikatsspeicher nachgeschaut und den Fingerabduck der Zertifikate mit dem Hash-Wert des [::]:443 Zertifikats verglichen. Dieses Zertifikat gibt es im Zertifikatsspeicher nicht.

 

Ich werde es jetzt mittles netsh http delete xxx löschen. Oder?

 

Wie lautet dann eigentlich das Kommando?  netsh http delete sslcert ipport=[::]:443

Passt das so mit den [::]? So wird es bei den Bindungen mit netsh http show sslcert angegeben.

 

Normalerweise schaut es ja so aus: netsh http delete sslcert ipport=0.0.0.0:443

bearbeitet von peterg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Problem gelöst. Ich habe das Zertifikat [::]:443 gelöscht.

 

Outlook, EAC, etc. funktioniert weiterhin.

 

Danke für die Unterstützung

 

Gruß,

Pit

bearbeitet von peterg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×