bitchi 12 Geschrieben vor 14 Stunden Melden Geschrieben vor 14 Stunden Hallo, es geht um Exchange 2016. Am 03.07. ist das alte Zertifikat abgelaufen. Ich habe rechtzeitig bei InterSSL das Zertifikat verlängert und aus der -key und -crt Datei eine -pfx-Datei erstellt. Dieses habe ich vor Ablauf des alten Zertifikats am Exchange importiert und das alte dann gelöscht. Im EAC bzw. Shell für die Dienste IIS, IMAP, POP, SMTP aktiviert. Im IIS das neue Zertifikat für https/443 ausgewählt. Das Zertifikat zeigt auch das neue Ablaufdatum an. Dann lief das Zertifikat problemlos 2 Wochen. Es hat alles funktioniert, Outlook, OWA, Login EAC, Shell. Aber nun ist es nun dieses Wochenende schon das 2. Mal, das Outlook, OWA, EAC, Shell nicht mehr geht. Beim ersten Mal habe ich noch die cert-Dateien im "Lokalen Computer" installiert. Dort bei den CA-Zertifikaten wird das Zertifikat auch angezeigt, Laufzeit bis 2046. IIS neu gestartet, dann lief es wieder. Nun jetzt aber wieder nicht mehr. Nachdem Exchange die ganze Woche läuft, muß es ja passen. Aber am WE passiert irgendetwas. Hat jemand einen Tipp, woran das liegen kann? Vielen Dank, Grüße Christoph Zitieren
cj_berlin 1.478 Geschrieben vor 6 Stunden Melden Geschrieben vor 6 Stunden Moin, "geht nicht" ist keine Fehlermeldung. Was geht denn genau nicht? OWA ist ja im Browser zu öffnen - wirft der Browser Zertifikatsfehler (welche)? Oder wirft Exchange Code 500? Zitieren
NorbertFe 2.256 Geschrieben vor 6 Stunden Melden Geschrieben vor 6 Stunden vor 8 Stunden schrieb bitchi: Im IIS das neue Zertifikat für https/443 ausgewählt. Im iis sollte man üblicherweise gar nix machen hinsichtlich Exchange und Zertifikate. Was genau machst du da? Zitieren
bitchi 12 Geschrieben vor 6 Stunden Autor Melden Geschrieben vor 6 Stunden Vielen Dank für die Rückmeldung. Ja, ist natürlich klar, dass das keine Fehlermeldung ist Ich habe das gestern Abend von zuhause aus kurz gecheckt und mal eine erste Analyse abgeben und heute im Büro genauer danach schauen und Rückmeldung geben. Aber offenbar ist es gelöst, ich habe das hier gefunden: https://www.act-computer.de/hilfe-tipps/item/geloest-outlook-verbindet-sich-nicht-mehr-mit-exchange-2016 Nach Eintrag im Exchange Back End ging es wieder. Ich danke euch für eure Bereitschaft. Grüße Christoph vor 4 Minuten schrieb NorbertFe: Im iis sollte man üblicherweise gar nix machen hinsichtlich Exchange und Zertifikate. Was genau machst du da? Danke, aber ich muß doch bei den Bindungen das neue Zertifikat für https auswählen oder geht das rein über Shell auch? (So hat es mir der bisherige Admin gezeigt) 1 Zitieren
dartzen 9 Geschrieben vor 6 Stunden Melden Geschrieben vor 6 Stunden vor 7 Minuten schrieb bitchi: Danke, aber ich muß doch bei den Bindungen das neue Zertifikat für https auswählen oder geht das rein über Shell auch? (So hat es mir der bisherige Admin gezeigt) Dann macht der bisherige Admin das auch falsch. Das machst du auch über die Exchange Shell, ebenso wie man das Zertifikat auch möglichst nicht über die MMC importieren sollte. Manuell sollte man im IIS nichts anfassen bei Exchange, da hat Norbert absolut recht. Das gibt im Zweifel nur komische Probleme. Zitieren
