none
Kein Zugriff auf das Exchange Admin Center mehr (Exchange server 2016)

    Frage

  • Hallo,

    Ich habe hier ein großes Problem.

    ich habe das Exchange Admin Center schon seit längerer Zeit, ca. 2 Monate, nicht mehr genutzt, da alles lief und kein Bedarf bestand. Ich weiß also nicht wann das Problem das erste mal genau aufgetreten ist.

    Heute wollte ich die Postfacheinstellungen eines Users nachsehen und musste dabei feststellen, dass ich nicht mehr das Exchange Admin Center aufrufen kann. Auch ein Zugriff über OWA oder ECP für einen beliebigen Nutzer ist nicht mehr möglich.

    Outlook funktioniert aber weiterhin ohne Probleme. E-Mails werden empfangen und gesendet. Dort ist alles Okay und da wir den Webzugriff über OWA oder ECP nicht nutzen foel das Problem eben auch nicht auf.

    Das Problem stellt sich wie folgt dar:

    Beim Zugriff ins Admin Center oder eben einen beliebigen OWA-Zugriff, kommt man bis zur Anmeldemaske. Trägt man dann seine Anmeldedaten ein kommt im nächsten Schritt im Internet Explorer die Fehlermeldung, dass die Seite nicht gefunden wurde. Der Firefox ist da schon etwas mitteilsam. Hier wird folgende Fehlermeldung angezeigt:

    "Serverfehler in der Anwendung /ecp."

    " https://localhost/ecp/auth/errorFE.aspx?CafeError=SSLCertificateProblem "

    " Stapelüberwachung:

    [HttpException (0x80004005): https://localhost/ecp/auth/errorFE.aspx?CafeError=SSLCertificateProblem]
       Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication) +454
       Microsoft.Exchange.HttpProxy.<>c__DisplayClass8.<OnBeginRequest>b__7() +1665
       Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(Action tryDelegate, Func`2 filterDelegate, Action`1 catchDelegate) +32
       System.Web.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +136
       System.Web.HttpApplication.ExecuteStepImpl(IExecutionStep step) +195
       System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +88 "

    Wegen dem Hinweis aus der Fehlermeldung und auch dem Ergebnis meiner Suche im Internet lag für mich die Vermutung nahe, dass vielleicht eines der selbst erstellten Serverzertifikate abgelaufen sei.
    Das habe ich schon Kontrolliert und konnte aber keine abgelaufenen Zertifikate finden.

    Ich hoffe, es kann mir hier jemand weiterhelfen.

    Ach ja, noch folgende Information: Es geht um einen Exchange Server 2016 welcher auf einem Windows 2012 R2 Server installiert ist. Auf dem Windows 2012 R2 Server sind alle aktuellen Updates bis einschließlich Juni 2018 installier (Windows update sagt, es liegen keine neuen Updates vor) der Exchange Server 2016 ist aber noch CU4.

    viele Grüße,

    Heiko


    Heiko


    • Bearbeitet Heiko W Donnerstag, 5. Juli 2018 11:47
    Donnerstag, 5. Juli 2018 11:45

Alle Antworten

  • Hallo,

    als ersten kleinen Tipp würde ich vorschlagen, auf dem Exchange Server selbst, den IIS zu überprüfen.

    Dort gibt es die Webseiten für Exchange 2016 Foreground und Background.

    Vielleicht stimmt dort schon etwas nicht.

    Ansonsten DNS Problem?

    Die Webseite einmal direkt auf dem Server versuchen aufzurufen, ohne Client PC?

    Donnerstag, 5. Juli 2018 11:49
  • Hallo,

    vielen Dank für die rasche Antwort.

    Leider kam ich mit den Tipps auch nicht so recht weiter.

    Die Webseiten habe ich auch direkt auf dem Server ausgeführt und bekam auch dabei die oben beschriebenen Fehlermeldungen.

    Im IIS habe nur die Site "Exchange Back End" gefunden, bei der mir aber auch nichts ungewöhnliches aufgefallen ist.

    viele Grüße

    Heiko


    Heiko

    Donnerstag, 5. Juli 2018 12:17
  • Es gibt im ISS die Default Webseite und das Exchange Backend.

