Bitschubser 0 Geschrieben vor 12 Stunden Melden Geschrieben vor 12 Stunden Hallo zusammen, Ich habe meinen Windows Server 2016 aktualisiert mit - 2026-01 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5073722) - 2026-01 Servicing Stack Update für Windows Server 2016 für x64-basierte Systeme (KB5073447) danach neu gestartet. Und dann habe ich den Tag lang bis heute zwar noch neue email empfangen können aber ich konnte nichts mehr senden. Der Befehl "Get-ExchangeCertificate" blieb leer. ein früherer Thread hier im Forum hatte eine ähnliche Problembeschreibung. Test-ServiceHealth habe ich also ausgeführt: Role : Postfachserverrolle RequiredServicesRunning : True ServicesRunning : {IISAdmin, MSExchangeADTopology, MSExchangeDelivery, MSExchangeIS, MSExchangeMailboxAssistants, MSExchangeRepl, MSExchangeRPC, MSExchangeServiceHost, MSExchangeSubmission, MSExchangeThrottling, MSExchangeTransportLogSearch, W3Svc, WinRM} ServicesNotRunning : {} Role : Clientzugriffs-Serverrolle RequiredServicesRunning : True ServicesRunning : {IISAdmin, MSExchangeADTopology, MSExchangeMailboxReplication, MSExchangeRPC, MSExchangeServiceHost, W3Svc, WinRM} ServicesNotRunning : {} Role : Unified Messaging-Serverrolle RequiredServicesRunning : True ServicesRunning : {IISAdmin, MSExchangeADTopology, MSExchangeServiceHost, MSExchangeUM, W3Svc, WinRM} ServicesNotRunning : {} Role : Hub-Transport-Serverrolle RequiredServicesRunning : True ServicesRunning : {IISAdmin, MSExchangeADTopology, MSExchangeEdgeSync, MSExchangeServiceHost, MSExchangeTransport, MSExchangeTransportLogSearch, W3Svc, WinRM} ServicesNotRunning : {} MonitorExchangeAuthCertificate.ps1 habe ich das aktuellste Script heruntergeladen und laufen gelassen: Monitor Exchange Auth Certificate script version 25.10.14.1658 The script was run without parameter therefore, only a check of the Auth Certificate configuration is performed and no change will be made Current Auth Certificate thumbprint: D2C4B450C605275EFCECBCBFA9211C9A49D43B55 Current Auth Certificate is valid for -321 day(s) Test result: The Auth Certificate in use must be replaced by a new one. Daraufhin habe ich das Skript erneut aufgerufen: .\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true Monitor Exchange Auth Certificate script version 25.10.14.1658 Mode: Testing and replacing or importing the Auth Certificate (if required) Renewal scenario: The Auth Certificate in use must be replaced by a new one. Unattended Exchange certificate generation The following actions will be performed without the need to reconfirm: - The internal transport certificate will be queried - A new certificate will be generated, it overrides the internal transport certificate - The internal transport certificate will be set back to the previous one or - A new internal transport certificate will be generated if the previous one is invalid [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist "J"): j Bestätigung Möchten Sie diese Aktion wirklich ausführen? Ausführen des Vorgangs "Generate new Auth Certificate" für das Ziel "New-ExchangeCertificate". [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist "J"): j Bestätigung Möchten Sie diese Aktion wirklich ausführen? Ausführen des Vorgangs "Enable-ExchangeCertificate" für das Ziel "Certificate: B96CC109734CE046B585D4B18B1A64326FE32773 on: EX16 for: IIS, SMTP". [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist "J"): j Bestätigung Möchten Sie diese Aktion wirklich ausführen? Ausführen des Vorgangs "Set-AuthConfig" für das Ziel "Certificate: 8BC2AC74D4815B8D1BBBC4D22921B430FFFE8200 Date: immediately". [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist "J"): j Bestätigung Möchten Sie diese Aktion wirklich ausführen? Ausführen des Vorgangs "Set-AuthConfig" für das Ziel "PublishCertificate". [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist "J"): j Bestätigung Möchten Sie diese Aktion wirklich ausführen? Ausführen des Vorgangs "Set-AuthConfig" für das Ziel "ClearPreviousCertificate". [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist "J"): j Bestätigung Möchten Sie diese Aktion wirklich ausführen? Ausführen des Vorgangs "Restart-WebAppPool" für das Ziel "EX16". [J] Ja [A] Ja, alle [N] Nein [K] Nein, keine [H] Anhalten [?] Hilfe (Standard ist "J"): j The renewal action was successfully performed Log file written to: C:\Program Files\Microsoft\Exchange Server\V15\Logging\AuthCertificateMonitoring\AuthCertificateMonitoringLog_20260128000529.txt Ich hatte gehofft das nun alles wieder geht und optimistisch ``Get-ExchangeCertificate | Format-List`` ausgeführt aber das bleibt leer im Ergebnis. Via mmc.exe -> Zertifikate -> lokaler Computer -> eigene Zertifikate habe ich geschaut, dort sind Zertifikate vorhanden. Also scheint der Exchange die Zertifikate einfach nicht zu finden. Ein Versuch über ecp Webzugriff zu arbeiten funktioniert nicht. Ich bekomme schnell die Anzeige das Zertifikate abgelaufen sind. So bin ich etwas ratlos und fühle mich wie der Ochs vorm Berg. Hat jemand eine Idee wo ich weitermachen kann?
