Herakles25 0 Geschrieben 9. Mai Melden Teilen Geschrieben 9. Mai Moin, mir fehlen Ideen in welche Richtung ich suchen muss. Bislang finde ich nur Lösungsansätze, wo man die ManagementShell nutzt. Umgebung: Server 2012R2, Exchange 2013 - (läuft nur im Intranet mit einer handvoll Clients, ein lokaler Connector speist ihn mit Mails). Vor ca 2 Wochen habe ich ein abgelaufenes Zertifkat manuell erneuert - ohne Zertifizierungsstelle, da der Server nur intern läuft - lief danach einwandfrei (Clients mussten das Cert einmal speichern). Vorgestern hab ich ihn dann das erste Mal seitdem neu gestartet - danach war Exchange nicht mehr erreichbar. neben den Clients, die sich natürlich nicht mehr verbinden können gibt es lokal schon folgende Phänomene: - Exchange Administrative Center gibt nach Login einen 503 - Toolbox gibt nach Start einen Snapin-Fehler - Exchange Management Shell gibt nach Verbindungsversuch einen leeren Fehler Einen ersten Fehler konnte ich lösen indem ich im IIS-Manager im Verwaltungsdienst ein aktuelles Zertifikat zugerodnet habe. Damit ließ sich der Webverwaltungsdienst wieder starten. Fehlermeldungen gibt es natürlich viele, ich denke die beruhen natürlich auf einem Grundproblem - ich hatte den Ansatz folgende damit ursächlich zu verknüpfen - gefundene Lösungen setzen allerdings die Shell vorraus: "Ereignis 36874, Schannel Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, vom Server unterstützt. Fehler bei der SSL-Verbindungsanforderung." oder diese: "Ereignis 2005 MSExchange Certificate Deployment Verbund- oder Authentifizierungszertifikat nicht gefunden: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Das Zertifikat wurde am lokalen sowie an benachbarten Standorten nicht gefunden. Bestätigen Sie, dass das Zertifikat in Ihrer Topologie vorhanden ist, und setzen Sie das Zertifikat bei Bedarf bei der Verbundvertrauensstellung mithilfe von 'Set-FederationTrust' oder 'Set-AuthConfig' auf ein gültiges Zertifikat zurück. Die Übermittlung des Zertifikats an den lokalen oder die benachbarten Standorte benötigt möglicherweise etwas Zeit." Im IIS sehe ich 3 aktuelle Zertifikate, die am entsprechenden Tag erstellt worden sind - allerdings hat keines den Hashwert, der oben drin stand. Zudem heißt es dort: "Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig. Installieren Sie das Zertifikat in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen, um die Vertrauensstellung zu aktivieren." Hat er irgendwo noch das alte abgelaufende Cert drin gehabt und mit Neustart reingeschrieben? Oder fehlt ihm irgendwo, wie das neue heißt? Oder wo kann ich neue Zertifkate erstellen und neu einbinden? (ohne Management Shell etc) Danke für Hilfestellungen! lg Lutz Zitieren Link zu diesem Kommentar
Beste Lösung testperson 1.548 Geschrieben 9. Mai Beste Lösung Melden Teilen Geschrieben 9. Mai Hi, ich vermute, du musst das neue Zertifikat im IIS einmal ans Exchange Back End binden: OWA, ECP, or EMS can't connect after removing a self-signed certificate from Exchange Back End website - Exchange | Microsoft Learn Gruß Jan 2 Zitieren Link zu diesem Kommentar
Herakles25 0 Geschrieben 9. Mai Autor Melden Teilen Geschrieben 9. Mai vor 18 Minuten schrieb testperson: Hi, ich vermute, du musst das neue Zertifikat im IIS einmal ans Exchange Back End binden: OWA, ECP, or EMS can't connect after removing a self-signed certificate from Exchange Back End website - Exchange | Microsoft Learn Gruß Jan Danke für die schnelle Rückmeldung - so in der Art denke ich das auch - aber in der Beschreibung fängt die Lösung damit an: "1. Start Management Shell on the Mailbox server. ..." ähm - genau damit kommt ja zuvor genannter Fehler. Wie komm ich an den Exchange sonst lokal dran? ist das für Systeme auf verschiedenen Servern geschrieben? hier liegt alles auf Einem. vor 4 Minuten schrieb Herakles25: Danke für die schnelle Rückmeldung - so in der Art denke ich das auch - aber in der Beschreibung fängt die Lösung damit an: "1. Start Management Shell on the Mailbox server. ..." ähm - genau damit kommt ja zuvor genannter Fehler. Wie komm ich an den Exchange sonst lokal dran? ist das für Systeme auf verschiedenen Servern geschrieben? hier liegt alles auf Einem. ah sorry, da war ich zu schnell, das Zert besteht ja - muss noch testen Zitieren Link zu diesem Kommentar