    Die Webseiten müssen auch gestartet sein.

    Donnerstag, 5. Juli 2018 12:25
  • Ja, beide Sites sind im ISS vorhanden und werden dort auch als "gestartet" angezeigt:


    Heiko


    • Bearbeitet Heiko W Donnerstag, 5. Juli 2018 12:36
    Donnerstag, 5. Juli 2018 12:33
  • Ok.

    Dann hilft nur noch die Ereignissanzeige des Exchange Servers.

    Dort müssen Fehler angezeigt werden, die erst behoben werden müssen.

    Jede fehlerhafte Ereignisnummer oder Warnung könnte auf die Lösung hinweisen.

    Donnerstag, 5. Juli 2018 12:35
  • Hallo,

    In den Ereignisprotokollen finde ich "nur" Warnungen, welche auf das Problem hinweisen.

    Im Anwendungsprotokoll

    Event ID: 1309 Quelle: ASP.NET 4.0.30319.0

    Event code: 3005
    Event message: Es ist eine unbehandelte Ausnahme aufgetreten.
    Event time: 05.07.2018 14:56:48
    Event time (UTC): 05.07.2018 12:56:48
    Event ID: dae7155af3984e0dbd47db4fb9525022
    Event sequence: 10
    Event occurrence: 9
    Event detail code: 0
     
    Application information:
        Application domain: /LM/W3SVC/1/ROOT/ecp-2-131752584221009642
        Trust level: Full
        Application Virtual Path: /ecp
        Application Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\ecp\
        Machine name: WIN2016-DC
     
    Process information:
        Process ID: 22288
        Process name: w3wp.exe
        Account name: NT-AUTORITÄT\SYSTEM
     
    Exception information:
        Exception type: HttpException
        Exception message: https://localhost/ecp/auth/errorFE.aspx?CafeError=SSLCertificateProblem
       bei Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication)
       bei Microsoft.Exchange.HttpProxy.ProxyModule.<>c__DisplayClass8.<OnBeginRequest>b__7()
       bei Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(Action tryDelegate, Func`2 filterDelegate, Action`1 catchDelegate)
       bei System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
       bei System.Web.HttpApplication.ExecuteStepImpl(IExecutionStep step)
       bei System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

      
    Request information:
        Request URL: https://localhost:443/ecp/?ExchClientVer=15
        Request path: /ecp/
        User host address: ::1
        User: 
        Is authenticated: False
        Authentication Type: 
        Thread account name: NT-AUTORITÄT\SYSTEM
     
    Thread information:
        Thread ID: 43
        Thread account name: NT-AUTORITÄT\SYSTEM
        Is impersonating: False
        Stack trace:    bei Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication)
       bei Microsoft.Exchange.HttpProxy.ProxyModule.<>c__DisplayClass8.<OnBeginRequest>b__7()
       bei Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(Action tryDelegate, Func`2 filterDelegate, Action`1 catchDelegate)
       bei System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
       bei System.Web.HttpApplication.ExecuteStepImpl(IExecutionStep step)
       bei System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)
     

    Custom event details:

    Im Systemprotokoll sind 2 WAS Warnungen

    Event ID: 5011 Quelle: WAS
    Event ID: 5013 Quelle: WAS
    Event ID: 5138 Quelle: WAS


    Heiko

    Donnerstag, 5. Juli 2018 13:08
  • Hier ist die Lösung zu finden:

    https://social.technet.microsoft.com/Forums/de-DE/75ddb521-ede2-42a0-b698-e46d4c713afd/exchange-server-2016-cu6-quotaspnet-40303190quot-event-id-1309-exception-has-been-thrown?forum=exchange_serverde

    Scheinbar gab es das Problem schon einmal

    Donnerstag, 5. Juli 2018 13:16
  • Hmm,... Dort trat das Problem mit der CU6 Installation auf.

    Bei mir läuft aber noch der Exchange auf CU4.

