emeriks
Goto Top

Get-ExchangeCertificate liefert nichts

Hi,
bei uns liefert das Kommando
Get-ExchangeCertificate
7 Objekte, bei denen alle Eigenschaften leer sind.

Wenn da gar nichts geliefert werden würde, dann könnte ich das ja irgendwie verstehen. Aber "leere" Objekte?

Kennt das jemand?

Exchange Server 2016
Version 15.1 (Build 2507.17)

E.

2023-01-26 14_45_14-window
2023-01-26 14_45_41-window
2023-01-26 14_46_04-window

Content-ID: 5654581991

Url: https://administrator.de/contentid/5654581991

Ausgedruckt am: 18.12.2024 um 18:12 Uhr

lcer00
lcer00 26.01.2023 um 14:59:04 Uhr
Goto Top
Hallo,

ich habe bei einer ganz anderen Sache ein ähnliches Problem (get-childitem remote abgefragt -> keine Dateien gefunden remote, aber lokal schon ). Dort scheint es mit den Berechtigungen zu tun zu haben. Überprüfe mal, ob der ausführende User auf die Details zugreifen kann. Leider liefert die MS-Powershell-Doku keine Details zu den erforderlichen Berechtigungen.

Grüße

lcer
emeriks
Lösung emeriks 26.01.2023 um 15:01:33 Uhr
Goto Top
Vergesst es bitte ...
Man muss für dieses Kommando die PowerShell voll eleviert starten. ("als Administrator").
Dämlich ...
lcer00
lcer00 26.01.2023 um 15:23:15 Uhr
Goto Top
Zitat von @emeriks:

Vergesst es bitte ...
Man muss für dieses Kommando die PowerShell voll eleviert starten. ("als Administrator").
Dämlich ...

Nur interessehalber: Steht das in der Doku?

Grüße

lcer
Doskias
Doskias 26.01.2023 um 15:26:02 Uhr
Goto Top
Ich würde mir bei MS häufiger wünschen, dass wenn PS-Befehle nicht vernünftig funktionieren, da Adminrechte fehlen, das deutlicher angezeigt werden würde und nicht einfach nur leere Zeilen angezeigt werden. Ich hatte das Verhalten schon häufiger, grade da man ja nicht permanent als Administrator bzw. unter Adminrechten arbeitet.
2423392070
2423392070 26.01.2023 um 15:50:03 Uhr
Goto Top
Zitat von @lcer00:

Zitat von @emeriks:

Vergesst es bitte ...
Man muss für dieses Kommando die PowerShell voll eleviert starten. ("als Administrator").
Dämlich ...

Nur interessehalber: Steht das in der Doku?

Grüße

lcer

Da steht meistens RTFM.
emeriks
emeriks 26.01.2023 um 16:53:58 Uhr
Goto Top
Zitat von @lcer00:
Nur interessehalber: Steht das in der Doku?
Keine Ahnung. Ich habe es einfach ausprobiert.
MaceWindu
MaceWindu 06.08.2024 um 11:59:19 Uhr
Goto Top
Ist zwar ein älterer und gelöster Fall. Aber wenn jemand - so wie ich - per Suchmaschine diesen Beitrag findet: ein abgelaufenes Microsoft Exchange Server Auth Certificate produziert ebenfalls eine Nichtanzeige der Zertifikate in der Exchange Management Shell.
Certs sind in der mmc und im ECP vorhanden, werden aber trotz administrativer Start der Shell nicht angezeigt. Weiterer "Nebeneffekt" ist eine Fehlermeldung beim starten der Nachrichtenwarteschlange ("Queue Viewer") in der Exchange Toolbox.

Das war mein Lösungsweg:

Exchange Management Shell:
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()

ACHTUNG! Hier überlegen ob das angezeigte Zertifikat wirklich überschrieben werden soll. Möglicherweise handelt es sich wie bei mir um das IIS/SMTP Zertifikat welches ich noch weiter verwenden will. In diesem Fall also Nein (n).

Nun sieht man im ECP ein zweites „Microsoft Exchange Server Auth Certificate“.


Das neue Zertifikat der Auth-Config zuweisen und veröffentlichen:

Anzeige des aktuellen Status:
Get-AuthConfig

Aktuelles Datum im Objekt speichern:
$now = get-date

Authentifizierungskonfiguration für Exchange festlegen:
Set-AuthConfig -NewCertificateEffectiveDate $now -NewCertificateThumbprint [thumbprint]

Veröffentlichen:
Set-AuthConfig -PublishCertificate

Nächster Befehl sollte das alte Cert löschen. Wenn es irgendwas löscht dann bei mir zumindest nicht das alte Cert im Zertifikatsspeicher…
Set-AuthConfig -ClearPreviousCertificate

Anmerkungen:
- der Thumbprint des neuen Zertifikates kann aus dem mmc Zertifikatsspeicher oder im ECP ausgelesen werden.
- Abfrage wg. Gültigkeitsdatum mit Ja (j) bestätigen
Der „CurrentCertificateThumbprint“ hat sich bei Get-AuthConfig geändert

Microsoft Exchange Host-Dienst neu starten (optional).
Restart-Service "MSExchangeServiceHost"

IIS restarten:
iisreset /restart

Oder OWA und EAC-Anwendungspools restarten:
Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool

Es kann mehrere Stunden dauern bis das neue Zertifikat wirksam wird! Ich hatte bei mir nach etwa 2h wieder angezeigte Zertifikate mit Get-ExchangeCertificate.

Das alte Zertifikat liegt noch im Zertifikatsspeicher. Kann über ECP oder Exchange Shell entfernt werden:
Remove-ExchangeCertificate -Thumbprint <alter_Thumbprint>

Hinweis: In manchen Foren wird empfohlen das alte Zertifikat erst nach einer Woche zu löschen. Einen Tag sollte man sich aber zumindest Zeit lassen. Ein zwischenzeitlicher Restart des Servers schadet außerdem auch selten.