none
Zertifikat Fehler nach Server Update und Exchange 2010 Update RRS feed

  • Frage

  • Guten Tag,

    Kurze beschreibung meinen Problemes. Da ich relativ neu bin in der jetzigen Frima und ich der IT-Verantwortliche bin, stolpere ich immer wieder gerne über Altlasten. wie letzen Dienstag. Da wir in der Frima alle Firmwares Upgedated haben. (Server, Switches, SAN-Switches) wurden auch im gleichen zug bei allen Servern (2008 R2) updates installiert.

    Leider war die Altlast, dass der Exchange 2010 nie ein update gesehen hat.

    Nach dem einspielen der Updates, startet der Exchange und verstarb dann langsam. Postfächer konnten nicht mehr verbinden werden. zum schluss war der Exchange nicht mehr erreichbar.

    Der Dienst für den Infromationsspeicher Startete sich durchwegs neu im Sekundentakt und beendete sich auch gleich wieder. Wir entschieden und dann für Exhange SP2 Rollup 4 zu installieren.

    Wir beendeten alle dienste und starteten die installation. Er brach die installation immer beim Punkt Transport HUB ab, da er die Dienste nicht reaktiveren konnte. Bzw Diese Gleichzeitig deaktviert waren und gestartet.

    Nach dem Kunstgriff das wir die Dienste manuell immer wieder reaktiverten. Ging der Exhange wieder. Seit dem ist aber das Problem das die Aussenstellen das diese immer wieder Schimpfen das Ihr Zertifikat nicht mehr gültig sei.

    Ich habe nun versucht das Zertifikat neu einzuspielen, bzw das EWS neu zu exportieren. Und diese bei den Clients in den Aussenstellen zu installieren. Bekomme aber weiterhin die Fehlermeldungen ,dass der Zielprinzipalname falsch ist. bzw. dass das Stammzertifikat, vom Vertrauensanbierter nicht vertauenwürdig ist.

    Er fragt auch immer ob man das Zertifikat verwenden möchte, beim Start vom Outlook. Bei "JA" funktoiniert auch der Mailverkehr ganz normal.

    Ich habe jetzt schon einiges durschtöbert aber ich komm nicht drauf.

    Ich versucht auch das ich TLS über den 995 deaktviere und den normalen 110 Port verwender und ich versuche normal die Mails abzufen. Aber da bekomm ich vom Server nur einen Anmelde Fehler zurück geschmissen.

    Grüße Flatline

    Dienstag, 27. November 2012 11:09

Antworten

  • Grüße,

    So die Lösung meiner Probleme wurde gefunden und beseitigt.

    Die Lösungen waren simpel. Für das Problem mit dem Zertifikat war, dass keines vom Exchange benötigt wurde, sondern eines vom DC fürn Server. Und siehe da es funktoniert. Ich könnte mich jetzt noch immer ärgern, dass ich darüber gestolpert bin.

    Das Problem vom Exchange Server war auch ein Simples. Die Zeit ist um gebau 5 Minuten ausseinder gelaufen zum DC. Dadurch startet der Dienst für den Informationspeicher nicht. Anfangs sind wird nur durch die Erreignislogs gekommen wo immer die Zeit um 1 Stunde vorgesprungen ist beider Anmeldung und dann wieder zurück. Durch eine analyse des Problems, woher die falsche Zeit kam, stellten wir dann fest das der Lokale DC (Eigener Server) die Zeit nicht von einem Externen Zeitserver bezog, sondern vom BIOS. Da der Exchange auf einem VMware liegt und dieser beim Starten kurzeitig die BIOS Zeit vom VMware Server hernimmt und sich erst später Synchronisert. Wurde der Dienst immer wieder beendet. Man gab nun beiden Systemen (DC und den VMware Server) einen externen Zeitserver an und es funktonierte auf anhieb. Auch wenn des alles sehr Dubios war, jetzt stimmt auf allen System die Zeit und der Exchange funktoniert.

    Ich bedanke mich für die Hilfe und allen Antworten.

