none
Forefront TMG 2010 - ISA Server-Zertifikat ungültig / ISA Server-Zertifikat läuft ab RRS feed

  • Frage

  • Hallo zusammen,

    wie kann ich die zwei folgenden Ereignismeldungen ausschalten ?

    Ereignis 14069 Microsoft Forefront TMG Control - Es wurde mindestens ein Alarm mit derselben Ereignisbedingung, demselben Servernamen und zusätzlichem Schlüssel gefunden. Der zweifach vorhandene Alarm "ISA Server-Zertifikat ungültig" wird ignoriert.

    Ereignis 14069 Microsoft Forefront TMG Control - Es wurde mindestens ein Alarm mit derselben Ereignisbedingung, demselben Servernamen und zusätzlichem Schlüssel gefunden. Der zweifach vorhandene Alarm "ISA Server-Zertifikat läuft ab" wird ignoriert.

    Wo muss ich nachschauen um die entsprechenden Zertifikate zu finden und wie muss ich weiter vorgehen.

    Viele Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Mittwoch, 18. Januar 2012 19:45

Antworten

  • Hi, mal wieder Respekt fuer Deine Hartnaeckigkeit! Gut das Du nicht mehr Ewigkeiten in das Thema investieren willst, der erste Thread ist ja von Januar 2012. Zum Thema: http://technet.microsoft.com/en-us/library/cc995176 Da kannst du den Alarm loeschen / Deaktivieren

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Sonntag, 12. August 2012 20:33
    Moderator

Alle Antworten

  • moin marc,

    im lokalen computer-zertifikatsspeicher solltest du die zertifikate finden und löschen bzw. erneuern können. zum thema zertifikate beantragen hat marc gerade einen netten artikel geschrieben:

    http://www.it-training-grote.de/blog/?p=5009

    oder schau dir diesen artikel von mir zum thema (san-)zertifikate an:

    http://blog.forefront-tmg.de/?p=250


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 18. Januar 2012 20:17
  • Hi,

    oder in der TMG MMC in den Netzwerkobjekten - Weblistener - Zertifikate


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 18. Januar 2012 20:34
    Moderator
  • Hallo Jens, hallo Marc,

    danke für die schnelle Hilfe. Allerdings kenne ich mich mit den Zertifikaten noch nicht so gut aus. Ich habe mir die Anleitung angesehen und habe auch ein doppeltes Microsoft Zertifikat gefunden "Class 3 Public Primary Certification Authority Ablauf 08.01.2004". Dieses Zertifikat war 2 Mal vorhanden und ich habe es über die MMC mit der Console lokale Computerzertifikate gefunden. Eins davon war abgelaufen (mit dem oben angegebenen Datum), das andere ist bis 2028 aktiv. Leider hat das entfernen nichts genützt. Ich habe mir auch den Tipp von Marc angesehen. Leider finde ich in der "Forefront TMG-Verwaltung" nicht den entsprechenden Listener (bzw. ich habe zwar mehrere Listener gesehen, aber keine entsprechenden Zertifikate). Könntet Ihr mir bitte nähere Details dazu geben ? Wo genau kann ich das nachsehen im TMG ? Hier noch ein Hinweis. Die Firewallrichtlinien wurden von einem ISA Server 2004 Standard Server exportiert und in den neuen Forefront 2010 Standard importiert. Beide Server haben den selben Computernamen und die selben IPs.

     Viele Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Freitag, 20. Januar 2012 21:52
  • Hi,

    das RootCA Zertifikat von Microsoft zu entfernen loest Dein Problem nict.

    Du musst in MMC - SnapIn hinzufuegen - Zertifkate - Lokaler Computer - Zertifikate gehen. Da wirst Du das abgelaufene/falsche Zertifikat finden.
    In der TMG MMC: Firewallrichtlinien - rechte Seite Toolbox - Netzwerkobjekte - Weblistener - Eigenschaften - Zertifikate - Zertifikat auswaehlen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Samstag, 21. Januar 2012 06:17
    Moderator
  • Hallo Marc,

    danke für die genaueren Details. Aber jetzt bin ich richtig verwirrt, denn ich habe jetzt den Punkt in der Forefront TMG MMC gefunden. Dort sind keine Listener eingetragen und dementsprechend kann ich darüber auch nicht die 2 Zertifikate finden. Hast Du noch eine Idee ?

