Exchange 2016 - keine Zugriff mehr auf das Administative Center

[Blase 15]

Moin,

 

ich stehe auf dem Schlauch und bräuchte mal Hilfe.

 

Installiert ist ein Exchange 2016 (aktuellste Version) auf einem (virtuellen) Server 2012 R2 Standard Memberserver der 2012er R2 Domäne. Ich bin hier noch bei der Ersteinrichtung von Exchange, lief also sozusagen noch nie produktiv.

 

Die Installation verlief problemlos - konnte mich im Administrative Center anmelden und erste Konfigurationen vornehmen.

 

Aktuell kann ich mich aber nicht mehr anmelden und bekomme folgende Meldung:

 

Für die Verwendung von Outlook muss in den Browsereinstellungen die Ausführung von Skripts zugelassen werden. Informationen zum Zulassen von Skripts finden Sie in der Hilfe für den Browser. Werden vom Browser keine Skripts unterstützt, können Sie Windows Internet Explorer herunterladen, um Zugriff auf Outlook zu erhalten.

 

Der Zugriff erfolgt auf/über:

 

https://localhost/owa/auth/logon.aspx?url=https%3a%2f%2flocalhost%2fecp%2f%3fExchClientVer%3d15&reason=0

 

Also ich habe etwas mit den Einstellungen im IE "rumgespielt", testweise auch komplett die Sicherheitseinstellungen runter gefahren. Ist aber nicht zielführend.

 

Das letzte, was ich vorab getan habe, ist ein eigenes Exchange Zertifikat (selbst signiert) aus dem Exchange zu beantragen, in meiner CA zu genehmigen und dann wieder in den Exchange einzuspielen. Das hat auch wunderbar funktioniert. Die Bindungen im IIS habe ich überprüft, sowohl in der Default Web Site als auch im Exchange Back End haben das neue Zertifkat bei HTTPS bereits hinterlegt. Doch ab hier gingen meine Probleme mit der Anmeldung los.

 

Was ist hier passiert und wie kann ich mich wieder anmelden? Ich habe auch spaßeshalber das alte Zertifikat in den Bindungen ausgewählt, brachte aber keine Veränderung.

 

Freue mich über ein paar Ratschläge...

 

Gruß

Björn

[testperson 1.680]

Hi,

 

nach Änderung der Zertifikate hast du den Server mal durchgebootet bzw. den IIS mit "iisreset" neu gestartet?

Ansonsten ändere das Zertifikat vom Back End mal wieder auf das alte und starte den IIS neu und teste dann erneut.

 

Gruß

Jan

[Blase 15]

Hallo Jan,

 

ich sehe grade, dass die Formatierung meines Textes hier völlig vorn Ar*** ist - Entschuldigung schon einmal dafür. Schreibe grade vom Server aus...

 

Also einen iisreset habe ich gemacht - auch einen Server Neustart.

 

Auch habe ich inzwischen wieder die alten "Microsoft Exchange" Standard Zertifikate in den Bindungen hinterlegt. Ändert aber auch nichts.

 

Ideen?

 

Gruß

Björn

[NorbertFe 2.035]

Wieso zeigt bei dir das Backend Bindungen auf das neue Zertifikat? Das kann doch eigentlich nur händisch durch die geändert worden sein. Oder wie hast du das Zertifikat importiert und gebunden? (Selfsigned ist nicht CA Signiert) ;)

 

Bye

Norbert

 

PS: Welches CU hat dein 2016?

bearbeitet 18. Januar 2017 von NorbertFe

[Blase 15]

Hallo Norbert,

 

ist vielleicht ein Definitionsfehler meinerseits. Ich dachte bisher immer, dass es grundsätzlich "selbst signiert" ist, wenn ich es nicht öffentlich für Geld erwerbe - sondern mir also selbst eines ausstelle...?! Hier wurden die Rolle der CA installiert (auf einer anderen Maschine) und in dieser CA dann das vom Exchange beantragte Zertifikat signiert/erstellt. Meine "Definition" stimmt also nicht, nehme ich an?! ;-)

Ähm.... also ich würde jetzt nicht dafür meine Hand ins Feuer legen, dass ich es nicht doch beim Backend manuell umgestellt habe und es nur bei der Default Website drin war... *räusper* Möglich...

