Event-ID 15021 HttpEvent nach Exch 2016 CU4 Update

[peterg 15]

Hallo,

 

ich habe gerade das Exchange 2016 CU4 Update (von CU2) gemacht (auf einem Server2012R2), welches reibungsllos funktioniert hat. Nun habe ich im Ereignisprotokoll den Fehler 15021:

Bei der Verwendung der SSL-Konfiguration für den Endpunkt (::'):443 ist ein Fehler aufgetreten.

Die Fehlermeldung kommt ständig!!!

 

OWA funktioniert, Outlook kann sich am Exchange anmelden und auch die Anmeldung an der EAC funktioniert.

 

Im IIS unter "Default Web Site" -> Bindungen -> ist bei beiden https-Einträgen das "externe" Exchange Zertifikat eingetragen (siehe Bilder), welches ich bei der Exchange-Installation eingebunden habe.

 

Kann das Zertifikat irgendwie "defekt" sein?

 

 

Hat evtl. jemand einen Tipp?

 

Gruß,

Pit

bearbeitet 28. Dezember 2016 von peterg

[NorbertFe 2.027]

Du solltest im iis am besten gar nichts mit den Zertifikaten tun. Prüfen kann man das auch per powershell mittels get-exchangecertificate.

Hast du hier mal geschaut?

https://technet.microsoft.com/en-us/library/cc727844(v=ws.10).aspx Auch die Kommentare lesen.

bearbeitet 28. Dezember 2016 von NorbertFe

[peterg 15]

Hallo,

 

ich habe auch nicht im iis gemacht. Da traue ich mich nicht ran. :-) Wenn man "googelt" wird beschrieben, dass oft das Zertifikat fehlt und im iis eingetragen werden muss. Bei mir war aber alles eingetragen. Das wollte ich nur prüfen.

 

Bei get-exchangecetrificate kommt folgendes (siehe Bild)

 

Kann/soll ich das Zertifikat gemäß der Technet-Seite reinstallieren?

 

Welchen Kommentar meinst Du? Es geht ja auch teils um die Bindung beim "Exchange Back End", 444. 

 

Bei "netsh http show sslcert" steht nur bei einem Zertifikat "0.0.0.0:8172" die Anwendungs-ID mit 00000 drin. Bei den Zertifikaten mit Port 443 steht überall etwas bei der Anwendungs-ID.

 

Gruß,

Pit

bearbeitet 28. Dezember 2016 von peterg

[NorbertFe 2.027]

Hast du mal die bindings der backend Website angeschaut? Siehe Kommentare!

[peterg 15]

Ja, da steht bei https Port 444 beim SSL-Zertifikat "Microsoft Exchange" und nicht das "externe Zertifikat" drin.

 

Bei meinem Test-Exchange (gleich mit CU4 aufgesetzt) ist das aber auch so! Gehört hier das "externe Zertifikat" rein?

 

Gruß,

Pit

bearbeitet 28. Dezember 2016 von peterg

[NorbertFe 2.027]

Nein da gehört nicht das externe rein. Dann Versuchs mal mit entfernen und wieder hinzufügen.

[peterg 15]

Hi,

 

ich habe mal bei "Default Web Site" die https-Bindungen auf "Microsoft Exchange" umgestellt, einen iis-Reset gemacht und dann wieder das Exterene Zertifikat eingetragen (und iis-reset). Brachte nichts :-(

 

Die Fehlermeldung komme alle 10 Sek.

 

Gibt's doch nicht....

bearbeitet 28. Dezember 2016 von peterg

[NorbertFe 2.027]

Hast du denn das Zertifikat mal entfernt, so wie es im Artikel beschrieben wird? Vorher ggf. Mal mit key exportieren.

[peterg 15]

Hi,

 

habe ich mich noch nicht getraut. Was heißt mit "Key" exportieren?

