peterg 15 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 (bearbeitet) Hallo, ich habe gerade das Exchange 2016 CU4 Update (von CU2) gemacht (auf einem Server2012R2), welches reibungsllos funktioniert hat. Nun habe ich im Ereignisprotokoll den Fehler 15021: Bei der Verwendung der SSL-Konfiguration für den Endpunkt (::'):443 ist ein Fehler aufgetreten. Die Fehlermeldung kommt ständig!!! OWA funktioniert, Outlook kann sich am Exchange anmelden und auch die Anmeldung an der EAC funktioniert. Im IIS unter "Default Web Site" -> Bindungen -> ist bei beiden https-Einträgen das "externe" Exchange Zertifikat eingetragen (siehe Bilder), welches ich bei der Exchange-Installation eingebunden habe. Kann das Zertifikat irgendwie "defekt" sein? Hat evtl. jemand einen Tipp? Gruß, Pit bearbeitet 28. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 (bearbeitet) Du solltest im iis am besten gar nichts mit den Zertifikaten tun. Prüfen kann man das auch per powershell mittels get-exchangecertificate. Hast du hier mal geschaut? https://technet.microsoft.com/en-us/library/cc727844(v=ws.10).aspx Auch die Kommentare lesen. bearbeitet 28. Dezember 2016 von NorbertFe Zitieren Link zu diesem Kommentar
peterg 15 Geschrieben 28. Dezember 2016 Autor Melden Teilen Geschrieben 28. Dezember 2016 (bearbeitet) Hallo, ich habe auch nicht im iis gemacht. Da traue ich mich nicht ran. :-) Wenn man "googelt" wird beschrieben, dass oft das Zertifikat fehlt und im iis eingetragen werden muss. Bei mir war aber alles eingetragen. Das wollte ich nur prüfen. Bei get-exchangecetrificate kommt folgendes (siehe Bild) Kann/soll ich das Zertifikat gemäß der Technet-Seite reinstallieren? Welchen Kommentar meinst Du? Es geht ja auch teils um die Bindung beim "Exchange Back End", 444. Bei "netsh http show sslcert" steht nur bei einem Zertifikat "0.0.0.0:8172" die Anwendungs-ID mit 00000 drin. Bei den Zertifikaten mit Port 443 steht überall etwas bei der Anwendungs-ID. Gruß, Pit bearbeitet 28. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 Hast du mal die bindings der backend Website angeschaut? Siehe Kommentare! Zitieren Link zu diesem Kommentar
peterg 15 Geschrieben 28. Dezember 2016 Autor Melden Teilen Geschrieben 28. Dezember 2016 (bearbeitet) Ja, da steht bei https Port 444 beim SSL-Zertifikat "Microsoft Exchange" und nicht das "externe Zertifikat" drin. Bei meinem Test-Exchange (gleich mit CU4 aufgesetzt) ist das aber auch so! Gehört hier das "externe Zertifikat" rein? Gruß, Pit bearbeitet 28. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 Nein da gehört nicht das externe rein. Dann Versuchs mal mit entfernen und wieder hinzufügen. Zitieren Link zu diesem Kommentar
peterg 15 Geschrieben 28. Dezember 2016 Autor Melden Teilen Geschrieben 28. Dezember 2016 (bearbeitet) Hi, ich habe mal bei "Default Web Site" die https-Bindungen auf "Microsoft Exchange" umgestellt, einen iis-Reset gemacht und dann wieder das Exterene Zertifikat eingetragen (und iis-reset). Brachte nichts :-( Die Fehlermeldung komme alle 10 Sek. Gibt's doch nicht.... bearbeitet 28. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 28. Dezember 2016 Melden Teilen Geschrieben 28. Dezember 2016 Hast du denn das Zertifikat mal entfernt, so wie es im Artikel beschrieben wird? Vorher ggf. Mal mit key exportieren. Zitieren Link zu diesem Kommentar