    Vielleicht doch vorher ein Update auf C10 machen?

    viele Grüße,

    Heiko


    Heiko

    Donnerstag, 5. Juli 2018 14:12
  • Moin,

    mach mal auf dem Exchange Server in einer CMD mit erhöhten Rechten

    certutil -repairstore my *
    und poste die Ausgabe hier.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 5. Juli 2018 14:19
  • Hallo,

    Vielen Dank für die Antwort.

    Es hat leider, bedingt durch die Arbeit,  etwas länger gedauert.

    Hier die Ausgabe nach dem ausführen des Befehls "certutil -repairstore my *" in einer CMD mit erhöhten Rechten:

    Microsoft Windows [Version 6.3.9600]
    (c) 2013 Microsoft Corporation. Alle Rechte vorbehalten.
    
    C:\Windows\system32>certutil -repairstore my *
    my "Eigene Zertifikate"
    ================ Zertifikat 0 ================
    Archiviert
    Seriennummer: 1dc1ab7500010000015b
    Aussteller: CN=ttdatdom-SBS2011-SRV-CA
     Nicht vor: 27.04.2017 16:40
     Nicht nach: 27.04.2018 16:40
    Antragsteller: CN=Win2016-DC.ttdatdom.local
    Zertifikatvorlagenname (Zertifikattyp): DomainController
    Kein Stammzertifikat
    Vorlage: DomainController, Domänencontroller
    Zertifikathash(sha1): ff da d1 8e 6e c4 4d e8 eb 8b d9 5a dd 4c 6e 32 b9 f5 fe 3
    7
      Schlüsselcontainer = c60f46534026d29ea92aa38a3fb65970_cffb1336-a30f-4962-8ed3-
    4988dfa4e53f
      Einfacher Containername: le-DomainController-18c1ac41-ac5c-4e3f-99ef-cade6bba9
    13a
      Anbieter = Microsoft RSA SChannel Cryptographic Provider
    Der private Schlüssel ist NICHT exportierbar
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 1 ================
    Seriennummer: 44bcc80b000100000162
    Aussteller: CN=ttdatdom-SBS2011-SRV-CA
     Nicht vor: 16.03.2018 23:07
     Nicht nach: 16.03.2019 23:07
    Antragsteller: CN=Win2016-DC.ttdatdom.local
    Zertifikatvorlagenname (Zertifikattyp): DomainController
    Kein Stammzertifikat
    Vorlage: DomainController, Domänencontroller
    Zertifikathash(sha1): 8e ab 4e 92 d7 21 c5 a2 9b ea d9 78 c4 e4 f5 6a 99 3e 25 3
    b
      Schlüsselcontainer = d71228e13663df5684567ca0563c3493_cffb1336-a30f-4962-8ed3-
    4988dfa4e53f
      Einfacher Containername: le-DomainController-4347f339-bf3b-4cb0-82df-cc875a674
    97b
      Anbieter = Microsoft RSA SChannel Cryptographic Provider
    Der private Schlüssel ist NICHT exportierbar
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 2 ================
    Seriennummer: 605001598202cf9f468134255ef49c3a
    Aussteller: CN=Win2016-DC
     Nicht vor: 14.06.2017 16:24
     Nicht nach: 14.06.2022 16:24
    Antragsteller: CN=Win2016-DC
    Signatur stimmt mit dem öffentlichen Schlüssel überein.
    Stammzertifikat: Antragsteller stimmt mit Aussteller überein
    Zertifikathash(sha1): 8d 22 ce 96 77 23 de 73 a2 77 08 c4 54 03 94 08 cd 63 a2 c
    4
      Schlüsselcontainer = bc5121ef-a34b-478f-b1b9-7e16fa41785e
      Eindeutiger Containername: b0d3b95d3d2b86034b01ff7f31667853_cffb1336-a30f-4962
    -8ed3-4988dfa4e53f
      Anbieter = (null)
    Der private Schlüssel ist NICHT exportierbar
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 3 ================
    Archiviert
    Seriennummer: 7b628f3c000000000022
    Aussteller: CN=ttdatdom-SBS2011-SRV-CA
     Nicht vor: 05.03.2017 09:58
     Nicht nach: 07.03.2017 12:36
    Antragsteller: CN=Win2016-DC.ttdatdom.local
    Zertifikatvorlagenname (Zertifikattyp): DomainController
    Kein Stammzertifikat
    Vorlage: DomainController, Domänencontroller
    Zertifikathash(sha1): 8b be 5e ac 06 65 5b 06 76 21 cb 33 70 af 8a 2c 07 65 77 2
    4
      Schlüsselcontainer = 39656ca822adcc93657b521bf1e83c33_cffb1336-a30f-4962-8ed3-
    4988dfa4e53f
      Einfacher Containername: le-DomainController-0cc8f772-a652-4285-822b-5d6b395a3
    49b
      Anbieter = Microsoft RSA SChannel Cryptographic Provider
    Der private Schlüssel ist NICHT exportierbar
