Jump to content

Exchange 2010 - abgelaufene Zertifikate im OAB - wie entfernen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben hier ein kleines Problem mit dem OAB unseres Exchanges 2010 und abgelaufenen E-Mail Zertifikaten.

 

Intern werden bei uns E-Mails verschlüsselt (nicht alle, ein kleiner Kreis), die Zertifikate kommen von einer internen Zertifizierungsstelle.

Im Jahresrythmus werden die Zertifikate automatisch erneuert - alles klappt soweit ganz gut.

 

Das Problem ist leider nur, dass der Exchange abgelaufene Zertifikate nicht aus dem OAB entfernt, nur neue hinzu addiert.

Kann man das irgendwie abstellen bzw. bereinigen? Beim AD-Benutzerkonto ist das abgelaufene Zertifikat nicht mehr vorhanden und trotzdem wird es aus dem OAB nicht entfernt. Leider passiert es dann immer wieder, dass das alte Zertifikat als Standard von anderen Outlook Clients beim Verschlüsseln genutzt wird, auf dem anderen Client die E-Mail dadurch aber nicht gelesen werden kann.

 

Ich hoffe auf ein paar Tipps von euch.

 

Danke schön im Voraus.

 

toasti

Link zu diesem Kommentar

Du hast Recht, das ist tatsächlich sehr komisch, dass es überhaupt geklappt hat die Mail verschlüsselt zu schicken.

Derzeit sind für den User 3 Zertifikate im AD:

 

 - Ein abgelaufenes von 2014

 - eins welches noch bis 20.02 gültig ist

 - und ein drittes welches bereits das im Februar ablaufende ersetzen wird.

 

Alles durch die eingestellte Automatik so passiert um die Zertifikate zu erneuern.

 

Das abgelaufende steht im OAB als "Standard" markiert.

 

Folgendes steht im Log:

Protokollname: Application
Quelle:        MSExchangeSA
Datum:         20.01.2015 13:12:17
Ereignis-ID:   9327
Aufgabenkategorie:(13)
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      Exchangeserver.domain.local
Beschreibung:
Es wurden einige Einträge in der Offlineadressliste "\Globale Adressliste" von OALGen ausgelassen. Um festzustellen, welche Einträge betroffen sind, muss die Ereignisprotokollierung für den Offlineadress-Generator mindestens auf "Mittel" festgelegt sein. 
- \Standard-Offlineadressliste 
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="MSExchangeSA" />
    <EventID Qualifiers="32768">9327</EventID>
    <Level>3</Level>
    <Task>13</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2015-01-20T12:12:17.000000000Z" />
    <EventRecordID>18350214</EventRecordID>
    <Channel>Application</Channel>
    <Computer>Exchangeserver.domain.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data>\Globale Adressliste</Data>
    <Data>\Standard-Offlineadressliste</Data>
  </EventData>
</Event>
Protokollname: Application
Quelle:        MSExchangeSA
Datum:         20.01.2015 13:12:17
Ereignis-ID:   9320
Aufgabenkategorie:(13)
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      Exchangeserver.domain.local
Beschreibung:
OABGen konnte keine vollständigen Detailinformationen für einige Einträge in der Offlineadressliste der Adressliste '\Globale Adressliste' generieren. Die Ereignisprotokollierung für den Offlineadresslisten-Generator muss mindestens auf "Mittel" festgelegt werden, damit die betroffenen Einträge angezeigt werden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="MSExchangeSA" />
    <EventID Qualifiers="32768">9320</EventID>
    <Level>3</Level>
    <Task>13</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2015-01-20T12:12:17.000000000Z" />
    <EventRecordID>18350213</EventRecordID>
    <Channel>Application</Channel>
    <Computer>Exchangeserver.domain.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data>\Globale Adressliste</Data>
    <Data>\Standard-Offlineadressliste</Data>
  </EventData>
</Event>

EDIT: Was mir gerade kommt. Selbst wenn ein altes Zertifikat genutzt wurde, bleibt doch aber der private Schlüssel gleich.

Sollte das Lesen der verschlüsselten E-Mail nicht in jedem Fall möglich sein beim Empfänger?

bearbeitet von toasti
Link zu diesem Kommentar
  • 2 Wochen später...

Guten morgen,

 

heute wieder so ein Problem... altes Zertifikat immer noch im Adressbuch.

ich habe das Logging des Generators nun auf Expert stehen, aber noch nichts gefunden was daraufhin deutet.

 

Von wie vielen Zertifikaten sprichst du bei mehreren?

 

Ich bekomme im Anwendungslog nur das hier nach Generierung des Adressbuchs:

Protokollname: Application
Quelle:        MSExchangeSA
Datum:         03.02.2015 11:42:12
Ereignis-ID:   9320
Aufgabenkategorie:(13)
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      Exchange.domain.local
Beschreibung:
OABGen konnte keine vollständigen Detailinformationen für einige Einträge in der Offlineadressliste der Adressliste '\Globale Adressliste' generieren. Die Ereignisprotokollierung für den Offlineadresslisten-Generator muss mindestens auf "Mittel" festgelegt werden, damit die betroffenen Einträge angezeigt werden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="MSExchangeSA" />
    <EventID Qualifiers="32768">9320</EventID>
    <Level>3</Level>
    <Task>13</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2015-02-03T10:42:12.000000000Z" />
    <EventRecordID>18618568</EventRecordID>
    <Channel>Application</Channel>
    <Computer>Exchange.domain.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data>\Globale Adressliste</Data>
    <Data>\Standard-Offlineadressliste</Data>
  </EventData>
</Event>

Habe heute mal meine OST-Datei gelöscht und alles neu synchronisieren lassen - ich habe bei einigen Usern immer noch alte, abgelaufende Zertifikate drin.

Im AD sind die abgelaufenen Zertifikate nicht mal mehr interlegt, im OAB aber sind sie drin.

 

Habe auch mal alle OAB-Daten gelöscht, neu generiert - gleiches Spiel.

 

Woher nimmt der Exchange diese Infos??

 

 

EDIT:

Genau das beschreibt unsere Lage und funktioniert: http://usefulpki.blogspot.de/2011/08/clearing-certificates-from-global.html

Aber muss das nun wirklich jeder User einzeln in seinem Outlook machen?

Kann man das auch irgendwie zentral erreichen?

bearbeitet von toasti
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...