    Mittwoch, 9. Januar 2013 12:08
  • Hi The DIXI-Flatline,

    Die Lösungen waren simpel. Für das Problem mit dem Zertifikat war, dass keines vom Exchange benötigt wurde, sondern eines vom DC fürn Server. Und siehe da es funktoniert. Ich könnte mich jetzt noch immer ärgern, dass ich darüber gestolpert bin.

    Meinst du ein Cert der internen CA und was hat das mit dem DC zu tun?

    der Dienst immer wieder beendet. Man gab nun beiden Systemen (DC und den VMware Server) einen externen Zeitserver an und es funktonierte auf anhieb. Auch wenn des alles sehr Dubios war, jetzt stimmt auf allen System die Zeit und der Exchange funktoniert.

    Trotzdem sollten sich virtuelle Server die Zeit NICHT vom Host holen:
    http://www.blog-schulenburg.de/index.php/kategorie-als-blog/92-zeitsynchronisation-in-der-domain

    Das AD sorgt für die Synchronität, wenn es richtig eingerichtet ist.


    Viele Grüße
    Christian

    Mittwoch, 9. Januar 2013 12:16
    Moderator

Alle Antworten

  • Hallo,

    das ganze liest sich nach mehr Chaos bei euch.

    Läuft das DNS sauber?

    Ist IPv6 aktiv?

    Was meldet der BPA aus der Toolbox?

    Ggf. mal einen externen Dienstleister hinzuziehen (ernst gemeínt..)

    ;)


    Gruß Norbert

    Dienstag, 27. November 2012 17:11
    Moderator
  • Hallo,

    IPv6 ist aktiv

    DNS auflösung läuft sauber;

    BPA Tool meldet mir nicht Kritisches in der Richtung.

    Nur das der Adminimstrator und Domain Admins keine rechte haben.

    Alle andere meldeten keine Probleme.

    Da die Clients in der Außenstellen nicht in der AD sind, und an diesen nicht verändert wurde... vermute ich mal das Problem beim POP3 Connector liegt. Was andere könnte ich mir so nicht vorstellen. Aber wäre da ja für jeden Input mal dankbar (mit Kurzer erklärung). Vielleicht ist es ja ein einfaches Problem und ich denke einfach viel zu kompliziert.

    Wir haben einen Externe Dienstleister, der war ja auch dabei.

    Ich bin hier nur der SysAdmin. Ich soll alles am laufen halten, habe aber keine entscheidungsbefugnis.

    Mittwoch, 28. November 2012 09:57
  • Hi The DIXI-Flatline,

    vielleicht kannst du den Fehler etwas genauer beschreiben. Wann wird das Cert angemeckert? Welche Clients sind in der Außenstelle und auf welchem Weg?

    Was sollte es mit dem POP3Connector zu tun haben? Der Client sieht den nicht und verbindet sich ja nur mit dem Server.

    Der DL-Hinweis würde das ganze wohl ankürzen...


    Viele Grüße
    Christian

    Donnerstag, 29. November 2012 21:24
    Moderator
  • Unsere Aussenstellen sind über VPN mit unser verbunden.

    Die Clients selber sind nicht in der AD. Mails werden über POP3 abgerufen. Damit das Funktoniert wurde ein EWS Zertifikat ausgestellt, aber seit dem eher unfreiwilligen Update zum Exchange SP2, meldet das Outlook auf den Clients.

    "Der Zielprinzipalname ist flasch" oder

    "Ein Zertifikatkette wurde zwar verarbeitet, endet jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt; Möchten Sie diesen Server weiterhin verwenden ?"

    Wenn man mit "Ja" bestätigt, funktoniert das Abrufen/Senden der Mails

    Ich hätte nun versucht ein neues EWS Zertigikat auszustellen, und dieses habe ich dann auch wieder Exportiert und auf einem Test Client hinzugefügt zu den Stammzertifikate, aber es brachte keine veränderung, auf dem Test Client. Das alte Zertifikate wurde vom Test Client rausgelöscht.

    Ich such mich schon seit Stunden durch... Finde aber irgendwie keine passende Lösung für mein Problem.

    Montag, 3. Dezember 2012 11:17
  • Hi,

    wie hast Du das Zertifikat erstellt und welche Dienste wurden in das Cert eingebunden?

