none
exchange zertifikat RRS feed

  • Frage

  • Hallo zusammen,

    ich möchte auf unserem CAS Server das default Zertifikat löschen und eine neues einspielen. Leider bekomme ich folgenden Fehler:

    Befehl:

    Remove-ExchangeCertificate -thumbprint [old certificate thumbprint].

    Fehler:

    the internal transport certificate cannot be remouved because that would cause the Microsoft Exchange Transport service to stop. To replace the internal transport certificate, create a new certificate . The new certificate will automatically become the internal transport certificate. You can remove than remove  the existing Parameter name: thumbprint.

    Wie muss ich vorgehen um folgendes zu erreichen:

    - bestehendes Zertifikat entfernen, da ich den service UM nicht mit dem bestehenden zertifikat betreiben will.

    - mit dem bestehendem Zertifikat sollen nur die dienste IMAP, POP, IIS, SMTP laufen.

    - UM soll auf ein eigenes Zertifiakt gebunden werden.

    mfg

    Mario


    System Engineer

    Sonntag, 18. August 2013 08:50

Antworten

Alle Antworten

  • Moin,

    falsche Reihenfolge:

    1. Das neue Zertifikat beantragen/importieren.

    2. Alle Dienste diesem Zertifikat zuweisen, vorallem SMTP (Frage, ob das das Standard-Zertifikat ist, mit JA beantworten.

    3. Transport-Dienst zur Sicherheit einmal neustarten und im Eventlog schauen, dass der keine Probleme mit dem neuen Zertifikat hat.

    4. Altes Zertifikat entfernen.


    Grüße aus Berlin schickt Robert MVP Exchange Server

    Sonntag, 18. August 2013 11:18
  • Hi Mario,

    ich weiß jetzt auch nicht, warum du erst das Zertifikat löschen willst bevor es überhaut ein neues gibt?!?!

    Also wie Robert schreibt - erst ein neues installieren, Dienste zuweien und danach darfst du auch löschen:
    http://technet.microsoft.com/en-us/library/gg502577(v=exchg.141).aspx

    Viele Grüße

    Christian

    Montag, 19. August 2013 05:58
    Moderator
  • Hallo zusammen,

    eigentlich möchte ich kein neues Zertifikat kaufen. Ich möchte nur die Dienste anderst auf die Zertifikate verteilen. Momentan sind alle Dienste auf dem default SMTP Zertifikat zugewiesen und UM ist zusätzlich auf einem andern Zertifikat. Dies möchte ich auch so beibehalten. Nun möchte ich den UM Dienst auf dem Zertifikat auf dem alle andern Dienste laufen entfernen. Wie kann ich diese bewerkstelligen mit möglichst kleinsten Serverunterbruch ?

    Gruss Mario


    System Engineer

    Montag, 19. August 2013 07:17
  • Hi Mario,

    hast du dir mal meinen Link angeschaut ... oder einfach mal die GUI?

    Dort steht es direkt unter dem Punkt Dienste zuordnen:

    http://technet.microsoft.com/en-us/library/dd351257(v=exchg.141).aspx

    Alles kein Hexenwerk und eigentlich stolpert man darüber bei jeder Exchangekonfigurationen.

    Grüße

    Christian

    Montag, 19. August 2013 07:24
    Moderator
  • Hallo Christian, ja sicher wie man Diesten auf ein Zertifikat aktiviert ist einfach. Jedoch bringe ich UM nicht von default zertifiakt weg. In dem Link ist davon keine Rede.

    gruss Mario


    System Engineer

    Montag, 19. August 2013 07:37
  • Hallo zusammen,

    habe ich das jetzt richtig verstanden. Ich muss zuerst ein neues Zertifikat kaufen um die Dieste vom aktuellen zertifikat zu löschen ?

    Gruss Mario


    System Engineer

    Montag, 19. August 2013 11:29
  • Nein, alles OK.

