none
Nach Erneuerung des Zertifikates kein Zugriff mehr über OWA oder ECP beim Exchange Server 2016 RRS feed

  • Frage

  • Hallo,

    Letztes Wochenende wurde von unserem Server automatisch das Zertifikat für die Clientauthentifizierung erneuert.
    Seit diesem Zeitpunkt ist es leider nicht mehr möglich sich am Exchange Administrator Center unseres Exchange Server 2016 anzumelden.
    Nach der Anmeldung mit den Logindaten erhält Man unter Firefox folgende Fehlermeldung:

    Auch eine Anmeldung über OWA bringt das gleicher Fehlerbild.

    Die Zertifikate sind aber meiner Einschätzung nach in Ordnung. Ich hatte diese erst letzte Jahr auf Grund des gleichen Fehlers bereinigt.
    Damals lag es daran, dass auf dem Exchange Server 2016 nur das CU4 installiert war. Nach einem Update auf CU10 funktionierte alles wieder.

    Zur Zeit läuft also auf bei uns ein Exchange Server 2016 CU10.

    Um das Problem zu beheben habe ich alle aktuellen Updates für den Windows 2012 R2 Server installiert, alles neu gestarter und die Bindungen der Zertifakte zum ISS und an die Exchange Server -Sites überprüft. Da scheint alles Okay zu sein.

    Hat vielleicht jemand eine Idee, wie ich das Problem beheben kann?

    Vielen Dank schnmal für die Hilfe.

    Viele Grüße

    Heiko Witt


    Heiko

    Freitag, 8. Februar 2019 10:38

Alle Antworten

  • Moin,

    es ist aus dem Post nicht ganz klar, was Du erneuert hast: Zertifikate für Clientauthentifizierung (sprich: Du nutzt zertifikatsbasierte Authentifizierung gegen Exchange) oder das Serverzertifikat?

    Falls Serverzertifikat: Wie genau hast Du es erneuert?


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Freitag, 8. Februar 2019 19:18
  • Moin,

    außerdem verstehe ich deine Aussage nicht, das der Server das Zertifikat automatisch verlängert hat - das gibt es meines Wissens nicht.

    Warum seid ich nicht auf CU11? ;)


    Gruß Norbert

    Sonntag, 10. Februar 2019 13:05
    Moderator
  • Moin,

    außerdem verstehe ich deine Aussage nicht, das der Server das Zertifikat automatisch verlängert hat - das gibt es meines Wissens nicht.


    Naja, wenn man das Zertifikat per Autoenrollment verteilt, dann theoretisch schon... Aber wer ist schon so töricht, das in Produktion zu tun?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Sonntag, 10. Februar 2019 13:47
  • Hallo,

    vielen Dank für die Antworten.

    Leider komme ich erst jetzt dazu mich weiter mit diesem Problem zu beschäftigen.

    Wie es eben so ist, zuerst sind die Kunden dran und wenn Mal Zeit ist kann man sich um das eigene System kümmern.

    Das Problem besteht weiterhin.

    Das Zertifikat wurde von unserem Domaincontroller im LAN am 03.02.2019 automatisch ausgestellt/verlängert.

    unter "beabsichtigte Zwecke" sind für dieses Zertifikat "Clientauthentifizierung, Serverauthentifizierung" angegeben.

    Dieses Zertifikat erneuert unser Domaincontroller automatisch jedes Jahr.

    Nur dieses Mal klappt es nicht mehr bei der Anmeldung über OWA oder ECP an den Exchange Sever.

    mit freundlichen Grüßen,

    Heiko Witt


    Heiko

    Donnerstag, 7. März 2019 09:24
  • Hallo Heiko,

    ich verstehe zwar nicht, warum ihr für die Exchange Dienste ein Computerzertifikat verwendet, dass über die interne CA automatisch erneuert wird, für die Exchange Dienste verwendet.

    Wie Evgenij bereits angemerkt hat wer tut das schon, schränke ich das ein auf "... für die Exchange Dienste". Für andere Dienste, wie IPSec, DirectAccess ist das Autoenrollment sehr hilfreich.

