Ex2013: EMS funktioniert nicht mehr

[MurdocX 952]

Scan mal dein Repository 

Dism /online /cleanup-image /scanhealth

Bei Fehlern kannst du es mit "restorehealth" reparieren

Dism /online /cleanup-image /restorehealth

[jeremy 10]

Ich hab die Ursache nun gefunden.

Im SysLog wurde auch das Event 36885 Quelle Schannel protokolliert. Leider zeitlich getrennt vom Auftreten des Fehlers.

Dieses besagt, dass die Liste der Root-Zertifikate zu lang ist und deshalb abgeschnitten wird.

Server 2008 R2 hat hier eine Grenze von 16384 Byte.

Scheinbar sind dann die Zertifikate die WinRM benutzt abgeschnitten worden weshalb keine Verbindung aufgebaut werden konnte.

 

Die Auslieferung der Liste komplett unterbunden und schon hat alles wieder funktioniert.

Jetzt muss ich nur noch schauen, welche Root-Zertifikate ich löschen kann.

 

Danke an alle, für die Hilfe :-)

bearbeitet 7. Februar 2017 von jeremy

[NorbertFe 2.035]

Im Zweifel alle, die du nicht brauchst ;)

Da kam sicher mal so ein Rootzert Update über den WSUS.

[Nobbyaushb 1.471]

Cool, danke für die Rückmeldung. :jau:

 

Das hatte ich bislang noch nicht - wieder ein Eintrag in der Lösungs-Liste.

 

:cool:

[NorbertFe 2.035]

Doch, als ich es gelesen hatte, kam mir das dunkel bekannt vor. Das betraf aber nicht nur Exchange.

https://blogs.technet.microsoft.com/windowsserver/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server/

 

Ich überleg grad noch, in welchem Zusammenhang mir das über den Weg lief. Ich meine es war DirectAccess oder RADIUS.

 

Bye

Norbert

[jeremy 10]

Es sind wohl alle Dienste betroffen, die gesicherte Remoteverbindungen aufbauen und deren Zertifikat hinter den 16384 Byte kommt. Je nachdem auch, wie diese CTL aufgebaut wird.

Es gab im Dez 2012 ein KB931125, das versehentlich an Server verteilt wurde und auch so ein Verhalten ausgelöst hat.