 

Ich habe das Zertiifkat über die EAC exportiert inkl. Passworteingabe oder muss ich das Zertifikat über die MMC exportieren? Hier habe ich keine Ahnung. Geht das so: https://www.digicert.com/ssl-support/pfx-import-export-iis-7.htm

oder https://technet.microsoft.com/de-de/library/aa996305(v=exchg.160).aspx

 

Kann ich dann einfach die 4 Schritte wie im Artikel beschrieben ausführen? Das habe ich noch nie gemacht, daher frage ich lieber ganz genau nach. Muss ich nicht bei "delete" die IP und den Port eingeben?                
-> delete sslcert ipport=127.0.0.1:443                        
-> delete sslcert ipport=[::]:443

bearbeitet 28. Dezember 2016 von peterg

[peterg 15]

Hallo,

 

ich weiß nicht ob ich auf dem richtigen Weg bin. Ich habe mir mal die Hash-Werte und die Anwendungs-IDs der SSL-Zertifikatsbindungen angeschaut  (netsh http show sslcert). Zudem hatte ich die Möglichkeit über einen Bekannten bei einem anderen Exchange 2016 die SSL-Zertifikatsbindungen anzuschauen (siehe Anlage).

 

Fazit:

0.0.0.0:443 und 127.0.0.1:443 haben den gleichen Hash und die gleiche Anwendungs-ID --> ist bei beiden Exchange-Servern so

 

0.0.0.0:444 hat einen anderen Hash, aber die gleiche Anwendungs-ID wie 0.0.0.0:443 und 127.0.0.1:443 --> ist bei beiden Exchange-Servern so

 

Das Problemkind [::]:443 stimmt weder mit Hash, noch mit Anwendungs-ID mit irgendeinen anderen Zertifikat zusammen

Zudem gibt es dieses Zertifikat nur bei dem Exchange mit der Fehlermeldeung.

Das Zertifikat wurde auf diesem Server gelöscht (andere Geschichte) und ein neues Zertifikat installiert. Evtl. ist das irgendein Überbleibsel und wird evtl. gar nicht benötigt und kann gelöscht werden.

 

Das hat mit dem CU4 Update wohl gar nichts zu tun und die Fehlermeldung ist mir erst jetzt aufgefallen. Der Zertifikatswechsel wurde auch erst vor kurzem gemacht.

 

--> Kann dazu jemand was sagen?

 

Gruß,

Peter

SSL-Zertifikatbindungen mit Fehlermeldung.txt

SSL-Zertifikatbindungen Vergleichsserver.txt

bearbeitet 29. Dezember 2016 von peterg

[NorbertFe 2.027]

Du willst sagen, du hast schon vorher ein Zertifikat gelöscht?

[peterg 15]

Ja, da in dem alten Exchange Zertifikat der CN nicht auch als SAN eingetragen war. Ich habe dann ein neues Zertifikat bekommen, wo dann alle Einträge richtig waren.

 

Ich habe gerade mal im Zertifikatsspeicher nachgeschaut und den Fingerabduck der Zertifikate mit dem Hash-Wert des [::]:443 Zertifikats verglichen. Dieses Zertifikat gibt es im Zertifikatsspeicher nicht.

 

Ich werde es jetzt mittles netsh http delete xxx löschen. Oder?

 

Wie lautet dann eigentlich das Kommando?  netsh http delete sslcert ipport=[::]:443

Passt das so mit den [::]? So wird es bei den Bindungen mit netsh http show sslcert angegeben.

 

Normalerweise schaut es ja so aus: netsh http delete sslcert ipport=0.0.0.0:443

bearbeitet 30. Dezember 2016 von peterg

[NorbertFe 2.027]

Ja.

[peterg 15]

Problem gelöst. Ich habe das Zertifikat [::]:443 gelöscht.

 

Outlook, EAC, etc. funktioniert weiterhin.

 

Danke für die Unterstützung

 

Gruß,

Pit

bearbeitet 30. Dezember 2016 von peterg