bitchi 12 Geschrieben vor 6 Stunden Autor Melden Geschrieben vor 6 Stunden ok, verstehe. Mit der Shell habe ich das Zertifikat den Diensten zugewiesen. Mir ist bewusst, dass man alles mit Shell machen kann. Mit der "GUI" ist es natürlich einfacher/schneller. Dann werde ich mir mal die entsprechenden Cmdlets zusammensuchen. Vielen Dank Zitieren
NorbertFe 2.256 Geschrieben vor 5 Stunden Melden Geschrieben vor 5 Stunden vor 13 Minuten schrieb bitchi: Mit der Shell habe ich das Zertifikat den Diensten zugewiesen. Und hast du danach mal im iis nachgeschaut? Das backend Zertifikat ist übrigens nicht das gekaufte sondern immer das selfsigned Zertifikat. Zitieren
bitchi 12 Geschrieben vor 4 Stunden Autor Melden Geschrieben vor 4 Stunden vor 36 Minuten schrieb NorbertFe: Und hast du danach mal im iis nachgeschaut? Das backend Zertifikat ist übrigens nicht das gekaufte sondern immer das selfsigned Zertifikat. Ich habe (nach Anleitung des bisherigen Admins) das SSL über das Zertifikats-Snap-In importiert, dann bei den Bindungen ausgewählt. Dann über Shell bzw. EAC geschaut, welche Dienste dran hängen und vorsorglich diese noch explizit zugewiesen. Das wäre meine nächste Frage gewesen, ob das Backend Zertifikat auch das gekaufte sein muß, da dies ja nur die Backend-Dienste innerhalb des Servers betrifft. Sprich, da kann ich das Microsoft Exchange Server Auth Certificate nehmen? Seltsam ist aber, dass es jetzt 3 Wochen lief bzw. jetzt 2 x sonntags ein Problem gab (im Abstand von 2 Wochen). Samstagabends wird der Server immer neu gestartet (wg. Updates), offenbar muß das Backend-Zertifikat dann rausgeflogen war, da heute morgen keines ausgewählt war. Zitieren
NorbertFe 2.256 Geschrieben vor 4 Stunden Melden Geschrieben vor 4 Stunden vor 4 Minuten schrieb bitchi: Ich habe (nach Anleitung des bisherigen Admins) das SSL über das Zertifikats-Snap-In importiert, Falsch. Exchange Zertifikate importiert man entweder per Powershell oder neuerdings auch wieder über die EAC. vor 5 Minuten schrieb bitchi: dann bei den Bindungen ausgewählt. Falsch, auch das macht man nur per Powershell oder EAC. IMMER! vor 5 Minuten schrieb bitchi: Sprich, da kann ich das Microsoft Exchange Server Auth Certificate nehmen? Nein, da nimmt man nicht das Microsoft Exchange Server Auth Certificate. Man nimmt das self signed certificate mit dem Servernamen des lokalen Hosts. vor 6 Minuten schrieb bitchi: Seltsam ist aber, dass es jetzt 3 Wochen lief bzw. jetzt 2 x sonntags ein Problem gab (im Abstand von 2 Wochen). Samstagabends wird der Server immer neu gestartet (wg. Updates), Und genau deswegen macht man das nicht per IIS, weil der Exchange dann seine Konfiguration wieder "gerade" zieht. Und das ursprüngliche Zertifikat hast du ja gelöscht ;) Zitieren
bitchi 12 Geschrieben vor 3 Stunden Autor Melden Geschrieben vor 3 Stunden Danke, Norbert, daraus werde ich lernen. Also, was die Zertifikate angeht, kann ich schon alles über EAC machen? (Das ist so gut/stabil wie per Shell?) Das self-signed Zertifikat kann ich über EAC - Zertifikate erstellen? Das ist dann ok? Und wie würde ich dieses self-signed dann fürs Backend hinterlegen, wenn man es nicht über IIS machen soll? Zitieren