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 4 ================
    Archiviert
    Seriennummer: 499a4a9900000000001e
    Aussteller: CN=ttdatdom-SBS2011-SRV-CA
     Nicht vor: 23.02.2017 17:58
     Nicht nach: 07.03.2017 12:36
    Antragsteller: CN=Win2016-DC.ttdatdom.local
    Zertifikatvorlagenname (Zertifikattyp): DomainController
    Kein Stammzertifikat
    Vorlage: DomainController, Domänencontroller
    Zertifikathash(sha1): 84 63 98 77 a4 f3 f1 de 97 78 5b 0f 4e c8 14 61 a0 bd 32 1
    7
      Schlüsselcontainer = 276bdf9e8a6e53d98f3445ba4cd68924_cffb1336-a30f-4962-8ed3-
    4988dfa4e53f
      Einfacher Containername: le-DomainController-6273fa9f-d583-4111-be80-a0338897d
    698
      Anbieter = Microsoft RSA SChannel Cryptographic Provider
    Der private Schlüssel ist NICHT exportierbar
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 5 ================
    Archiviert
    Seriennummer: 15af4c1b000000000026
    Aussteller: CN=ttdatdom-SBS2011-SRV-CA
     Nicht vor: 07.03.2017 09:58
     Nicht nach: 07.03.2017 12:36
    Antragsteller: CN=Win2016-DC.ttdatdom.local
    Zertifikatvorlagenname (Zertifikattyp): DomainController
    Kein Stammzertifikat
    Vorlage: DomainController, Domänencontroller
    Zertifikathash(sha1): 82 3c 9f 11 ca 65 b1 61 7e bc 6e 6f 01 f4 fc 17 47 42 83 8
    0
      Schlüsselcontainer = 58df52a163c1007a46ea082e5f12cfc6_cffb1336-a30f-4962-8ed3-
    4988dfa4e53f
      Einfacher Containername: le-DomainController-7df0f01d-4051-4ff7-8292-3ec4c5de6
    778
      Anbieter = Microsoft RSA SChannel Cryptographic Provider
    Der private Schlüssel ist NICHT exportierbar
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 6 ================
    Seriennummer: 1745138200d877a5408c390a8d7ab708
    Aussteller: CN=Microsoft Exchange Server Auth Certificate
     Nicht vor: 14.06.2017 16:25
     Nicht nach: 19.05.2022 16:25
    Antragsteller: CN=Microsoft Exchange Server Auth Certificate
    Signatur stimmt mit dem öffentlichen Schlüssel überein.
    Stammzertifikat: Antragsteller stimmt mit Aussteller überein
    Zertifikathash(sha1): 73 ef e9 e6 7b 18 5e 44 25 6d 1e a6 9a f7 c6 cc 90 35 cf 5
    2
      Schlüsselcontainer = 7ecb4b95-f3a6-4041-baeb-21479a02f053
      Eindeutiger Containername: bd206d81b34131e6722f32e8dadc6bb5_cffb1336-a30f-4962
    -8ed3-4988dfa4e53f
      Anbieter = (null)
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 7 ================
    Archiviert
    Seriennummer: 14d5643b00000000001a
    Aussteller: CN=ttdatdom-SBS2011-SRV-CA
     Nicht vor: 06.01.2017 11:15
     Nicht nach: 07.03.2017 12:36
    Antragsteller: CN=Win2016-DC.ttdatdom.local
    Zertifikatvorlagenname (Zertifikattyp): DomainController
    Kein Stammzertifikat
    Vorlage: DomainController, Domänencontroller
    Zertifikathash(sha1): 47 1f ee 71 1f b2 5e 9f f7 57 3f c8 a3 fa 95 2f 57 a0 15 6
    7
      Schlüsselcontainer = 38d973f0f3752a97999f00ddc8f03b42_cffb1336-a30f-4962-8ed3-
    4988dfa4e53f
      Einfacher Containername: le-DomainController-c8d142e4-c2ac-4a27-9a00-8920af4c2
    57f
      Anbieter = Microsoft RSA SChannel Cryptographic Provider
    Der private Schlüssel ist NICHT exportierbar
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 8 ================
    Seriennummer: 3d53657bc6a7a2b14057737221657b19
    Aussteller: CN=WMSvc-WIN2016-DC
     Nicht vor: 14.06.2017 15:56
     Nicht nach: 12.06.2027 15:56
    Antragsteller: CN=WMSvc-WIN2016-DC
    Signatur stimmt mit dem öffentlichen Schlüssel überein.
    Stammzertifikat: Antragsteller stimmt mit Aussteller überein
    Zertifikathash(sha1): 43 14 39 c7 33 bc 09 52 ed 1a 09 8d fa e4 d9 50 05 64 fa 0
    0
      Schlüsselcontainer = WMSvc Certificate Key Container
      Eindeutiger Containername: bedbf0b4da5f8061b6444baedf4c00b1_cffb1336-a30f-4962
    -8ed3-4988dfa4e53f
      Anbieter = Microsoft RSA SChannel Cryptographic Provider
    Verschlüsselungstest wurde durchgeführt
    