    Vielen Dank

     

    Beste Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Samstag, 21. Januar 2012 16:35
  • Hi,

    wenn Du keine Listener hast, veroeffentlichst Du nichts?! Geh mal in die Firewallregeln die etwas veroeffentlichen. Dort findest Du die Registerkarte Listener und kommst zum gleichen Ziel


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Samstag, 21. Januar 2012 17:11
    Moderator
  • Hi Marc,

    das ist korrekt. Ich veröffentliche mit TMG nichts. Ich habe auch mit dem damaligen ISA Server keine Veroeffentlichungen durchgeführt. Von daher ist es logisch, das ich nichts finden kann. Wieso kommen die Meldungen dann überhaupt. Wie gesagt, in der MMC für die Zertifikate bin ich auch nicht fündig geworden. Woran erkennt man denn dort, die entsprechenden TMG Zertifikate ? Kann es sein, das diese Meldung erscheint, weil auf dem alten Server evtl. Zertifikate waren, die jetzt nicht mehr existieren ? Dann wäre die nächste Frage bringe ich dem TMG bei, dass es diese nicht mehr gibt?  

    Viele Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Samstag, 21. Januar 2012 17:47
  • Hi,

    wenn ein ISA/TMG Domaenenmitglied ist und keine Veroeffentlichungen eingerichtet sind, werden keine Zertifikate verwendet, es sei denn, man richtet eine Client Zertifikat basierende Authentifizierung zu einem im LAN stehenden Webserver ein, dann kann es sein, dass der TMG ein Zertifikat im Zertifikatspeicher fuer den Firewalldienst hat.
    Ich wuerde jetzt in der MMC Zertifikate - lokaler Computer mal alle Zertifikate checken ob die noch gueltig und Trusted sind und der TMG den Private Key dafuer hat und nicht mehr gueltige Zertifikate aus dem Zertifikatspeicher loeschen und das gleiche auch nochmal im Zertifikatspeicher fuer den TMG Firewalldienst nachgucken.  


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Sonntag, 22. Januar 2012 09:07
    Moderator
  • Hallo Marc,

    ja, der TMG ist Domänenmitglied. Es sind aber keine Veroeffentlichungen eingerichtet. Aber der TMG hat einen IIS installiert, der nur an das interne Netz angebunden ist. Es handelt sich um ein ASUS Server Mainboard und die Managementfunktionen werden von einer Software mit dem Names ASUS Web Management kurz ASWM erzeugt. Diese Software setzt auf dem IIS auf. Kann es daran liegen ?

    Wenn ich in der MMC Zertifikate - lokaler Computer alle Zertifikate checken soll, welche soll ich genau entfernen ? Sollen alle entfernt werden, die bereits abgelaufen sind? Wie kann ich prüfen ob der TMG den Private Key dafuer hat ?

    Wo kann ich die Zertifikate des TMG Firewalldienst überprüfen ?

    So das sind jetzt wieder viele Fragen, aber das Problem lässt sich anscheinend nicht so einfach klären.

    Beste Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Sonntag, 22. Januar 2012 19:54
  • HI,

    >> Diese Software setzt auf dem IIS auf. Kann es daran liegen ?

    Ja, wenn die auf 443 lauscht

    >> Wenn ich in der MMC Zertifikate - lokaler Computer alle Zertifikate checken soll, welche soll ich genau entfernen

    die die abgelaufen sind

    >> Wie kann ich prüfen ob der TMG den Private Key dafuer hat ?

    Doppelklick auf Zertifikat. Wenn die Meldung kommt Sie haben einen privaten Schluessel ... alles OK

    >> Wo kann ich die Zertifikate des TMG Firewalldienst überprüfen

    MMC - Zertifikate - Dienste ...