NorbertFe 2.256 Geschrieben vor 3 Stunden Melden Geschrieben vor 3 Stunden (bearbeitet) vor 6 Minuten schrieb bitchi: Also, was die Zertifikate angeht, kann ich schon alles über EAC machen? (Das ist so gut/stabil wie per Shell?) Ja kannst du, aber ich würde immer die Exchange Powershell nehmen. Ist deutlich logischer in meinen Augen. vor 6 Minuten schrieb bitchi: Das self-signed Zertifikat kann ich über EAC - Zertifikate erstellen? Das ist dann ok? Jeder Exchange hat doch per Default ein selfsigned Zertifikat. Wo ist denn deins hin? Einfach Zertifikate zu löschen ist keine gute Idee, wenn man nicht genau weiß wofür und wo es benutzt wird. Das Backend Zertifikat ist eine der wenigen Ausnahmen, welche man tatsächlich auch im IIS regeln kann/sollte. Da so ein selfsigned Zertifikat aber eine Laufzeit von 5 Jahren hat und auch keine Probleme bei Ablauf verursacht, muss man da normalerweise NIE ran. ;) bearbeitet vor 3 Stunden von NorbertFe Zitieren
bitchi 12 Geschrieben vor 3 Stunden Autor Melden Geschrieben vor 3 Stunden Ja, wenn man immer mehr mit dem Exchange Powershell arbeitet, wird das natürlich immer vertrauter. Ich mache da immer öfters was. Gute Frage, wo das Zertifikat für Back End ist. Keines vorhanden. Die letzten Wochen/Monate wurde da nichts gemacht, und es lief ja immer. In die Bindungen vom Back End hatte ich noch nie geschaut. Ich habe nun mit der Anleitung von https://www.frankysweb.de/erneuern-des-zertifikats-fur-das-exchange-server-back-end/ ein neues self-signed Zertifikat erstellt und ans Back end gebunden. Scheint aber nun nur noch 1 Jahr Laufzeit zu haben Zitieren
NorbertFe 2.256 Geschrieben vor 3 Stunden Melden Geschrieben vor 3 Stunden Gerade eben schrieb bitchi: Ja, wenn man immer mehr mit dem Exchange Powershell arbeitet, wird das natürlich immer vertrauter. Quark, das hat MS alles mundgerecht auf der Webseite. Man muss nur mal nachschauen: https://learn.microsoft.com/en-us/exchange/architecture/client-access/import-certificates Zitat This example imports the certificate file \\FileServer01\Data\Fabrikam.pfx that's protected by the password P@ssw0rd1 on the local Exchange server. You're prompted to enter the password. Zitieren
bitchi 12 Geschrieben vor 2 Stunden Autor Melden Geschrieben vor 2 Stunden Ich danke dir. Ich lese natürlich immer erst einige Seiten, teilweise auch bei MS, bevor ich in einem Forum schreibe. Zitieren
NorbertFe 2.256 Geschrieben vor 2 Stunden Melden Geschrieben vor 2 Stunden (bearbeitet) vor 47 Minuten schrieb bitchi: Scheint aber nun nur noch 1 Jahr Laufzeit zu haben Keine Ahnung, was du da gemacht hast, aber ich hab das jetzt grad getestet und ein selfsigned Zertifikat hat 5 Jahre Laufzeit: Das war jetzt einfach mal per EAC, was ich sonst nie verwende. Mit new-exchangecertificate -privatekeyexportable $true -IncludeServerFQDN -IncludeServerNetBIOSName new-exchangecertificate -privatekeyexportable $true -IncludeServerFQDN -IncludeServerNetBIOSName Sollte ein passendes Zertifikat rauskommen und 5 Jahre Laufzeit haben. Wenn das bei dir anders ist, dann ist was schief. bearbeitet vor 2 Stunden von NorbertFe Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.