Schannel EventID 36884 / Zertifikatserneuerung auf Exchange Server

[Gast]

Hallo zusammen,

 

auf unserem Windows 2003 SP2 Server mit Exchange 2003 SP2 existieren 2 Probleme die vermutlich zusammenhängen.

 

Zum Einen erscheint bei jedem Neustart des Servers folgende Meldung im Eventlog.

 

Ereignistyp:	Fehler
Ereignisquelle:	Schannel
Ereigniskategorie:	Keine
Ereigniskennung:	36884
Datum:		25.06.2008
Zeit:		09:33:32
Benutzer:		Nicht zutreffend
Computer:	COMPUTERNAME
Beschreibung:
Das vom Remoteserver erhaltene Zertifikat enthält nicht den erwarteten
Namen. Es ist daher nicht möglich festzustellen, ob eine Verbindung mit dem 
richtigen Server hergestellt wird. Der erwartete Servername ist 
Computername.Domäne.local. Die SSL-Verbindungsanforderung ist 
fehlgeschlagen. Die angehängten Daten enthalten das Serverzertifikat.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter 
http://go.microsoft.com/fwlink/events.asp.

Daten:
(Es handelt sich offenbar um das SSL Zertifikat für den OWA, 
aus Sicherheitsgründen nicht aufgelistet)
[/Code]

 

Zur Info: Der Benutzer ist Domänenadmin. Ansonsten erscheinen keine Fehlermeldungen nach dem Neustart.

 

 

Zum Anderen möchte ich gerne das Zertifikat für die Exchange Website verlängern, damit diese weiterhin benutzt werden kann.

 

Normalerweise kenne ich das so:

IIS-->Website-->Eigenschaten-->Verzeichnissicherheit->Serverzertifikat-->Zertifikat erneuern

Hier wählt man dann "Anforderung sofort an eine Onlinezertifizierungsstelle senden" und erhält sofort das Zertifikat.

 

Nun ist das Feld leider ausgegraut und ich kann nur "Anforderung jetzt vorbereiten, aber später senden" wählen. Das funktioniert auch. Aber wie kann ich in unserer Windows 2003 AD-integrierten Zertifizierungsstelle (auf dem gleichen Server wie Exchange!) nun das Zertifikat freigeben?

Im SnapIn "Zertifikatsstelle" habe ich die Möglichkeit "Neue Anforderung einreichen". Allerdings weiß ich dann nicht wie ich das Zertifikat in die Webseite bekomme.

 

Es wäre echt Klasse, wenn mir da vielleicht jemand helfen könnte.

 

Vielen Dank!

[phoenixcp 10]

Hier schonmal geschaut?

EventID.Net

[Gast]

Hmm, ehrlich gesagt nicht. Habe das grade nachgeholt und das Zertifikat für die Exchange Website nochmal entfernt und neu hinzufügt.

 

Leider ändert das nichts daran, dass ich kein neues Zertifikat auf dem bekannten Weg anfordern kann :(

–

Zusätzlich erscheinen auf einem Domänencontroller jede Minuten folgender Eintrag im Eventlog:

 

Ereignistyp:	Fehlerüberw.
Ereignisquelle:	Security
Ereigniskategorie:	Verzeichnisdienstzugriff 
Ereigniskennung:	565
Datum:		25.06.2008
Zeit:		17:30:18
Benutzer:		DOMÄNE\EXCHANGESERVER$
Computer:	DOMÄNENCONTROLLER
Beschreibung:
Geöffnetes Objekt:
	Objektserver:	DS
	Objekttyp:	configuration
	Objektname:	CN=Configuration,DC=domäne,DC=local
	Neue Handlekennung:	-
	Vorgangskennung:	{0,1646302050}
	Prozesskennung:	268
	Primärer Benutzer:	DOMÄNENCONTROLLER$
	Primäre Domäne:	DOMÄNE
	Primäre Anmeldekennung:	(0x0,0x3E7)
	Clientbenutzername:	EXCHANGESERVER$
	Clientdomäne:	DOMÄNE
	Clientanmeldekennung:	(0x0,0x5D3F9AC2)
	Zugriffe		Zugriff steuern 

	Berechtigungen		-

Eigenschaften:
LÖSCHEN 
LESEN_KONTROLLE 
SCHREIBEN_DAC 
SYNCHRONISIEREN 
MAX_ERLAUBT 
Write Property 
Struktur löschen 
Objekt auflisten 
Zugriff steuern 
%%7689
%%7690
%%7691
%%7692
%%7694
%%7695
	Manage Replication Topology

 

Vielleicht hängt das irgendwie zusammen?

 

Auf jeden Fall könnte das bei der Lösung helfen.

[olc 18]

Hallo,

 

wie lautet denn der Subject Name im Zertifikat?

Bitte genau posten - ggf. stimmt der "externe" Name des Exchange nicht mit dem Namen im Zertifikat überein?

 

Viele Grüße

olc

[Gast]

Hi,

 

kann ich dir jetzt grade nicht sagen, da ich grade keinen Zugriff habe.

Das Zertifikat, die OWA bzw. Certsrv Seite funktionieren aber seit etwa 1 Jahr über https.

 

Da wurde auch nichts geändert. Deswegen verstehe ich nicht was da das Problem sein soll.

 

Ich schätze mal, dass irgendwie die Kommunikation zwischen Exchange und DC Probleme macht.

 

Nur Lösungsmöglichkeiten habe ich keine gescheiten gefunden :(

 

Wo kann ich ansetzen?

 

Viele Grüße

Stefan

[olc 18]

...sieht schon ein wenig "komisch" aus die Events auf dem DC. Findest Du weitere Events auf dem Exchange Server, der auf Probleme mit der Domänenzugehörigkeit hinweisen könnten? Application- als auch SYSTEM-Eventlog?

 

Wie lange ist das Zertifikat vom Exchange gültig?

 

Viele Grüße

olc

[Gast]

Bis zum 03.07.2008 ist das leider nur noch gültig....

 

Ansonsten sehe ich nichts Merkwürdiges auf dem Exchange Server.

[olc 18]

Hilft Dir das weiter?

 

http://www.mcseboard.de/windows-forum-ms-backoffice-31/eventid-36884-schannel-43440.html

 

Gruß olc

[Gast]

Moin,

 

interessanterweise bekomme ich beim öffnen des Öffentlichen Ordners im Exchange System Manger die Fehlermeldung "Der Servername auf dem SSL-Zertifikat ist falsch. ID-Nr. c103b404"

 

Seit gestern Abend sind die Schannel Fehlermeldungen im Log verschwunden und wurden durch Informationsmeldungen ersetzt. Das scheint also wieder zu funktionieren.

 

Die anderen Fehler bleiben leider bestehen.

[Gast]

Habe es nun hinbekommen ein Zertifikat zu installieren.

 

Zwar nur über "Anforderung speichern und später einreichen" und dann über die die certsrv Seite, aber immerhin hat es geklappt.

 

Danke an alle für die Unterstützung.