none
Certificat Exchange Ok Mais statu Revocation test failed, pb sur le 2m noued

    Question

  • Bonjour 

    nous avons exchange 2013 avec Trois bases , certificat déployés sans pb , expire 2020, mais des que les bases basculent sur le 2em noued , le outloook ne repond pas pb de  certificat sachnat que le certificat est bien installé 

    nous avons essayer l'article ci-dessous mais le meme soucis 

    https://www.urtech.ca/2017/01/solved-apply-one-certificate-two-exchange-servers/

    en check de solution sur cet article https://blogs.technet.microsoft.com/bshukla/2012/04/30/certificate-revocation-checked-failed/

    des idées svp ? 

    merci d'avance 


    Partager C'est avancer : Votez!SVP

    jeudi 7 juin 2018 08:04

Toutes les réponses

  • Bonjour 

    je viens dse voir ce lien a tester aussi 

    https://www.petenetlive.com/KB/Article/0001121

    slts 


    Partager C'est avancer : Votez!SVP

    jeudi 7 juin 2018 08:10
  • Bonjour,

    il vous fautvérifier que le certificat a bien été renouvelle sur les 3 serveurs que que le service IIS est bien associé au nouveau certificat.

    Ensuite, il vous faut vérifier que vous avez également mis à jour le certificat sur votre équipement réseau qui assure la haute disponibilité. (HLB)


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 7 juin 2018 08:18
  • Bonjour 

    nous avons trois bases et deux serveurs, le certificat a bien ete instalé , sur le 1er server pas de pb de certificat sur outlook sauf le 2em mais nous avons le meme message de révocation sur les deux serveurs 

    je vais tester la solution sur l'article https://www.petenetlive.com/KB/Article/0001121  apres validation du changement :)

    slts


    Partager C'est avancer : Votez!SVP

    jeudi 7 juin 2018 08:28
  • Bonjour Matteu

    je vais profiter de votre gentillesse et support encore une fois :) 

    le temps d'avoir la validation pour le change a tester, j'ai vérifie iis sur les deux server , on vois bien les deux certificats identiques meme config 

    j'ai cherché la config nlb sur les deux serveurs j'ai rien trouvé , je viens d'intégré une new entreprise donc j'ai pas toutes les données en main :( 

    que dois je vérifie encore plz ? 

    merci d'avance 


    Partager C'est avancer : Votez!SVP

    jeudi 7 juin 2018 10:45
  • Il faut regarder vers quelle URL pointe l'autodiscover ou l'owa et faire un ping pour voir l'équipement qui répond. a partir de là voir à quoi cela correspond.

    Par contre, le fait que cela ne se produit que sur un seul serveur ne me fait pas spécialement penser au HLB au final...

    Le certificat porte quels noms ? c'est un SAN ou wildcard ? si SAN il a quoi comme noms ?

    Je suis désolé, mais sur exchange je suis très loin d'être un expert, je comprends juste quelque mécanisme de base.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 7 juin 2018 12:02
  • Merci Matteu deja pour Kms et autres :)

    model > Certificat-Wild

    en check 


    Partager C'est avancer : Votez!SVP

    jeudi 7 juin 2018 13:15
  • Bonjour 

    Dommage nous avons essayer la solution sur l'article https://www.petenetlive.com/KB/Article/0001121 mais sans succes :( 

    des idées les experts exchnages svp ? 

    merci d'avance 


    Partager C'est avancer : Votez!SVP

    vendredi 8 juin 2018 13:27
  • Il faudrait savoir quel est ce certificat qui vous est présenté ? Ca pourrait aider...

    Encore une fois, pour les certificat, ils sont présent sur le load balancer + les serveurs exchanges uniquement donc le problème se situe à ce niveau.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    vendredi 8 juin 2018 13:30
  • Bonjour,

    Effectivement, il faudrait transmettre un screen du message d'erreur qui apparait. Le message de révocation apparait-il sur les 2 serveurs ? D'experience, les règles de filtrages peuvent impacter la validation du certificat.


    Laute El Manssouri | Blog: http://technet365.fr

    vendredi 8 juin 2018 13:34
  • Bonjour 

    le message apparaît sur les deux serveurs 

    capture du server2 


    Partager C'est avancer : Votez!SVP

    vendredi 8 juin 2018 14:51
  • Bonjour 

    sur le principal capture ci dessous 



    Partager C'est avancer : Votez!SVP

    vendredi 8 juin 2018 14:55
  • Bonjour 

    pour info j'ai lancé la commande Enable-ExchangeCertificate -Thumbprint sur le ID du certificat qui affiche revoction

    j'ai basculé les bases pas de déconnexion, mais comme j'ai pas de pc de test devant moi je ne peux pas dire que c'est ok

    y a t il un moyen d'installer le bon certificat sur principale sur les pc car j'ai fais des manip import/export de certi sur mon laptopn manuellement

    https://docs.microsoft.com/en-us/powershell/module/exchange/encryption-and-certificates/Enable-ExchangeCertificate?view=exchange-ps


    Partager C'est avancer : Votez!SVP

    vendredi 8 juin 2018 14:57
  • j'ajoute le message d'erreur qui avait lors du basculement des bases 

    Partager C'est avancer : Votez!SVP

    vendredi 8 juin 2018 15:05
  • Sur les certificats qui apparaissent sur la console combien ont le service IIS d'affecté ?