Welche Zertifikate aktuell in diesen beiden Bereichen hinterlegt sind, scheint aber grade keine Rolle zu spielen...

 

Gruß

Björn

 

ps. nochmals Entschuldigung für die miese Formatierung hier auf meiner Seite!

[NorbertFe 2.035]

Selbstsigniert heißt, der Antragsteller selber signiert es. SELBST eben. ;) Eine CA signiert eingereichte Anträge und ist damit pauschal eben nicht selfsigned.

 

Wer selber im IIS beim Exchange rumpopelt ohne zu wissen was er tut, hat hinterher eben meist genau obige Fehler. Ein Zertifikat wird per GUI im EAC importiert und aktiviert oder per Powershell. Du solltest also schauen, dass du das wieder rückgängig machst, was du anfangs "versaut" hast. Steht denn was im Eventlog? Da sollten solche Fehler eigentlich auftauchen.

 

Bye

Norbert

[Blase 15]

Hallo Norbert,

 

habe schon einmal vielen Dank für die Richtigstellung meiner verunglückten Definition.

 

Die Exchange Version... Kann ja grade nicht nachschauen. Hilft die Microsoft.Exchange.Store.Service.exe hier weiter?! Version 15.01.0669.032 ...?!

 

Das ISO ist von dieser Woche von MS herunter geladen - es wurde just gestern installiert. Es wurden bei der Installation keine Updates extra herunter geladen und auch die anschließenden MS Updates holen nichts. Ich sollte aktuell sein.

 

Ereignisprotokolle....

 

Im IIS ist eine Warnung - Quelle WAS - ID 5011

Schwerwiegender Kommunikationsfehler im Windows-Prozessaktivierungsdienst bei einem Prozess für den Anwendungspool "MSExchangeRpcProxyAppPool". Die Prozess-ID ist "11548".

 

Im "MSExchange Management" habe ich diverse Einträge bezüglich "Cmdlet failed" mit wechselnden XML Dateien.

 

Und unter "MSExchange Common" habe ich Warnungen bezüglich "Performance Counter" mit wechselnden Werten.

 

Rückgängig.... also wenn mein Fehler darin lag, dass ich im Exchange Backend das vorhandene Zertifikat durch mein neues ersetzt habe - das habe ich längst wieder rückgängig gemacht...

 

Gruß

Björn

[NorbertFe 2.035]

Versuch mal: https://support.microsoft.com/en-us/kb/2779694

 

2013 ist an der Stelle identisch zu 2016.

[Blase 15]

Habe ich versucht - bringt aber scheinbar keinen Fortschritt.

 

Eine Frage dazu:

 

Note  These steps should be taken on the Exchange Mailbox server role:1.Start Management Shell on the Mailbox server.
2.Type New-ExchangeCertificate.

Note If you are prompted to overwrite the default certificate, select No.
3.Start IIS Manager on the Mailbox Server.
4.Expand Site, highlight Exchange Back End, and select Bindings from the Actions pane in the right side column.
5.Select Typehttps on Port 444.
6.Click Edit and select the Microsoft Exchange certificate.
7.From an administrator command prompt, run IISReset.

 

Warum führe ich Punkt 2 aus, wenn ich am Ende doch die eine Abfrage nicht positiv (=> überschreiben) bestätige? Und bei Punkt 6 ist halt bereits das Standard "Microsoft Exchange" Zertifikat hinterlegt. Da ist also nichts zu tun. Habe aber dennoch einmal ein anderes genommen DAMIT ich dann beim erneuten nehmen vom "Microsoft Exchange" speichern kann...