    ================ Zertifikat 9 ================
    Seriennummer: 5e65f857b02a76a44fb5b6901e00b149
    Aussteller: CN=remote.t-t.de
     Nicht vor: 20.03.2014 13:03
     Nicht nach: 20.03.2019 13:03
    Antragsteller: CN=remote.t-t.de
    Signatur stimmt mit dem öffentlichen Schlüssel überein.
    Stammzertifikat: Antragsteller stimmt mit Aussteller überein
    Zertifikathash(sha1): 12 5b c1 82 91 e2 4a 4c 10 00 40 6d 40 79 3b f3 b4 58 b0 9
    a
    Keine Informationen über den Schlüsselanbieter
    Das Zertifikat und der private Schlüssel für die Entschlüsselung wurden nicht ge
    funden.
    Verschlüsselungstest wurde durchgeführt
    CertUtil: -repairstore-Befehl ist fehlgeschlagen: 0x80090010 (-2146893808 NTE_PE
    RM)
    CertUtil: Zugriff verweigert
    
    C:\Windows\system32>

    viele Grüße,

    Heiko witt


    Heiko

    Mittwoch, 11. Juli 2018 09:34
  • Moin,

    wie Du im letzten Block sehen kannst, ist mit Deinem selbstsignierten Zertifikat etwas nicht in Ordnung. Wenn Du die PFX dazu noch hast, lösch das Zertifikat mal aus certlm.msc und importiere es erneut, danach IISRESET.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 11. Juli 2018 11:15
  • Hallo,

    ich würde nach einem "iisreset" im IIS Manager die Bindungen überprüfen. Sind die korrekten Zertifikate gebunden und sind diese fehlerfrei.

    - Rechtsklick auf die Webseiten "Default Web Site" und "Exchange Back End" dann auf Bindungen und dort die ssl/443 Bindungen prüfen. Sind Zertifikate eingebunden und sind es die korrekten.

    - Zudem Dienste prüfen. Ist alles was auf "automatisch" starten steht auch gestartet? In diesem Fall den Dienst "Formularbasierte Authentifizierung" prüfen.