    Laute El Manssouri | Blog: http://technet365.fr

    vendredi 8 juin 2018 15:30
  • Celui avec le msg revocation et Microsoft Exchange sur le srv principal et sur le SRV backup 

    Partager C'est avancer : Votez!SVP

    vendredi 8 juin 2018 15:37
  • Très bien en OWA, quel est le certificat qui est affiché au moment de la bascule sur le serveur posant problème ? Est-t-il le même que celui du serveur n'ayant pas de soucis ? Avez-vous un load balancer ?

    Si le même certificat est utilisé sur les 2 serveurs et que le même message de révocation apparait sur les 2 serveurs le phénomène devrait être identique.


    Laute El Manssouri | Blog: http://technet365.fr

    vendredi 8 juin 2018 15:49
  • Bonjour; 

    nous n'avons pas de souci sur le OWA lors du basculement des bases , le pb est juste sur le client outlook 

    slts 


    Partager C'est avancer : Votez!SVP

    dimanche 10 juin 2018 07:01
  • Bonsoir,

    la vérification de révocation consiste à accéder aux serveurs d'autorités intermédiaires et racines sur le port 80.

    Y a t-un proxy utilisé sur les stations? sur les serveurs Exchange?

    L'ensemble de ces machines a t-il un accès identique au protocole HTTP/80 et aux serveurs distants?

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    dimanche 10 juin 2018 20:49
    Modérateur
  • Bonjour 

    Nous n'avons pas de server de proxy ni sur exchange ni sur  stations, config sur all parc, 

    des idées svp , :( 

    merci d'avance 


    Partager C'est avancer : Votez!SVP

    mardi 12 juin 2018 07:17
  • Bonjour 

    penssez vous que je dois faire le test sur le lien http://msexchangeguru.com/2012/11/12/certificate-revocation/

     "certutil -urlcache crl delete,  certutil -urlcache ocsp delete"

    slts 


    Partager C'est avancer : Votez!SVP

    mardi 12 juin 2018 07:21
  • Bonjour,

    s'agit-il d'un certificat public (acheté/obtenu auprès d'une autorité reconnue)?

    Les serveurs et stations sont-ils mis à jour régulièrement?

    N'hésitez pas à retirer les certificats périmés sur Exchange.

    A+


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mardi 12 juin 2018 08:11
    Modérateur
  • Bonjour 

    c'est un certificat acheté chez un fournisseur de certificat , les pc sont mis  a jours weekly, exchange a la demande vu que c'est critique comme platforme 

    slts


    Partager C'est avancer : Votez!SVP

    mardi 12 juin 2018 08:28
  • Bonjour

    une betise....... j'ai supprimé le certificat sur le 2em server afin de le régénérer, mais je ne trouve pas le pwd du pfx :( comment restorer le certtificat le temps demander le pwd ? 

    slts 


    Partager C'est avancer : Votez!SVP

    mardi 12 juin 2018 10:24
  • Bonjour,

    Il suffit de vous rendre dans le magasin de certificat du premier serveur puis d'exporter le certificat avec la clé privée.


    Laute El Manssouri | Blog: http://technet365.fr

    • Marqué comme réponse Nabil-IT mardi 12 juin 2018 11:15
    • Non marqué comme réponse Nabil-IT mardi 12 juin 2018 13:03
    mardi 12 juin 2018 11:10
  • Laute, 

    Merciiiiiiii, vous me sauvez la vie   ouffffff , le certificat est sur la console  avec status revocation   ouffff 

    merciiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii



    Partager C'est avancer : Votez!SVP

    mardi 12 juin 2018 11:17
  • Hello,

    le certificat précédent devait être incomplet!

    Avec un peu de chances, lors de l'exportation du certificat du 1er serveur, la sélection de toute la hiérarchie de certificats a été faite.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    mardi 12 juin 2018 12:27
    Modérateur
  • Hello, une autres vitrifications en cours , le 2em server est en décalage de 5mn sur les ntp et le 1server exchange, qui est en vm

    je viens de les synchroniser , en attente !

    merci


    Partager C'est avancer : Votez!SVP

    mardi 12 juin 2018 12:30
  • Bonjour,

    La on est sur un soucis complètement différent.

    Je vous invite à suivre les recommendation de ce sujet : https://matteu31.wordpress.com/2017/04/10/synchronisation-ntp-domaine-ad/

    Il faut que le PDC soit synchronisé sur une source externe, tous les autres postes doivent êtres configurés en NT5DS. C'est la configuration par défaut où les postes vont chercher à joindre un DC pour se synchroniser.

    Attention dans les VM selon le paramètrage effectué au niveau de la syncho horloge des tools/services intégration.