     


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 23. Januar 2012 05:33
    Moderator
  • Guten Abend Marc,

    danke für guten Infos. Jetzt bin ich etwas schlauer ;-).

    Also zum ASUS ASWM in Verbindung mit IIS habe ich die Ports überprüft. Das System ist nicht auf Port 443 eingestellt, damit können wir den Punkt vergessen.

    Es sind einige Zertifikate abgelaufen, obwohl der Server erst Ende Oktober eingerichtet wurde. Ist das normal?

    Die meisten Zertifikate haben keinen Private Key. Soweit ich das beurteilen kann, ist das auch nicht nötig, da die anderen Anwendungen die auch Zertifikate benötigen ohne Probleme funktionieren.

    Es gibt ein Zertifikat "Microsoft Forefront TMG-Zertifizierungsstelle für HTTPS-Überprüfung" dieses ist gültig bis 01.01.2049 und hat auch den Private Key. Daran kann ich mich erinnern, ich habe es selber generiert, wo ich mit der HTTPS Überprüfung experimentiert hatte.

    Die Zertifikate des TMG Firewalldienstes habe ich auch geprüft und konnte 2 merkwürdige Zertifikate finden. Beide sind abgelaufen und haben die folgenden Daten. Ausgestellt für: Microsoft Corporation Austgestellt von: VeriSign Commercial Software Publishers CA 31.01.2002 Anzeigename: Fraudulent, NOT Microsoft

    Hast Du dazu eine Idee ? Können das evtl. die 2 genannten Zertifikate sein ?

    Ich habe von den Zertifikaten Screenshots gemacht. Die kann ich Dir bei Bedarf auch zur Verfügung stellen.

    Vielen Dank.

    Beste Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Montag, 23. Januar 2012 19:35
  • Hi,

    >> Es sind einige Zertifikate abgelaufen, obwohl der Server erst Ende Oktober eingerichtet wurde. Ist das normal?

    Kommt auf die Zertifikate an

    >>  merkwürdige Zertifikate finden. Beide sind abgelaufen und haben die folgenden Daten. Ausgestellt für: Microsoft Corporation Austgestellt von: VeriSign Commercial Software Publishers CA 31.01.2002 Anzeigename: Fraudulent, NOT Microsoft

    Dann loesch die mal. Wo liegen die? Aber nicht im lokalen Zertifikatspeicher des FWSRV?

     


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 24. Januar 2012 05:24
    Moderator
  • Hallo Marc,

    anbei ein Screenshot der Zertifikate. Die Zertifikate sind unter "Zertifikate - Dienst (Microsoft Forefront TMG-Firewall) auf lokaler Computer" - "fwsrv\Nicht vertrauenswürdige Zertifikate" und dann unter Zertifikate.

     

    Gruß

     

    Marc Poerschke

     


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Dienstag, 24. Januar 2012 20:51
  • Hi,

    na wenn Sie schon unter nicht vertrauenswuerdig liegen, dann ist alles OK :-)
    Ich habe noch eine Menge Ideen woran es liegen kann, aber ohne das "live" zu sehen, wird das etwas schwer


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 25. Januar 2012 05:32
    Moderator
  • Hi Marc,

    sorry für die späte Antwort und danke für die Info. Dann bin ich auf Deine weiteren Ideen gespannt :-). Es kann ja wohl nicht so schwer sein, die 2 Übertäter zu finden ?! Gib mir bitte mal einen weiteren Ansatz. Kann ich Dir mit weiteren Screenshots dienen ? Kann durch den Export der ISA 2004 Regeln und den Import nach TMG 2010 etwas in der Datenbank stehen, was jetzt nicht mehr vorhanden ist bzw. gebraucht wird ?

