5
Exchange 2016 - EventID 12023
Hallo,
folgende Problematik:
- 2 Exchange Server (2016) im DAG Cluster
Nach einem Zertifikatsautausch der Exchange Server erhalte ich die Meldung im eventvwr:
Über PS> Get-Exchangecertificate sehe ich das neue Zertifikat mit der entsprechender Gütigkeit, das alte Zertifikat kann ich nirgends finden (auch nicht per PS). In der ECP wird auch das richtige Zertifikat angezeigt (auch gültig).
Was ich bisher gemacht habe:
1. Recherchiert
2. Die Dienste komplett neu zugewiesen per PS
PS> Enable-ExchangeCertificate %NEWTHUMBPRINT %-Services None und danach die Dienste neu zugewiesen. Ohne Erfolg.
Das Zertifikat habe ich über certmgr (computerkonto) von unserer eigenen CA angefordert (was ja scheinbar auch geklappt hat).
Mein Frage ist nun, wie bekomme ich die Warnung weg? Kann es Probleme verursachen, auch wenn ich das richtige Zertifikat sehe?
Vielen Dank!
folgende Problematik:
- 2 Exchange Server (2016) im DAG Cluster
Nach einem Zertifikatsautausch der Exchange Server erhalte ich die Meldung im eventvwr:
Microsoft Exchange could not load the certificate with thumbprint of %OLDTHUMBRINT% from the personal store on the local computer. This certificate was configured for authentication with other Exchange servers. Mail flow to other Exchange servers could be affected by this error. If the certificate with this thumbprint still exists in the personal store, run Enable-ExchangeCertificate %OLDTHUMBPRINT%-Services SMTP to resolve the issue. If the certificate does not exist in the personal store, restore it from backup by using the Import-ExchangeCertificate cmdlet, or create a new certificate for the FQDN or the server enabled for SMTP by running the following command: New-ExchangeCertificate -DomainName serverfqdn -Services SMTP. Meanwhile, the certificate with thumbprint %NEWTHUMBPRINT% is being used." Über PS> Get-Exchangecertificate sehe ich das neue Zertifikat mit der entsprechender Gütigkeit, das alte Zertifikat kann ich nirgends finden (auch nicht per PS). In der ECP wird auch das richtige Zertifikat angezeigt (auch gültig).
Was ich bisher gemacht habe:
1. Recherchiert
2. Die Dienste komplett neu zugewiesen per PS
PS> Enable-ExchangeCertificate %NEWTHUMBPRINT %-Services None und danach die Dienste neu zugewiesen. Ohne Erfolg.
Das Zertifikat habe ich über certmgr (computerkonto) von unserer eigenen CA angefordert (was ja scheinbar auch geklappt hat).
Mein Frage ist nun, wie bekomme ich die Warnung weg? Kann es Probleme verursachen, auch wenn ich das richtige Zertifikat sehe?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 591678
Url: https://administrator.de/contentid/591678
Printed on: April 25, 2024 at 13:04 o'clock
5 Comments
Latest comment
Moin,
Du hast diese Befehle auf beiden Exchange-Server ausgeführt?
Gruß,
Dani
- 2 Exchange Server (2016) im DAG Cluster
Aktueller CU installiert? PS> Enable-ExchangeCertificate %NEWTHUMBPRINT %-Services None und danach die Dienste neu zugewiesen. Ohne Erfolg.
nur um sicher zu gehen, dass wir alle den gleichen Informationsstand haben.Du hast diese Befehle auf beiden Exchange-Server ausgeführt?
Enable-ExchangeCertificate -Thumbprint "thumbprint" -Services None
Enable-ExchangeCertificate -Thumbprint "thumbprint" -Services SMTP, IIS, IMAP, POP Das Zertifikat habe ich über certmgr (computerkonto) von unserer eigenen CA angefordert (was ja scheinbar auch geklappt hat).
Hast du dies auf beiden Exchange-Server der DAG durchgeführt oder wie bist du vorgegangen?Gruß,
Dani
Moin Dani,
ja, aktueller CU installiert.
Exakt, habe den Befehl auf beiden Servern ausgeführt (einer hat SMTP,POP,IMAP und der andere IMAP,POP).
Ja, habe das Zertifikat auf beiden Exchanges angefordert und aktualisiert.
Wie gesagt, überall ist das Zertifikat "gültig" (ECP, Exchange Management Shell). Das alte Zertifikat finde ich nirgends.
Danke.
ja, aktueller CU installiert.
Exakt, habe den Befehl auf beiden Servern ausgeführt (einer hat SMTP,POP,IMAP und der andere IMAP,POP).
Ja, habe das Zertifikat auf beiden Exchanges angefordert und aktualisiert.
Wie gesagt, überall ist das Zertifikat "gültig" (ECP, Exchange Management Shell). Das alte Zertifikat finde ich nirgends.
Danke.
Moin,
Gruß,
Dani
Ja, habe das Zertifikat auf beiden Exchanges angefordert und aktualisiert.
Hm. Wir haben bis dato auf einem Management Server das Zertifikat mit allen notwendigen DNS-Namen angefordert. Anschließend auf den Exchange-Servern der DAG importiert und gewiesen. Das hat bis dato immer funktioniert. Wie gesagt, überall ist das Zertifikat "gültig" (ECP, Exchange Management Shell). Das alte Zertifikat finde ich nirgends.
has du sicherheitshalber die Exchange Dienste bzw. Windows Server neu gestartet?Gruß,
Dani
Hm. Wir haben bis dato auf einem Management Server das Zertifikat mit allen notwendigen DNS-Namen angefordert. Anschließend auf den Exchange-Servern der DAG importiert und gewiesen. Das hat bis dato immer funktioniert.
Neues Zertifikat angefordert oder bestehendes verlängert?has du sicherheitshalber die Exchange Dienste bzw. Windows Server neu gestartet?
ja, habe ich. (mehrfach aus anderen Gründen)
Moin,
Ich überlege gerade, ob die unterschiedlichen Fingerprints der neuen Zertifikate die Ursache sind?!
Bei anderen Diensten wie z.B. AD FS oder RDS Gateway/Connection Broker muss auf allen Nodes im Clustr das Zertifikat den selben Fingerprint haben.
Gruß,
Dani
Neues Zertifikat angefordert oder bestehendes verlängert?
welche Alternative gibt es, wenn ein Zertifikat abläuft? Klar wird ein neues Zertifikat angefordert, aber mit dem selben Schlüssel.Ich überlege gerade, ob die unterschiedlichen Fingerprints der neuen Zertifikate die Ursache sind?!
Bei anderen Diensten wie z.B. AD FS oder RDS Gateway/Connection Broker muss auf allen Nodes im Clustr das Zertifikat den selben Fingerprint haben.
Gruß,
Dani