    Pour hyper-v il n'est pas recommandé de les désactiver. Il faut toutefois modifier une clé de registre sur les DCs si l'on souhaite le laisser activer.

    reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

    https://blogs.msdn.microsoft.com/virtual_pc_guy/2010/11/19/time-synchronization-in-hyper-v/


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    mardi 12 juin 2018 12:54
  • Merci matteu,

    oui je suis d'accords avec vous,  sur un forum, un utilisateur avait le même message Revocation check failed, après vérification sur notre plateform,  il y  avait un pb de shync des srv, sur la sur la Vm n'etait pas syhcro avec le pdc, now c'est réglé pour le time mais tjr même soucis sur le status de revocation, 

    Je suis perdu L



    Partager C'est avancer : Votez!SVP

    mardi 12 juin 2018 13:01
  • Bonjour 

    penssez vous que je dois faire le test sur le lien http://msexchangeguru.com/2012/11/12/certificate-revocation/

     "certutil -urlcache crl delete,  certutil -urlcache ocsp delete"   ? 

    slts 


    Partager C'est avancer : Votez!SVP

    mardi 12 juin 2018 13:04
  • Bonjour 

    des idées svp, concernant ma question , dois je faire le test, pour ai e avoir un souci si je lance les commandes 

    certutil -urlcache crl delete,  certutil -urlcache ocsp delete"    ==> http://msexchangeguru.com/2012/11/12/certificate-revocation/

    Merci 


    Partager C'est avancer : Votez!SVP

    mercredi 13 juin 2018 06:54
  • Bonjour,

    Si on reprend, actuellement vous avez au niveau des certificats de la console : revocation check failed

    et au niveau du client outlook une erreur de certificat.

    Au niveau du client outlook, pouvez vous faire afficher le certificat quand il y a l'erreur svp et faire un imprime écran du premier et dernier onglet ainsi que la partie CRL ( https://ammarhasayen.com/2015/06/22/exchange-2013-certificate-revocation-failed/ )? Cela pourrait donner des informations pour vous aider à avancer.

    Sinon vous pouvez également tester ces articles en attendant notre retour suite aux imprimes écran

    https://practical365.com/exchange-server/exchange-2010-certificate-revocation-checks-and-proxy-settings/

    https://blogs.technet.microsoft.com/bshukla/2012/04/30/certificate-revocation-checked-failed/


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    mercredi 13 juin 2018 06:58
  • Bonjour Merci matteu pour le retour, 

    pour le moment , nous avons toujours le statu revocation sur la console exchange, malheureusement je ne peux pas basculé pour le moment les bases sur l'autres server pour voir si le message apparaît sur les clients 

    concernant cette article nous n'avons pas de proxy ==>https://practical365.com/exchange-server/exchange-2010-certificate-revocation-checks-and-proxy-settings/

    lien introuvable ==>https://ammarhasayen.com/2015/06/22/exchange-2013-certificate-revocation-failed/

    est ce que lkes commande de delete  url cash n'a pas d'incidence sur l'infra exchange ==>https://blogs.technet.microsoft.com/bshukla/2012/04/30/certificate-revocation-checked-failed/

    merci encore pour votre support 


    Partager C'est avancer : Votez!SVP

    mercredi 13 juin 2018 07:26
  • Bonjour 

    1. Open up command prompt as Administrator ==> ok 
    2. Run “sc create testsvc binpath= "cmd /K start" type= own type= interact”==>ok 
      • This creates testsvc service which will run as local system and allow interaction with desktop
    3. Run “sc start testsvc”==>ok 
      • The error “[SC] StartService failed 1053” is expected and can be ignored safely
    4. Locate “Interactive Services Detection” icon blinking in the taskbar and click “view message” ==> Comment faire , je ne trouve pas l'option view message 
    5. You are now in a command prompt window running as Local System and you will not see your desktop. The only other visible 

    merci 


     


    Partager C'est avancer : Votez!SVP

    mercredi 13 juin 2018 07:43
  • Bon à la limite, cette méthode la pour avoir un accés en tant que compte système je ne connais absolument pas.

    Vous pouvez plutot utilisez psexec en téléchargant les pstools :

    https://docs.microsoft.com/en-us/sysinternals/downloads/pstools

    Vous décompressez

    Vous exécutez ensuite une invite de commande et vous entrez dans le répertoire pstools

    vous exécutez : psexec -s -i cmda partir de la ca doit vous ouvrir une nouvelle invite de commande.

    dans cette nouvelle invite vous ecrivez whoami et ca doit vous mettre system je crois

    Ensuite vous pouvez continuez l'article. Vous etes dans cette invite de commande connecté en tant que comme machine


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mercredi 13 juin 2018 07:48
  • Merci :) , on va patienter le temps de réplications  


    Partager C'est avancer : Votez!SVP

    mercredi 13 juin 2018 08:02
  • Bonjour 

    meme message d'erreur :( , 

    slts


    Partager C'est avancer : Votez!SVP

    mercredi 13 juin 2018 10:15
  • En voyant les certificat, on aura peut etre plus d'information

    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    mercredi 13 juin 2018 10:42
  • sur les clienst si le message apparaît ? 

    Partager C'est avancer : Votez!SVP

    mercredi 13 juin 2018 10:43