    Viele Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Dienstag, 31. Januar 2012 17:19
  • Hi,

    durch den Import kann es schon gut sein, dass durch den Import alte Einstellungen mitgekommen sind. Mit weiteren Ideen meinte ich, wenn man das System Live sieht, kann man schneller durch die Konfig klicken und sehen wo evtl. der Fehler begraben ist. So im Forum habe ich wirklich keine Ideen mehr, ohne dass wir uns noch tagelang hin und her schreiben wo man was probieren koennte - was jetzt nicht heissen soll, dass ich mir das System "Live" angucken moechte :-)
    Hast Du denn Probleme mit dem System oder ist das eher akademischer Natur? Wenn zweiteres, kannst Du auch in den TMG Alarmdefinitionen den Alarm deaktivieren, wenn Du keine weitere Zeit investieren willst.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 31. Januar 2012 18:48
    Moderator
  • Hi Marc,

     - was jetzt nicht heissen soll, dass ich mir das System "Live" angucken moechte :-)
    Verdammt, jetzt habe ich glatt gedacht, Du wolltest Dir das System mal "Live" ansehen, so das ich noch was lernen kann ;-)

    Nein, ich habe keine Probleme mit dem System. Das System läuft ohne Probleme und ist eher akademischer Natur. Ich möchte halt gerne wissen woran das liegt und es ist sicherlich auch ein kosmetisches Problem :-). Denn das Eventlog sollte so wenig Fehler und Warnungen haben wie möglich. Alles blau wäre optimal! Ich habe mir eben mal die Alarmdefinitionen angesehen. Welcher Eintrag wäre das denn genau ? Zum Thema Zertifikate gibt es da ja auch ein Paar Möglichkeiten. 

    Gruß

    Marc Poerschke 


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Dienstag, 31. Januar 2012 19:58
  • Hi,

    das bringt mich noch auf eine Idee. Evtl. ist die Meldung ja durch den Import gekommen. Deswegen auch ISA Server ...
    Schau Dir aml mit ADSIEDIT die Alerts an und loesche dann mit ADSIEDIT die beiden ISA ... Alerts:
    http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Storage-101.html


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 1. Februar 2012 05:45
    Moderator
  • Hi Marc,

    danke der Tipp ist sehr gut. Danke dafür. Ich habe mir die Alerts mal angesehen unter CN=Arrays / CN=Alerts. Allerdings finde ich dort auf Anhieb nicht den entsprechenden Punkt. Es sind ja überall die kryptografischen CN= Schlüssen vorhanden und auch in den Unterordnern findet man die Daten nicht im Klartext. Wie finde ich denn den entsprechenden Punkt am besten ?

    Viele Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Samstag, 4. Februar 2012 18:53
  • Hi,

    jedne einzelnen durchklicken und die Beschreibung / Text lesen. Da Du ja nicht weisst wonach Du suchen musst, bleibt Dir wohl nichts anderes uebrig.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Sonntag, 5. Februar 2012 08:11
    Moderator
  • Hallo Marc,

    alles klar, werde ich machen und mich dann wieder melden. Wie war der andere Vorschlag von Dir. Du sagtest, man kann die zwei Alarme auch einfach abschalten unter den Alarm Definitionen. Dort gibt es 4 oder 5 verschiedene Typen von Meldungen zu Zertifikate. Kannst Du mir den richtigen Punkt nennen ?

    Gruß

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke
    Sonntag, 5. Februar 2012 20:18
  • Hi Marc,

    ist schon was länger her, aber jetzt hatte ich mal Zeit mich mit der Thematik zu beschäftigen. Ich glaube Deine Idee war richtig. Bevor ich weiter machen kann, musst Du mir erst mal sagen, was ein Fehler ist und was nicht. Dazu folgendes.... Ich habe mit ADSI Edit unter TMG-Storage Port: 2171 \ CN=FPC2 \ CN=ARRAY-ROOT \ CN=ARRAYS \ CN={4C171D07-D22D-490F-999D-23CC70E3F8C5} \ CN=ALERTS alle Alarme durchgesehen. Es ist von dort ja eigentlich immer gleich aufgebaut. Beispiel: Und zwar von CN=ALERTS \ CN={00204F1E-D9ED-464f-9916-72AE11EE3F8A} <- Code immer unterschiedlich \ CN=ALERT-ACTIONS \ CN=0 . Ich nehme an, das der letzte Eintrag CN=0 bedeutet, das kein Fehler vorliegt. Jetzt habe ich bei der Suche genau 2 ALERT-ACTIONS Punkte gefunden in denen CN=0 und CN=3 steht. Könnte es sein, dass das genau die Punkte sind, die unsere Fehlermeldung auslösen ? Ich denke CN=3 steht für einen Fehler. Aber unter dem Punkt ist nichts eingetragen. 