    Ich glaube Robert und ich haben das Löschen mißverstanden.

    Ich habe keinen UM zum Testen hier aber ich vermute, dass es wie beim SMTP-Service ist. Das Zertifikat bleibt weiter auf einem Cert gebunden bis dieses gelöscht wird. Solange wählt Exchange einfach selber das Beste aus, finde gerade den Link nicht...

    Mit "enable-exchangecert None" löscht du die Dienste normalerweise und ordnest diese zu.

    Grüße
    Christian

    Montag, 19. August 2013 13:05
    Moderator
  • Hallo zusammen, der Befehl enable-ExchangeCertificate None wird nicht akzeptiert.

    Gruss Mario


    System Engineer

    Montag, 19. August 2013 14:58
  • @Christian: Eingangs steht "ich möchte auf unserem CAS Server das default Zertifikat löschen und eine neues einspielen. " LÖSCHEN und ein NEUES einspielen - was kann man da falsch verstehen?

    @Mario@ Der Befehl heißt "enable-exchangecertificate -services none", Du hast das Services weggelassen.


    Grüße aus Berlin schickt Robert MVP Exchange Server

    Montag, 19. August 2013 15:13
  • Hi,

    mein Befehl war nur als grundsätzlicher Hinweis gemeint und wenn du es schaffst die Dienste zu nullen, hättest du keine Cert mehr im IIS.

    Bitte prüfe immer genau, was ein Befehl macht und welche Folgen er hat. Das gilt für remove-cert als auch Enable-cert!!!

    Auch wären Fehlermeldungen immer hilfreich...und als letztes: wie gesagt einige Dienste wandern beim Aktivieren mit und werden automatisch ausgetragen, da sie nur einmal aktiviert sein können (IIS,IMAP,POP) und bei anderen passiert das nicht. Hier nutzt Exchange automatisch das passende.

    Grüße

    Christian

     

    Montag, 19. August 2013 15:29
    Moderator
  • ok vielen Dank, jedoch binge ich den Dienst UM nicht aus dem Zertifikat raus:

    Gruss Mario


    System Engineer

    Montag, 19. August 2013 15:37
  • Hallo zusammen, 

    vielen Dank für Eure Hife, jedoch hat mit kein einziger Tip geholfen. Ich weiss immer noch nicht wie man den UM Dienst aus dem Zertifikat mit dem Thumbprint 24B1... entfernen kann.

    So wie es aussieht muss ich ein temporäres Zertifikat erstellen und importieren. Diesem die Dienste IMAP, POP IIS, SMTP zuordnen. Das produktive Zertifikat 24B1.... entfernen. Danach dieses wieder importieren Dienste IMAP, POP IIS, SMTP zuweisen, temporäres Zertifikat entfernen.

    Ist das der Weg ?

    Gruss Mario


    System Engineer

    Montag, 19. August 2013 20:07
  • Hi Mario,

    Danke für die Wertschätzung und wenn wir es nicht mal geschafft haben Verständnis zu wecken.

    Du wirst es nur über dein Cert-Ping-Pong raus bekommen, aber es ist gar nicht nötig. Du erreichst dadurch wahrscheinlich nur eine Offline-Zeit und ob die Bindung drin ist oder nicht, sollte niemanden stören...

    Viele Grüße
    Christian

    Dienstag, 20. August 2013 05:38
    Moderator
  • Hallo Christian,

    also du weisst auch nicht wie man die Zetifikate löschen kann und diese neu importieren kann und andere Dienste den Zertifikaten zuweisen kann? Wir benötigen für den UM-Dienst ein eigenes Zertifikat, weshalb sagst du dass das keine Rolle spielt ?

    Gruss Mario

    das wäre das Ziel:


    System Engineer

    Dienstag, 20. August 2013 06:52
  • Hallo,

    warum benötigt ihr ein eigenes Cert? Exchange wählt das beste - etwas so:
    http://technet.microsoft.com/en-us/library/bb430748(v=exchg.141).aspx

    Du könnest jetzt eine neues erstellen/importieren, dienste rüberschieben und das alte löschen.

