Jump to content

Exchange 2013 samt ManagementShell lokal nicht mehr erreichbar - Zertifikat?


Direkt zur Lösung Gelöst von testperson,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

mir fehlen Ideen in welche Richtung ich suchen muss. Bislang finde ich nur Lösungsansätze, wo man die ManagementShell nutzt.

Umgebung:
Server 2012R2, Exchange 2013 - (läuft nur im Intranet mit einer handvoll Clients, ein lokaler Connector speist ihn mit Mails).

Vor ca 2 Wochen habe ich ein abgelaufenes Zertifkat manuell erneuert - ohne Zertifizierungsstelle, da der Server nur intern läuft - lief danach einwandfrei (Clients mussten das Cert einmal speichern). Vorgestern hab ich ihn dann das erste Mal seitdem neu gestartet - danach war Exchange nicht mehr erreichbar.

neben den Clients, die sich natürlich nicht mehr verbinden können gibt es lokal schon folgende Phänomene:
- Exchange Administrative Center gibt nach Login einen 503
- Toolbox gibt nach Start einen Snapin-Fehler
- Exchange Management Shell gibt nach Verbindungsversuch einen leeren Fehler

Einen ersten Fehler konnte ich lösen indem ich im IIS-Manager im Verwaltungsdienst ein aktuelles Zertifikat zugerodnet habe. Damit ließ sich der Webverwaltungsdienst wieder starten.

Fehlermeldungen gibt es natürlich viele, ich denke die beruhen natürlich auf einem Grundproblem - ich hatte den Ansatz folgende damit ursächlich zu verknüpfen - gefundene Lösungen setzen allerdings die Shell vorraus:

"Ereignis 36874, Schannel

 

Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, vom Server unterstützt. Fehler bei der SSL-Verbindungsanforderung."

 

oder diese:

"Ereignis 2005 MSExchange Certificate Deployment

 

Verbund- oder Authentifizierungszertifikat nicht gefunden: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Das Zertifikat wurde am lokalen sowie an benachbarten Standorten nicht gefunden. Bestätigen Sie, dass das Zertifikat in Ihrer Topologie vorhanden ist, und setzen Sie das Zertifikat bei Bedarf bei der Verbundvertrauensstellung mithilfe von 'Set-FederationTrust' oder 'Set-AuthConfig' auf ein gültiges Zertifikat zurück. Die Übermittlung des Zertifikats an den lokalen oder die benachbarten Standorte benötigt möglicherweise etwas Zeit."


Im IIS sehe ich 3 aktuelle Zertifikate, die am entsprechenden Tag erstellt worden sind - allerdings hat keines den Hashwert, der oben drin stand. Zudem heißt es dort:

"Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenswürdig. Installieren Sie das Zertifikat in dem Speicher vertrauenswürdiger Stammzertifizierungsstellen, um die Vertrauensstellung zu aktivieren."


Hat er irgendwo noch das alte abgelaufende Cert drin gehabt und mit Neustart reingeschrieben?
Oder fehlt ihm irgendwo, wie das neue heißt?
Oder wo kann ich neue Zertifkate erstellen und neu einbinden? (ohne Management Shell etc)


Danke für Hilfestellungen!

lg
Lutz

Link zu diesem Kommentar
vor 18 Minuten schrieb testperson:

Hi,

 

ich vermute, du musst das neue Zertifikat im IIS einmal ans Exchange Back End binden: OWA, ECP, or EMS can't connect after removing a self-signed certificate from Exchange Back End website - Exchange | Microsoft Learn

 

Gruß

Jan

Danke für die schnelle Rückmeldung - so in der Art denke ich das auch - aber in der Beschreibung fängt die Lösung damit an:

"1. Start Management Shell on the Mailbox server.

..."

ähm - genau damit kommt ja zuvor genannter Fehler. Wie komm ich an den Exchange sonst lokal dran?

 

ist das für Systeme auf verschiedenen Servern geschrieben? hier liegt alles auf Einem.

 

vor 4 Minuten schrieb Herakles25:

Danke für die schnelle Rückmeldung - so in der Art denke ich das auch - aber in der Beschreibung fängt die Lösung damit an:

"1. Start Management Shell on the Mailbox server.

..."

ähm - genau damit kommt ja zuvor genannter Fehler. Wie komm ich an den Exchange sonst lokal dran?

 

ist das für Systeme auf verschiedenen Servern geschrieben? hier liegt alles auf Einem.

 

ah sorry, da war ich zu schnell, das Zert besteht ja - muss noch testen

Link zu diesem Kommentar

Guck mal in die das Management der lokalen Zertifikatstelle

 

eine mmc aufmachen

(Deutsch)

Datei - Snapin hinzufügen - linke Seite Zertifikate - hinzufügen - Computerkonto - Fertig stellen - lokaler Computer - Fertig stellen

OK

dort solltest m.E. unter eigene Zertifikate die lokalen Exchange Zertifikate finden

(kann ich nicht gucken, alles aus dem Kopf…)

Da könnte man auch das lokale interne Zertifikat erneuern

An einem cmd als Admin danach iisreset und du solltest wieder drauf kommen

Laufen denn alle relevanten Dienste?

(Taskmanager bzw. Servermanager)

:-)

 

Link zu diesem Kommentar

an welcher Stelle?

im Exchange Admin ist nichts - da macht nur noch die Bedienung Probleme mit einigen Popups, die nicht öffnen.

 

könnte aber auch sein, dass die Provider eigentlich schon länger kein Smarthost mehr erlauben - wobei es bis jetzt funktioniert hat.. der Server soll eh sterben - aber nicht grad jetzt :) hab zur Not aber ein Workaround in Petto

vor 39 Minuten schrieb testperson:

Der Server 2012 R2 inkl. Exchange sprechen auch definitiv TLS 1.2 und der SmartHost Anbieter hat nicht zufälligerweise alles kleiner TLS 1.2 abgedreht? Ich meine irgendwo eine Mail überflogen zu haben, dass Host Europe gerade Testläufe in diese Richtung macht.

auch das wäre zeitlich ein riesen-Zufall - hat bis Mi alles funktioniert, bis vor dem Neustart

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...