    Die Fehler sind unter folgenden Code Nummern: CN={656FE4B7-622B-4c76-9994-9B2AAE6140E6} und CN={0B7BA794-CF14-459c-8DF7-4A249F92BFCE}.

    Meinst Du ich soll die CN=3 Meldungen mal löschen ?

    Wenn Du noch ein Screenshot benötigst, kann ich Dir den gerne zuschicken.

    Viele Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke


    Samstag, 30. Juni 2012 19:45
  • Hi,

    Respekt. Bist sehr hartnaeckig! Aber was tut man nicht alles fuer die IT.

    Ja diese Eintraege loeschen, aber bitte erst nachdem Du ein AD-LDS Backup erstellt hast


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Samstag, 30. Juni 2012 21:25
    Moderator
  • Hallo Marc,

    so ich habe das jetzt getestet. Leider ohne Erfolg. Mit Hilfe von VMware habe ich ein Testsystem aufgesetzt (ohne ISA Regel Import). Dort sind im ADSI aber die selben Werte vorhanden. Von daher kann ich mir das löschen der Einträge ersparen! Ich möchte jetzt aber auch nicht mehr Ewigkeiten in dieses Thema investieren. Du hattest noch eine Idee, wie man die Alarmmeldungen konfigurieren kann, so das diese Meldungen nicht mehr angezeigt werden. Kannst Du mir dazu noch ein paar Informationen liefern ?

    Vielen Dank schon mal im Voraus.

    Viele Grüße

    Marc Poerschke


    Mit freundlichen Grüßen / Kind regards Marc Poerschke

    Sonntag, 12. August 2012 19:48
  • Hi, mal wieder Respekt fuer Deine Hartnaeckigkeit! Gut das Du nicht mehr Ewigkeiten in das Thema investieren willst, der erste Thread ist ja von Januar 2012. Zum Thema: http://technet.microsoft.com/en-us/library/cc995176 Da kannst du den Alarm loeschen / Deaktivieren

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Sonntag, 12. August 2012 20:33
    Moderator
  • Hi Marc,

    ích habe die Alarmfunktionen, nach dem oben angegebenen Artikel, durchsucht und habe dabei viele ISA Importe gefunden. Unter anderem auch Alarmdefinitionen vom alten BitDefender AntiVirus und eben auch die zwei besagten ISA Meldungen "ISA Server-Zertifikat ungültig" und "ISA Server-Zertifikat läuft ab". Es hat leider nicht gereicht, die Alarme zu deaktivieren. Ich musste die Alarme wirklich komplett löschen. Seltsam war, dass man die Alarme zweimal löschen musste und danach auch zweimal den Server neu starten musste. Beim ersten Mal waren die Meldungen nach dem Neustart wieder da und man konnte sie auch noch in den Alarmdefinitionen finden. Beim zweiten Versuch war dann alles gut :-). Jetzt sind diese Pseudo Fehlermeldungen auch nicht mehr da!

    Damit ist dieser Punkt endlich abgeschlossen und man hat wieder eine Menge gelernt. Nicht alle Fehlermeldungen im EventLog entsprechen der Wahrheit <lach>. Aber das wusste man ja schon vorher.

    Nochmals vielen Dank für Deine nette und gute Unterstützung.

    Viele Grüße

    Marc Poerschke  


    Mit freundlichen Grüßen / Kind regards Marc Poerschke

    Montag, 13. August 2012 19:06
  • Hi,

    schoen das es jetzt "funktioniert"


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 13. August 2012 19:28
    Moderator