ingrimmsch
Goto Top

ASSERT: HMACPROVIDER - OWA startet nicht

Hallo zusammen,

kleines Problem nach nach Installation des Sicherheitsupdates KB5007409 auf dem Exchange 2013 Server

OWA startet nicht mehr.
Hat jemand einen Tipp für mich?

Content-Key: 1508223807

Url: https://administrator.de/contentid/1508223807

Printed on: May 23, 2024 at 16:05 o'clock

Member: StefanKittel
StefanKittel Nov 15, 2021 at 11:07:56 (UTC)
Goto Top
Member: ingrimmsch
ingrimmsch Nov 15, 2021 at 11:10:12 (UTC)
Goto Top
Das habe ich probiert. Allerdings lassen sich die Scripte nicht ausführen da sie nicht digital Signiert sind.

Ich habe schon versucht diese mit Set-ExecutionPolicy RemoteSigned einzuspielen aber auch ohne erfolg.
Member: DerWoWusste
DerWoWusste Nov 15, 2021 at 11:54:22 (UTC)
Goto Top
https://www.der-windows-papst.de/2021/07/21/assert-hmacprovider-getcerti ... beschreibt das und verlinkt https://www.der-windows-papst.de/2021/03/14/microsoft-exchange-server-au ... was ausklappbar enthält:

New-ExchangeCertificate -KeySize 4096 -PrivateKeyExportable $true -SubjectName “cn= Microsoft Exchange Server Auth Certificate” -DomainName “*.dwp.local” -FriendlyName “Microsoft Exchange Server Auth Certificate” -Services smtp

$date=get-date
Set-AuthConfig -NewCertificateThumbprint E44267F16D478E1435F44BE320496C964CA1FDB0 –NewCertificateEffectiveDate $date
Set-AuthConfig –PublishCertificate

Set-AuthConfig -ClearPreviousCertificate
IISRESET

Nachdem das Zertifikat erstellt und gebunden wurde, kann es vorkommen, das man 1 Stunde warten muss, bis das Zertifkat seine Anwendung findet. Gerade in Hinblick auf das Thema und der Fehlermeldung “ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1”.
Member: ingrimmsch
ingrimmsch Nov 15, 2021 at 12:24:31 (UTC)
Goto Top
Danke dafür.
Dazu hätte ich eine Frage.

Wenn ich mit Get-ExchangCertificate die Zertifikate auslese, sehe ich das es kein Microsoft Exchange Server Auth Certificate gibt

Thumbprint Services Subject
-------- -------
1E34FC1DC45D0EFC971C1CA7A0B8B1613A8CB81C IP.WS.. CN=exchange
C0A1BCA45C479DF4054E4A5EC4682728AA65525C ....... CN=WMSvc-EXCHANGENEU
1E3763AE9B47BFBFD961E264B4D78200C65D1CDE ...WS.. CN=*.firma.com, OU=Domain Control Validated

In dem oben genannten Artikel steht folgendes:

New-ExchangeCertificate -KeySize 4096 -PrivateKeyExportable $true -SubjectName “cn= Microsoft Exchange Server Auth Certificate” -DomainName “*.dwp.local” -FriendlyName “Microsoft Exchange Server Auth Certificate” -Services smtp

$date=get-date
Set-AuthConfig -NewCertificateThumbprint E44267F16D478E1435F44BE320496C964CA1FDB0 –NewCertificateEffectiveDate $date
Set-AuthConfig –PublishCertificate

Set-AuthConfig -ClearPreviousCertificate
IISRESET

Damit würde ich dann doch ein neues Zertifikat dem smtp Services zuweisen oder nicht? Das wäre doch falsch da wir ein Wildcard Zertifikat diesem Dienst zugeordnet haben?

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {*.firma.com, firma.com}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=Starfield Secure Certificate Authority - G2, OU=http://certs.starfieldtech.com/repository/,
                     O="Starfield Technologies, Inc.", L=Scottsdale, S=Arizona, C=US  
NotAfter           : 04.12.2021 14:19:25
NotBefore          : 04.11.2019 14:19:25
PublicKeySize      : 2048
RootCAType         : ThirdParty
SerialNumber       : 00800357CF3A5EAD41
Services           : IIS, SMTP
Status             : Valid
Subject            : CN=*.firma.com, OU=Domain Control Validated
Thumbprint         : 1E3763AE9B47BFBFD961E264B4D78200C65D1CDE
Member: DerWoWusste
DerWoWusste Nov 15, 2021 at 12:29:00 (UTC)
Goto Top
Dann nimm doch den Thumbprint eures Wildcardzertifikates.
Member: ingrimmsch
ingrimmsch Nov 15, 2021 at 12:32:23 (UTC)
Goto Top
Meinst du so?

Enable-ExchangeCertificate -Thumbprint 1E3763AE9B47BFBFD961E264B4D78200C65D1CDE -Services IIS,SMTP

und danach

Set-AuthConfig -ClearPreviousCertificate
IISRESET
Member: DerWoWusste
Solution DerWoWusste Nov 15, 2021 at 12:36:03 (UTC)
Goto Top
Nee,

$date=get-date
Set-AuthConfig -NewCertificateThumbprint 1E3763AE9B47BFBFD961E264B4D78200C65D1CDE –NewCertificateEffectiveDate $date
Set-AuthConfig –PublishCertificate

Set-AuthConfig -ClearPreviousCertificate
IISRESET
Member: ingrimmsch
ingrimmsch Nov 15, 2021 at 12:39:42 (UTC)
Goto Top
Wow es hat tatsächlich funktioniert.
OWA ist nun wieder erreichbar.
Ich teste mal ob alle anderen Dinge noch funktionieren.

Danke erstmal für eure Hilfe.