ingrimmsch
Goto Top

ASSERT: HMACPROVIDER - OWA startet nicht

Hallo zusammen,

kleines Problem nach nach Installation des Sicherheitsupdates KB5007409 auf dem Exchange 2013 Server

OWA startet nicht mehr.
Hat jemand einen Tipp für mich?

Content-ID: 1508223807

Url: https://administrator.de/contentid/1508223807

Ausgedruckt am: 05.11.2024 um 06:11 Uhr

StefanKittel
StefanKittel 15.11.2021 um 12:07:56 Uhr
Goto Top
ingrimmsch
ingrimmsch 15.11.2021 um 12:10:12 Uhr
Goto Top
Das habe ich probiert. Allerdings lassen sich die Scripte nicht ausführen da sie nicht digital Signiert sind.

Ich habe schon versucht diese mit Set-ExecutionPolicy RemoteSigned einzuspielen aber auch ohne erfolg.
DerWoWusste
DerWoWusste 15.11.2021 um 12:54:22 Uhr
Goto Top
https://www.der-windows-papst.de/2021/07/21/assert-hmacprovider-getcerti ... beschreibt das und verlinkt https://www.der-windows-papst.de/2021/03/14/microsoft-exchange-server-au ... was ausklappbar enthält:

New-ExchangeCertificate -KeySize 4096 -PrivateKeyExportable $true -SubjectName “cn= Microsoft Exchange Server Auth Certificate” -DomainName “*.dwp.local” -FriendlyName “Microsoft Exchange Server Auth Certificate” -Services smtp

$date=get-date
Set-AuthConfig -NewCertificateThumbprint E44267F16D478E1435F44BE320496C964CA1FDB0 –NewCertificateEffectiveDate $date
Set-AuthConfig –PublishCertificate

Set-AuthConfig -ClearPreviousCertificate
IISRESET

Nachdem das Zertifikat erstellt und gebunden wurde, kann es vorkommen, das man 1 Stunde warten muss, bis das Zertifkat seine Anwendung findet. Gerade in Hinblick auf das Thema und der Fehlermeldung “ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1”.
ingrimmsch
ingrimmsch 15.11.2021 um 13:24:31 Uhr
Goto Top
Danke dafür.
Dazu hätte ich eine Frage.

Wenn ich mit Get-ExchangCertificate die Zertifikate auslese, sehe ich das es kein Microsoft Exchange Server Auth Certificate gibt

Thumbprint Services Subject
-------- -------
1E34FC1DC45D0EFC971C1CA7A0B8B1613A8CB81C IP.WS.. CN=exchange
C0A1BCA45C479DF4054E4A5EC4682728AA65525C ....... CN=WMSvc-EXCHANGENEU
1E3763AE9B47BFBFD961E264B4D78200C65D1CDE ...WS.. CN=*.firma.com, OU=Domain Control Validated

In dem oben genannten Artikel steht folgendes:

New-ExchangeCertificate -KeySize 4096 -PrivateKeyExportable $true -SubjectName “cn= Microsoft Exchange Server Auth Certificate” -DomainName “*.dwp.local” -FriendlyName “Microsoft Exchange Server Auth Certificate” -Services smtp

$date=get-date
Set-AuthConfig -NewCertificateThumbprint E44267F16D478E1435F44BE320496C964CA1FDB0 –NewCertificateEffectiveDate $date
Set-AuthConfig –PublishCertificate

Set-AuthConfig -ClearPreviousCertificate
IISRESET

Damit würde ich dann doch ein neues Zertifikat dem smtp Services zuweisen oder nicht? Das wäre doch falsch da wir ein Wildcard Zertifikat diesem Dienst zugeordnet haben?

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {*.firma.com, firma.com}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=Starfield Secure Certificate Authority - G2, OU=http://certs.starfieldtech.com/repository/,
                     O="Starfield Technologies, Inc.", L=Scottsdale, S=Arizona, C=US  
NotAfter           : 04.12.2021 14:19:25
NotBefore          : 04.11.2019 14:19:25
PublicKeySize      : 2048
RootCAType         : ThirdParty
SerialNumber       : 00800357CF3A5EAD41
Services           : IIS, SMTP
Status             : Valid
Subject            : CN=*.firma.com, OU=Domain Control Validated
Thumbprint         : 1E3763AE9B47BFBFD961E264B4D78200C65D1CDE
DerWoWusste
DerWoWusste 15.11.2021 um 13:29:00 Uhr
Goto Top
Dann nimm doch den Thumbprint eures Wildcardzertifikates.
ingrimmsch
ingrimmsch 15.11.2021 um 13:32:23 Uhr
Goto Top
Meinst du so?

Enable-ExchangeCertificate -Thumbprint 1E3763AE9B47BFBFD961E264B4D78200C65D1CDE -Services IIS,SMTP

und danach

Set-AuthConfig -ClearPreviousCertificate
IISRESET
DerWoWusste
Lösung DerWoWusste 15.11.2021 um 13:36:03 Uhr
Goto Top
Nee,

$date=get-date
Set-AuthConfig -NewCertificateThumbprint 1E3763AE9B47BFBFD961E264B4D78200C65D1CDE –NewCertificateEffectiveDate $date
Set-AuthConfig –PublishCertificate

Set-AuthConfig -ClearPreviousCertificate
IISRESET
ingrimmsch
ingrimmsch 15.11.2021 um 13:39:42 Uhr
Goto Top
Wow es hat tatsächlich funktioniert.
OWA ist nun wieder erreichbar.
Ich teste mal ob alle anderen Dinge noch funktionieren.

Danke erstmal für eure Hilfe.