peterg 15 Geschrieben 28. Dezember 2016 Autor Melden Teilen Geschrieben 28. Dezember 2016 (bearbeitet) Hi, habe ich mich noch nicht getraut. Was heißt mit "Key" exportieren? Ich habe das Zertiifkat über die EAC exportiert inkl. Passworteingabe oder muss ich das Zertifikat über die MMC exportieren? Hier habe ich keine Ahnung. Geht das so: https://www.digicert.com/ssl-support/pfx-import-export-iis-7.htm oder https://technet.microsoft.com/de-de/library/aa996305(v=exchg.160).aspx Kann ich dann einfach die 4 Schritte wie im Artikel beschrieben ausführen? Das habe ich noch nie gemacht, daher frage ich lieber ganz genau nach. Muss ich nicht bei "delete" die IP und den Port eingeben? -> delete sslcert ipport=127.0.0.1:443 -> delete sslcert ipport=[::]:443 bearbeitet 28. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
peterg 15 Geschrieben 29. Dezember 2016 Autor Melden Teilen Geschrieben 29. Dezember 2016 (bearbeitet) Hallo, ich weiß nicht ob ich auf dem richtigen Weg bin. Ich habe mir mal die Hash-Werte und die Anwendungs-IDs der SSL-Zertifikatsbindungen angeschaut (netsh http show sslcert). Zudem hatte ich die Möglichkeit über einen Bekannten bei einem anderen Exchange 2016 die SSL-Zertifikatsbindungen anzuschauen (siehe Anlage). Fazit: 0.0.0.0:443 und 127.0.0.1:443 haben den gleichen Hash und die gleiche Anwendungs-ID --> ist bei beiden Exchange-Servern so 0.0.0.0:444 hat einen anderen Hash, aber die gleiche Anwendungs-ID wie 0.0.0.0:443 und 127.0.0.1:443 --> ist bei beiden Exchange-Servern so Das Problemkind [::]:443 stimmt weder mit Hash, noch mit Anwendungs-ID mit irgendeinen anderen Zertifikat zusammen Zudem gibt es dieses Zertifikat nur bei dem Exchange mit der Fehlermeldeung. Das Zertifikat wurde auf diesem Server gelöscht (andere Geschichte) und ein neues Zertifikat installiert. Evtl. ist das irgendein Überbleibsel und wird evtl. gar nicht benötigt und kann gelöscht werden. Das hat mit dem CU4 Update wohl gar nichts zu tun und die Fehlermeldung ist mir erst jetzt aufgefallen. Der Zertifikatswechsel wurde auch erst vor kurzem gemacht. --> Kann dazu jemand was sagen? Gruß, Peter SSL-Zertifikatbindungen mit Fehlermeldung.txt SSL-Zertifikatbindungen Vergleichsserver.txt bearbeitet 29. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 29. Dezember 2016 Melden Teilen Geschrieben 29. Dezember 2016 Du willst sagen, du hast schon vorher ein Zertifikat gelöscht? Zitieren Link zu diesem Kommentar
peterg 15 Geschrieben 30. Dezember 2016 Autor Melden Teilen Geschrieben 30. Dezember 2016 (bearbeitet) Ja, da in dem alten Exchange Zertifikat der CN nicht auch als SAN eingetragen war. Ich habe dann ein neues Zertifikat bekommen, wo dann alle Einträge richtig waren. Ich habe gerade mal im Zertifikatsspeicher nachgeschaut und den Fingerabduck der Zertifikate mit dem Hash-Wert des [::]:443 Zertifikats verglichen. Dieses Zertifikat gibt es im Zertifikatsspeicher nicht. Ich werde es jetzt mittles netsh http delete xxx löschen. Oder? Wie lautet dann eigentlich das Kommando? netsh http delete sslcert ipport=[::]:443 Passt das so mit den [::]? So wird es bei den Bindungen mit netsh http show sslcert angegeben. Normalerweise schaut es ja so aus: netsh http delete sslcert ipport=0.0.0.0:443 bearbeitet 30. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 30. Dezember 2016 Melden Teilen Geschrieben 30. Dezember 2016 Ja. Zitieren Link zu diesem Kommentar
Beste Lösung peterg 15 Geschrieben 30. Dezember 2016 Autor Beste Lösung Melden Teilen Geschrieben 30. Dezember 2016 (bearbeitet) Problem gelöst. Ich habe das Zertifikat [::]:443 gelöscht. Outlook, EAC, etc. funktioniert weiterhin. Danke für die Unterstützung Gruß, Pit bearbeitet 30. Dezember 2016 von peterg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.