    Löschen, Importieren, Exportieren - alles im oberen Link beschrieben:
    http://technet.microsoft.com/en-us/library/gg502577(v=exchg.141).aspx

    Ich glaube du machst dir gerade ganz viele unnötige Gedanken...

    Grüße

    Christian

    Dienstag, 20. August 2013 11:27
    Moderator
  • Hallo zusammen,

    da ich Voicemails nicht mehr am Telefonwiedergeben kann und ich ausser das Zertifikat auf userem Exchange erneuert haben nichts weiter geändert haben, wollte ich den UM Dienst auf ein anderes Zertifikat binden. Dies bekomme ich haben nicht hin (siehe Verlauf oben). Denkt ihr das ist ein anderes Problem? Ich bekomme auf dem Exchangeserver folgende Warnungen im Applicationlog:

    Warnung1:

    Ein ausgehender Anruf an 'rene.muster@test.com' konnte nicht hergestellt werden. Der ausgewählte ausgehend IP-Gateway 'al-s222.crealogix.net' hat diesen Fehler zurückgegeben: 'A SIP request has failed, but no response code was received.  The current operation is 'Opening'.  The session state is 'Connecting'.  The remote participant is 'SIP: 'rene.muster@test.com'.'. Die Anrufer-ID für diesen Anruf'rene.muster@test.com'. Um Hilfe bei der Problembehebung anhand des SIP-Antwortfehlercodes, der in der Ereignisbeschreibung angegeben wurde, zu erhalten, wenden Sie sich an die Hersteller Ihres IP-Gateways oder Ihrer IP PBX-Hardware. Außerdem können Sie Diagnosetests auf dem IP-Gateway oder der IP PBX-Hardware ausführen, um sicherzustellen, dass alle Geräte einwandfrei funktionieren. Weitere Informationen: 'A SIP request has failed, but no response code was received.  The current operation is 'Opening'.  The session state is 'Connecting'.  The remote participant is 'SIP: 'rene.muster@test.com'.'

    Warnung2:

    Die Beschreibung für die Ereignis-ID "32902" aus der Quelle "Microsoft Exchange Speech Engine" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert,  oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.

    Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

    Die folgenden Informationen wurden mit dem Ereignis gespeichert:

    sip:lsedge.crealogix.com@crealogix.com;gruu;opaque=srvr:MRAS:fKJqXG2Vn1ufkcCzTPeVewAA al-s090.crealogix.net

    10

    Microsoft.Rtc.Signaling.OperationTimeoutException: This operation has timed out.

       at Microsoft.Rtc.Signaling.SipAsyncResult.ThrowIfFailed()

       at Microsoft.Rtc.Signaling.Helper.EndAsyncOperation[T](Object owner, IAsyncResult asyncResult)

       at Microsoft.Rtc.Signaling.RealTimeEndpoint.EndSendMessage(IAsyncResult asyncResult)

       at Microsoft.SpeechServer.Core.MediaRelayAuthenticationToken.SendMessageCallback(IAsyncResult result)

    Gruss Mario


    System Engineer

    Donnerstag, 22. August 2013 11:11
  • Hi,

    da würde ich ehr mal mit Wireshark suchen, aber besser du postest im englischen UM-Forum, denn viel Erfahrung gibt es hier nicht:
    http://blog.lithiumblue.com/2007/04/accessing-exchange-2007-unified_8286.html

    http://social.technet.microsoft.com/Forums/exchange/en-US/7d348e25-3990-49f7-b6ba-eff704f4b00e/play-on-phone-invite-sent-from-um-but-responses-are-ignored

    Viele Grüße

    Christian

    • Als Antwort markiert Alex Pitulice Montag, 2. September 2013 07:36
    Donnerstag, 22. August 2013 18:58
    Moderator