Nobbyaushb 1.372 Geschrieben 9. Mai Melden Teilen Geschrieben 9. Mai Guck mal in die das Management der lokalen Zertifikatstelle eine mmc aufmachen (Deutsch) Datei - Snapin hinzufügen - linke Seite Zertifikate - hinzufügen - Computerkonto - Fertig stellen - lokaler Computer - Fertig stellen OK dort solltest m.E. unter eigene Zertifikate die lokalen Exchange Zertifikate finden (kann ich nicht gucken, alles aus dem Kopf…) Da könnte man auch das lokale interne Zertifikat erneuern An einem cmd als Admin danach iisreset und du solltest wieder drauf kommen Laufen denn alle relevanten Dienste? (Taskmanager bzw. Servermanager) 1 Zitieren Link zu diesem Kommentar
Herakles25 0 Geschrieben 9. Mai Autor Melden Teilen Geschrieben 9. Mai vor 41 Minuten schrieb testperson: Hi, ich vermute, du musst das neue Zertifikat im IIS einmal ans Exchange Back End binden: OWA, ECP, or EMS can't connect after removing a self-signed certificate from Exchange Back End website - Exchange | Microsoft Learn Gruß Jan ja, das war´s - das Binding zum Zertifikat musste hergestellt werden... DANKE! Zitieren Link zu diesem Kommentar
Nobbyaushb 1.372 Geschrieben 9. Mai Melden Teilen Geschrieben 9. Mai Die Idee von Jan war besser… Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 9. Mai Melden Teilen Geschrieben 9. Mai vor 49 Minuten schrieb Nobbyaushb: eine mmc aufmachen Fürs nächste mal einfach certlm.msc ;) viel schneller. Zitieren Link zu diesem Kommentar
testperson 1.548 Geschrieben 9. Mai Melden Teilen Geschrieben 9. Mai Get-ChildItem -Path Cert:\LocalMachine\My ;) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.372 Geschrieben 9. Mai Melden Teilen Geschrieben 9. Mai vor 5 Minuten schrieb NorbertFe: Fürs nächste mal einfach certlm.msc ;) viel schneller. Jaaaa Gerade eben schrieb testperson: Get-ChildItem -Path Cert:\LocalMachine\My ;) Oder sooo Menno, hab frei... Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 9. Mai Melden Teilen Geschrieben 9. Mai (bearbeitet) Na dann get-exchangecertificate :p achne das ging ja nicht in diesem Fall 😂 bearbeitet 9. Mai von NorbertFe 1 Zitieren Link zu diesem Kommentar
Herakles25 0 Geschrieben 10. Mai Autor Melden Teilen Geschrieben 10. Mai HI - sorry, doch noch nicht alles. Mails gehen über einen Smarthost raus - da scheint es noch irgendwo zu haken. Muss man zum Sendeconnector nochwas zuordnen? lg Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 10. Mai Melden Teilen Geschrieben 10. Mai Eigentlich nur, wenn dort explizit ein bestimmtes tls Zertifikat gebunden ist. Schau mal nach. Zitieren Link zu diesem Kommentar
testperson 1.548 Geschrieben 10. Mai Melden Teilen Geschrieben 10. Mai Der Server 2012 R2 inkl. Exchange sprechen auch definitiv TLS 1.2 und der SmartHost Anbieter hat nicht zufälligerweise alles kleiner TLS 1.2 abgedreht? Ich meine irgendwo eine Mail überflogen zu haben, dass Host Europe gerade Testläufe in diese Richtung macht. Zitieren Link zu diesem Kommentar
Herakles25 0 Geschrieben 10. Mai Autor Melden Teilen Geschrieben 10. Mai an welcher Stelle? im Exchange Admin ist nichts - da macht nur noch die Bedienung Probleme mit einigen Popups, die nicht öffnen. könnte aber auch sein, dass die Provider eigentlich schon länger kein Smarthost mehr erlauben - wobei es bis jetzt funktioniert hat.. der Server soll eh sterben - aber nicht grad jetzt :) hab zur Not aber ein Workaround in Petto vor 39 Minuten schrieb testperson: Der Server 2012 R2 inkl. Exchange sprechen auch definitiv TLS 1.2 und der SmartHost Anbieter hat nicht zufälligerweise alles kleiner TLS 1.2 abgedreht? Ich meine irgendwo eine Mail überflogen zu haben, dass Host Europe gerade Testläufe in diese Richtung macht. auch das wäre zeitlich ein riesen-Zufall - hat bis Mi alles funktioniert, bis vor dem Neustart Zitieren Link zu diesem Kommentar
testperson 1.548 Geschrieben 10. Mai Melden Teilen Geschrieben 10. Mai Was sagt denn Get-SendConnector | fl Name, TlsCertificateName, CertificateSubject Ggfs. kannst du auch schonmal Get-SendConnector | Set-SendConnector -ProtocolLoggingLevel Verbose ausführen. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.