    Mittwoch, 11. Juli 2018 11:25
  • Hallo,

    Das Zertifikat aus dem letzten Block ist ein Selbstsigniertes Zertifikat für den Remotezugriff unseres alten Small Business Server 2011. Leider habe ich dazu keine PFX-Datei.

    Die Überprüfung des Zertifikats mittel  "certutil -repairstore my *" direkt auf dem Small Business Server 2011 brachte keine Fehlermeldung. Auf dem Exchange Server poppte immer an dieser Stelle ein Formular auf, dass mich aufforderte die Signaturkarte einzulegen.

    Im IIS des Exchange Servers ist dieses Zertifikat für remote.t-t.de auch nicht zu finden.


    Heiko


    • Bearbeitet Heiko W Mittwoch, 11. Juli 2018 12:42
    Mittwoch, 11. Juli 2018 12:41
  • Schau mal, ob Du das selbstsignierte Zertifikat aus dem SBS inkl. des privaten Schlüssels in eine PFX exportiert bekommst.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 11. Juli 2018 12:59
  • Das geht gerade bei diesem Zertifikat nicht.
    Alle anderen Zertifikate kann ich exportieren, nur bei diesem Zertifikat stehen mir nur die Optionen für "Anzeigen" und "Löschen" im IIS offen.


    Heiko

    Mittwoch, 11. Juli 2018 13:11
  • ...und wenn Du das nicht im IIS machst, sondern entweder in certlm.msc oder per certutil?

    EDIT: certlm.msc wirst Du auf nem SBS nicht haben, also Tippel-Tappel: leere mmc --> Snap-In hinzufügen --> Zertifikate --> lokaler Computer.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.


    Mittwoch, 11. Juli 2018 13:26
  • Klappt leider auch nicht.

    Im mmc/Zertifikate kann ich beim remote.t-t.de-Zertifikat zwar unter "erweiterte Aufgaben" den Punkt "Kopieren" anwählen, nur kommt dann beim Assistenten die Mitteilung "Der dazugehörige private Schlüssel ist als "Nicht exportierbar" markiert. Nur das Zertifikat kann exportiert werden." weshalb hier auch nur die Option  "Nein, privaten Schlüssel nicht exportieren" ausgewählt werden kann.
    Die Fehlermeldung auf dem Exchange-Server betrifft ja aber gerade den privaten Schlüssel.

    Deshalb kann auch nicht als Exportdatei das Format .PFX ausgewählt werden, dieses ist deaktiviert.


    Heiko

    Mittwoch, 11. Juli 2018 14:04
  • Na dann ;-)

    Drei Varianten:

    1. neues selbstsigniertes Zertifikat generieren und in Exchange einspielen

    2. ordentliches Zertifikat generieren (aus eigener CA) oder extern besorgen (kann auch ein Let's Encrypt sein, wenn die paar Kröten nicht da sind)und in Exchange einspielen

    3. Hacken: https://github.com/gentilkiwi/mimikatz/blob/master/README.md#crypto 

    Und hau bei der Gelegenheit bitte die abgelaufenen Domain Controller-Zertifikate weg, die helfen auch nicht. IIS macht manchmal Zicken, was das betrifft.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Mittwoch, 11. Juli 2018 14:28
  • Hallo,

    ergänzend zu Evgenij:
    vor allem - ASAP auf CU10 gehen, du bist seitens MS nicht im Support!

    Aktuelles CU -2 = Stand heute CU8 minimum

    Und - kaufe ein Zertifikat.
    Immer mehr Mobile Geräte unterstützen keine Self-Signed mehr.


    Gruß Norbert

    Mittwoch, 11. Juli 2018 21:38
    Moderator
  • Vielen Dank für die Antworten, da werde ich sobald wie möglich das CU10 installieren. Heruntergeladen habe ich es schon. Nur kann ich über den aktuellen Exchange Server 2016 mit CU4 gleich das CU10 installieren oder muss ich erst über CU5, CU6 usw. gehen?

    Die Installationensanleitung sagt da leider unterschiedliches aus.


    Heiko

    Donnerstag, 12. Juli 2018 08:49