NorbertFe 2.359 Geschrieben vor 12 Stunden Melden Geschrieben vor 12 Stunden vor 9 Minuten schrieb Bitschubser: Ich hatte gehofft das nun alles wieder geht und optimistisch ``Get-ExchangeCertificate | Format-List`` ausgeführt aber das bleibt leer im Ergebnis. Einfach bis morgen warten.
Bitschubser 0 Geschrieben vor 6 Stunden Autor Melden Geschrieben vor 6 Stunden So, jetzt ist morgen. Mir wird wieder was angezeigt aber ein Zugriff mit Outlook ist nicht möglich: Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Das Sicherheitszertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. Von Outlook kann keine Verbindung mit dem Proxyserver 'mail.<hiermeinedomain>.de' hergestellt werden (Fehlercode: 18). Über Browser auf ecp leider auch nicht. Im lokalen Zertifikatspeicher sind jetzt zwei neue Zertifikate vorhanden die ich gestern mit dem obigen Vorgehen erzeugt habe. Aber die alten (abgelaufenen) Zertifikate sind auch noch vorhanden. Muss ich die löschen damit die neuen Zertifikate benutzt werden? Auch mein Zertifikat vom letzten Jahr von Geotrust was lange abgelaufen ist ist noch vorhanden. Ich habe heute morgen den HealthChecker in Version 25.12.15.1344 laufen lassen und dort etliche rote Einträge gefunden. Ich würde aber ungerne alles hier posten ohne das es Sinn macht. Vielleicht hat jemand von Euch Ideen wie ich weitermachen kann?
Nobbyaushb 1.627 Geschrieben vor 5 Stunden Melden Geschrieben vor 5 Stunden Moin, ich denke, du bist in der Migration, warum hätte man sonst noch Exchange 2016? Du hast geschrieben, du hast zwei neue Zertifikate erstellt - und wie zugewiesen? Und um weiterzumachen im Healtchecker alles was rot ist von oben nach unten abarbeiten Ist das eine VM? Wie ist die gesized, vCPU, RAM?
NorbertFe 2.359 Geschrieben vor 4 Stunden Melden Geschrieben vor 4 Stunden vor einer Stunde schrieb Bitschubser: So, jetzt ist morgen. Und was zeigt „get-Exchangecertificate“? vor einer Stunde schrieb Bitschubser: Das Sicherheitszertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. Naja, und _welches_ Zertifikat wird dir da angeboten? vor einer Stunde schrieb Bitschubser: Aber die alten (abgelaufenen) Zertifikate sind auch noch vorhanden. Muss ich die löschen damit die neuen Zertifikate benutzt werden? Auch mein Zertifikat vom letzten Jahr von Geotrust was lange abgelaufen ist ist noch vorhanden. Mir scheint, hier fehlen ziemlich viele Grundlagen. Natürlich sind jetzt noch alle Zertifikate da. Dein Skript gestern hat ja auch nur das auth-Zertifikat erneuert. Was zeigt also heute ein „get-exchangecertificate“? Ansonsten wäre zu klären, welches Zertifikat jetzt wo zugewiesen ist. Das wirst du sinnvoll aber erst sagen könne, wenn dir „get-exchangecertificate“ auch was anzeigt. 1
Bitschubser 0 Geschrieben vor 4 Stunden Autor Melden Geschrieben vor 4 Stunden Guten Morgen @NorbertFe und @Nobbyaushb, get-exchangecertificate liefert: Thumbprint Services Subject ---------- -------- ------- 8BC2AC74D4815B8D1BBBD4D22921B430FFFE8200 ....S.. CN=Microsoft Exchange Server Auth Certificate B96CC109734CE046B585E4B18B1A64326FE32773 IP.WS.. CN=EX16 9D54FBE4F1C878AF3BEB9D2EBC1B69D7BBEF85A4 ....S.. CN=<meinedomain>.de FAF85AF8E6121598B4DFC4D5E726CE2BD46500B6 ....S.. CN=<meinedomain>.de 6A3565F23F3091BFFB4DA623BE0C311AF71B31C9 ....... CN=SpamAssassinInABoxService 4862008248B92BA8BEB2E66A63FC0F309B9516A1 ....... CN=ExchangeServerToolboxArchiveSearchService 4A55A374E44B9963BFC6FEF73A2CE5650001AE9C ....... CN=ExchangeServerToolboxDistributedInstallationService 2B99CBF3AF49BAFB875C775832A3AFC4573E9952 IP.W... CN=EX16 FEA656B213C7485D986A220874B14C315CC24E34 ....... CN=WMSvc-SHA2-EX16 D2C4B450C605275EFCECBDBFA9211C9A49D43B55 ....S.. CN=Microsoft Exchange Server Auth Certificate Der Exchange läuft als VM unter Proxmox, es sind 4 Prozessoren und 24 GB RAM zugewiesen. Der Exchange 2016 hat CU 23 und Update 19 installiert, meines Wissens nach der letzte verfügbare Stand. Der Health Checker zeigt für die virtuelle Hardware: Processor/Hardware Information ------------------------------ Type: Physical Manufacturer: QEMU Model: Standard PC (i440FX + PIIX, 1996) Processor: Intel(R) Xeon(R) Gold 6134 CPU @ 3.20GHz Current Total Processor Usage: 1.56 Number of Processors: 2 Number of Physical Cores: 4 Number of Logical Cores: 4 Hyper-Threading: Disabled All Processor Cores Visible: Passed Max Processor Speed: 3192 Physical Memory: 24 GB Kann ich die Thumbprints der Zertifikate hier posten oder ist das ein Sicherheitsrisiko und ich sollte die lieber ändern?