 

Schade, der MS KB Artikel klingt genau nach meinem Problem. Aber die Lösung scheint nicht zu passen...

NACHTRAG: Mir ist zuerst nicht aufgefallen, dass er mit dem New-ExchangeCertificate ein ZUSÄTZLICHES "Microsoft Exchange" Zertifikat anlegt.

 

In den Bindungen ist mir zunächst überhaupt nicht aufgefallen, dass ich es dort nun "doppelt" drin hatte.

 

Um auszuschließen, dass ich versehentlich das "alte" genommen habe, habe ich den Prozess erneut durchgeführt und ganz bewusst das neu erstellte Microsoft Exchange Zertifikat genommen. Leider auch hier ohne Erfolg.....

[NorbertFe 2.035]

SChau mal, ob das hier paßt:

http://www.mcseboard.de/topic/209263-event-id-15021-httpevent-nach-exch-2016-cu4-update/?hl=%2Bzertifikat&do=findComment&comment=1322383

[Blase 15]

Hmm,

 

meine es "korrekt" gemacht zu haben - leider auch hier ohne Erfolg.

 

Habe beim Löschen hier den IP Port angegeben (0.0.0.0:444).

 

Verständnisfrage. Habe dann doch letztlich "nur" das von unserem vorherigen Versuch erstellte "Microsoft Exchange" Zertifikat an dieser Stelle heraus genommen, oder? Und es ist auch nicht gelöscht, sondern lediglich für diese Verbindung wieder heraus genommen, ja? Habe es im IIS kontrolliert. Nach dem löschen hatte ich dort kein Zertifikat hinterlegt.

 

Habe es dann neu hinterlegt und einen iisreset durchgeführt. Leider auch hier ohne Erfolg...

 

Da meine Hoffnung hier grade schwindet... würdest du auf diesem Server Exchange Deinstallieren und die IIS Features wieder entfernen und dann noch mal von vorne.... oder würdest du eine komplett neue Maschine aufsetzen (bin ja virtuell unterwegs) und es dort machen? So oder so - ich müsste den Exchange hier aber sauber entfernen, damit die Metadaten aus dem AD wieder entfernt werden, ja?

 

Falls du natürlich noch Ideen hast um das Problem doch zu lösen, bin ich natürlich sehr aufgeschlossen :)

[NorbertFe 2.035]

das ist ne testumgebung oder live?

[Piranha 18]

Mal ne "bloede" Frage. Meldest du dich mit dem User an mit dem du die Installation vorgenommen hast?

Wie verhaelt es sich wenn du dich mit einem anderen User anmeldest (notwendige Rechte eingeschlossen)?

[Blase 15]

Das hier ist schon "live" - eine Ersteinführung Exchange. Aber es spräche wohl nichts dagegen, hier einen erneuten Versuch zu starten. Wobei.. (siehe Antwort auf Piranha)

 

@Piranha -  Also erst einmal ja, ich bin hier als Domain Admin ("Administrator") unterwegs auf dem Exchange Server und sowohl die Installation, als auch die Anmeldung habe ich bisher mit diesem Benutzer gemacht. Habe auf deine Anregung hin mal einen "admin" Benutzer angelegt und mich damit versucht anzumelden. Deine Anmerkung scheint in die richtige Richtung zu gehen. Dieser kommt in die Anmeldemaske vom Exchange...?! Soweit kommt der "Standard" Administrator ja grade nicht einmal...

 

Die Anmeldung an Exchange selbst war dann aber wiederum mit dem Standard Administrator möglich. Wäre ich im Leben nicht drauf gekommen. Hab vielen Dank schon einmal für die Anmerkung! Bleibt die Frage, was ich jetzt mit dem Standard Administrator mache, dass das wieder geht....? Ideen hierzu?

[NorbertFe 2.035]

Gehts denn mit dem Standard Admin nur auf dem Server nicht? Klingt ein wenig nach Browser Cache.