    Jetzt aber zurück zu Deiner Herausforderung. Kannst Du bitte im IIS Manager prüfen ob die Exchange Backend Site eine korrekte SSL Bindung hat. Wenn dort kein SSL Zertifikat gebunden ist, dann weise das gültige Exchange Self Zertifikat zu.

    BTW. Wenn meine Kollegen länger als 1 Stunde keinen OWA haben, dann ziehen sie mir die Ohren lang. Oder ist es eine Test-, Trainingsumgebung?

    Gruß Malte


    • Bearbeitet Malte Pabst Donnerstag, 7. März 2019 18:58 Korrektur
    Donnerstag, 7. März 2019 18:57
  • Hallo Malte,

    Das ist ja das Problem. Mir ist es auch unverständlich, warum sich die Erneuerung des Computerzertifikats sich auf das Exchange Server Zertifikat auswirken sollte. Dieses sollte ein anderes sein.

    Über die Exchange Management Shell habe ich zum Glück aber noch Zugriff auf den Exchange Server.

    Zuerst habe ich bei gehofft, dass Dein Tipp mit den Bindungen die Lösung wäre, da sowohl beim Exchange Back End, als auch bei der Default Web Site kein SSL Zertifikat mehr zugeordnet war.

    Ich habe diesem das Exchange Server Zertifikat zugeordnet und den IIS neu gestartet. Es brachte aber keine Lösung.

    Dann habe ich mir die Zertifikate nochmals genauer angesehen. Dabei ist mir aufgefallen das unser ursprüngliches Exchange Server Zertifikat remote.t-t.de mir bei der Auswahl auch gar nicht angezeigt wird.

    Die Liste im Konsolenstamm sieht auch etwas eigenartig aus, z.B. hat das Computerzertifikat des Servers den Anzeigenamen "Exchange Server" bekommen und das eigentliche Exchange Server Zertifikat  für "remote.t-t.de" hat keinen Namen mehr. Weshalb ich es bei der Bindung wahrschlich auch nicht einbinden kann.

    Ich hoffe es kann mir jemand helfen.

    Das OWA nicht funktioniert ist bei uns keinem aufgefallen, da wir dieses einfach nicht verwenden.

    Viele Grüße,

    Heiko


    Heiko

    Freitag, 8. März 2019 09:06
  • Weil man nur ein Zertifikat an den IIS binden kann.

    Und das sollte man immer vom Exchange machen lassen.

    ;)


    Gruß Norbert

    Freitag, 8. März 2019 10:54
    Moderator
  • Moin,

    kleine Ergänzung zu Norbert:

    Nur ein Zertifikat pro Site. Mit Exchange 2013 beginnend werden immer zwei Web-Sites bei der Exchange Installation erstellt. die für die Front-End Dienste (meist Default Web Site) und die für die Back-End Dienste.

    Die Zertifikatsbindung für die Back-End Site sollte man im Normalfall durch Exchange selbst verwalten lassen. Ich hatte es aber bereits häufiger, dass nach der Installation von Updates (Windows und/Oder Exchange) die Back-End Site diese Bindung verloren hatte. Das führte zum o.g. Fehlerbild.

    Und ja es ist Richtig, die Zertifikatsbindungen sollten auf Exchange Servern über die Exchange Verwaltungsmittel durchgeführt werden.

    @Heiko: Da Du eine eigene interne CA betreibst, kannst Du über die Exchange Powershell einen neuen Zertifikatsrequest erstellen "New-Exchangecertificate" und diesen anschließend über die CA Web Seite bei deiner CA einreichen und "unterschreiben" lassen.

    https://docs.microsoft.com/en-us/powershell/module/exchange/encryption-and-certificates/enable-exchangecertificate?view=exchange-ps

    https://docs.microsoft.com/en-us/powershell/module/exchange/encryption-and-certificates/import-exchangecertificate?view=exchange-ps

    Gruß Malte

    Mittwoch, 13. März 2019 07:10