    Gruß

    Dominik


    Lync-Federation: dominik.hoefling@newcotec.com

    Dienstag, 4. Dezember 2012 12:57
  • Hallo,

    Sorry für die späte Antwort, war leider Krankheitsbedingt aussergefecht.

    Exchange-Verwaltungskonsole -> Serverkonfiguration -> Neues Exchange Zertifikat.

    Zertifkat Dienste zuweisen....

    Dienste: IMAP; POP; IIS; SMTP

    Zertifikat Exportieren.

    Grüße

    Mittwoch, 12. Dezember 2012 13:07
  • Grüße,

    So die Lösung meiner Probleme wurde gefunden und beseitigt.

    Die Lösungen waren simpel. Für das Problem mit dem Zertifikat war, dass keines vom Exchange benötigt wurde, sondern eines vom DC fürn Server. Und siehe da es funktoniert. Ich könnte mich jetzt noch immer ärgern, dass ich darüber gestolpert bin.

    Das Problem vom Exchange Server war auch ein Simples. Die Zeit ist um gebau 5 Minuten ausseinder gelaufen zum DC. Dadurch startet der Dienst für den Informationspeicher nicht. Anfangs sind wird nur durch die Erreignislogs gekommen wo immer die Zeit um 1 Stunde vorgesprungen ist beider Anmeldung und dann wieder zurück. Durch eine analyse des Problems, woher die falsche Zeit kam, stellten wir dann fest das der Lokale DC (Eigener Server) die Zeit nicht von einem Externen Zeitserver bezog, sondern vom BIOS. Da der Exchange auf einem VMware liegt und dieser beim Starten kurzeitig die BIOS Zeit vom VMware Server hernimmt und sich erst später Synchronisert. Wurde der Dienst immer wieder beendet. Man gab nun beiden Systemen (DC und den VMware Server) einen externen Zeitserver an und es funktonierte auf anhieb. Auch wenn des alles sehr Dubios war, jetzt stimmt auf allen System die Zeit und der Exchange funktoniert.

    Ich bedanke mich für die Hilfe und allen Antworten.

    Mittwoch, 9. Januar 2013 12:08
  • Hi The DIXI-Flatline,

    Die Lösungen waren simpel. Für das Problem mit dem Zertifikat war, dass keines vom Exchange benötigt wurde, sondern eines vom DC fürn Server. Und siehe da es funktoniert. Ich könnte mich jetzt noch immer ärgern, dass ich darüber gestolpert bin.

    Meinst du ein Cert der internen CA und was hat das mit dem DC zu tun?

    der Dienst immer wieder beendet. Man gab nun beiden Systemen (DC und den VMware Server) einen externen Zeitserver an und es funktonierte auf anhieb. Auch wenn des alles sehr Dubios war, jetzt stimmt auf allen System die Zeit und der Exchange funktoniert.

    Trotzdem sollten sich virtuelle Server die Zeit NICHT vom Host holen:
    http://www.blog-schulenburg.de/index.php/kategorie-als-blog/92-zeitsynchronisation-in-der-domain

    Das AD sorgt für die Synchronität, wenn es richtig eingerichtet ist.


    Viele Grüße
    Christian

    Mittwoch, 9. Januar 2013 12:16
    Moderator
  • Hi Christian,

    Eine verspätete Antwort.

    Genauer konnte ich es damals noch nicht erklären. Man lernt ja dazu. :)

    Das Problem an sich war ja das beim Booten des Servers die Zeit von ESXi Host geholt hat und sich dann kurz darauf mit dem AD Synchronisiert hat. Man konnte in den Logs auch gut erkennen das auf einmal die zeit um 5+ Minuten sprang. Nachforschungen haben leider nichts ergeben, da anscheinend keiner diese Probleme hatten.

    Seit zwei Jahren macht der Exchange keine Probleme mehr, alles Up to Date mit den Patches. Und auch wenn man glaub es sollte so sein, mußte ich mehr als ein Jahr darauf hinweisen, dass ein Update auf ein Exchange SP3 Rollup X doch sinnvoll wäre.

    Ich bedanke mich jedenfalls nochmals für die Antworten.

    Grüße Ulrich

    Montag, 19. Januar 2015 14:13