NorbertFe 2.359 Geschrieben vor 3 Stunden Melden Geschrieben vor 3 Stunden Die sind egal. ok du siehst also heute mehr als gestern. ;) wie erwartet. dann schau mal, welches Zertifikat an den iis (default frontend) gebunden ist. Ist es das, was du da erwartest? Welches ist an die backend Seite gebunden? den Hinweis, dass Exchange 2016 out of Support ist, hast du zur Kenntnis genommen?
Bitschubser 0 Geschrieben vor 2 Stunden Autor Melden Geschrieben vor 2 Stunden Hallo Norbert, ja, das Exchange 2016 quasi tot ist weiß ich. Ich hatte bereits eine Lizenz Exchange Server 2019 beschafft mit entsprechenden Lizenzen aber der Niedergang meiner Branche hat sämtliche Bemühungen in Updates in diese Richtung gekillt. Im Prinzip bin ich mittlerweile nur noch Einzelkämpfer und hatte vor im März nach einer Alternative zu suchen. Aus Datenschutzgründen kommt für mich kein Microsoft 365 oder sowas in Frage. Aber für nur PST Datei ist das mit 50GB problematisch... Ich habe bisher noch keine gute Lösung gefunden, da ist mir das Problem hier gerade auf die Füsse gefallen :-( Zum Thema IIS: Exchange IIS Information ------------------------ Name State HSTS Enabled Protocol - Bindings - Certificate ---- ----- ------------ --------------------------------- Default Web Site Started False http - *:80: - NULL http - 127.0.0.1:80: - NULL https - *:443: - B96CC109734CE046B585D4B18B1A64326FE32773 https - 127.0.0.1:443: - B96CC109734CE046B585D4B18B1A64326FE32773 Exchange Back End Started False http - *:81: - NULL https - *:444: - 2B99CBF3AF49BAFB875C675832A3AFC4573E9952 Certificate Binding Issue Detected: '2B99CBF3AF49BAFB875C675832A3AFC4573E9952' Has expired and will cause problems. Das Certificate Binding Issue meint wohl dieses hier: Certificate: FriendlyName: Microsoft Exchange Thumbprint: 2B99CBF3AF49BAFB875C675832A3AFC4573E9952 Lifetime in days: -128 Certificate has expired: True Certificate status: DateInvalid Key size: 2048 ECC Certificate: False Signature Algorithm: sha1RSA Signature Hash Algorithm: sha1 It's recommended to use a hash algorithm from the SHA-2 family More information: https://aka.ms/HC-SSLBP Bound to services: IMAP, POP, IIS Internal Transport Certificate: False Current Auth Certificate: False Next Auth Certificate: False SAN Certificate: True Namespaces: EX16 EX16.corp.<lokale_domain>.de Es gäbe IMHO dazu passend das neu erstellte Zertifikat hier: Certificate: FriendlyName: Exchange Default TLS Thumbprint: B96CC109734CE046B585D4B18B1A64326FE32773 Lifetime in days: 1825 Certificate has expired: False Certificate status: Valid Key size: 2048 ECC Certificate: False Signature Algorithm: sha256RSA Signature Hash Algorithm: sha256 Bound to services: IMAP, POP, IIS, SMTP Internal Transport Certificate: True Current Auth Certificate: False Next Auth Certificate: False SAN Certificate: True Namespaces: EX16 EX16.corp.<lokale_domain>.de Aus dem Bauch heraus hätte ich nun geraten das ich das eine zuweisen muss und dann das andere lösche. Aber wie macht man das richtig wenn es der nächste Schritt ist?
NorbertFe 2.359 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Hör auf zu löschen, wenn du nicht genau weißt, dass es nicht mehr benötigt wird. Das kann man alles am Ende regeln, wenn der Exchange wieder funktioniert. noch mal, welches Zertifikat wird dir im Outlook präsentiert? Was steht da drin?
Bitschubser 0 Geschrieben vor 34 Minuten Autor Melden Geschrieben vor 34 Minuten Gelöscht habe ich noch nichts. Outlook 2019 startet nicht und präsentiert mir auch leider damit kein Zertifikat. Outlook Webzugriff (owa) funktioniert mittlerweile, ecp kann ich auch drauf zugreifen mit 3 Warnungen. Unter Details bei ecp findet sich folgende Auflistung:
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden