Test-ActiveSyncConnectivity Error nach neuem Zertifikat
Hallo zusammen,
folgendes Problem stellt sich seit gestern bei meinem Exchange 2013 CU15 auf einem Windows Server 2012R2 dar:
Im Zuge der Einbindung eines neuen SAN-Zertifikats von einer gültigen Zertifizierungsstelle und der Einrichtung von Autodiscover usw. bekomme ich beim Cmdlet Test-ActiveSyncConnectivity folgende Ausgabe (und damit Fehlermeldung) zurück:
RunspaceId : c8ce1e04-5e07-4741-83ed-9e60f0d8dd2f
LocalSite : Sitename
SecureAccess : True
VirtualDirectoryName :
Url :
UrlType : Unknown
Port : 0
ConnectionType : Plaintext
ClientAccessServerShortName : mail
LocalSiteShortName : Sitename
ClientAccessServer : server.domain.local
Scenario : Optionen
ScenarioDescription : Geben Sie einen Befehl vom Typ "HTTP OPTIONS" aus, um die Protokollversion von Exchange
ActiveSync abzurufen.
PerformanceCounterName : DirectPush Latency
Result : Fehler
Error : [System.Net.WebException]: Die zugrunde liegende Verbindung wurde geschlossen: Für den
geschützten SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden.. Interner
Fehler [System.Security.Authentication.AuthenticationException]: Das Remotezertifikat
ist laut Validierungsverfahren ungültig.
UserName : extest_8ced6128b3394
StartTime : 18.01.2017 11:45:35
Latency : -00:00:01
EventType : Error
LatencyInMillisecondsString :
Identity :
IsValid : True
ObjectState : New
Die Funktionalität aller Services ist komplett gegeben, die Anbindung der Clients und auch Mobile Devices per ActiveSync/Autodiscover läuft wunderbar. Lediglich dieser Fehler stört mich in meiner Überwachung und ich kann beim besten Willen nichts finden, wie ich das aus der Welt schaffen kann. Eventuell hat einer von euch noch einen Lösungsvorschlag?
folgendes Problem stellt sich seit gestern bei meinem Exchange 2013 CU15 auf einem Windows Server 2012R2 dar:
Im Zuge der Einbindung eines neuen SAN-Zertifikats von einer gültigen Zertifizierungsstelle und der Einrichtung von Autodiscover usw. bekomme ich beim Cmdlet Test-ActiveSyncConnectivity folgende Ausgabe (und damit Fehlermeldung) zurück:
RunspaceId : c8ce1e04-5e07-4741-83ed-9e60f0d8dd2f
LocalSite : Sitename
SecureAccess : True
VirtualDirectoryName :
Url :
UrlType : Unknown
Port : 0
ConnectionType : Plaintext
ClientAccessServerShortName : mail
LocalSiteShortName : Sitename
ClientAccessServer : server.domain.local
Scenario : Optionen
ScenarioDescription : Geben Sie einen Befehl vom Typ "HTTP OPTIONS" aus, um die Protokollversion von Exchange
ActiveSync abzurufen.
PerformanceCounterName : DirectPush Latency
Result : Fehler
Error : [System.Net.WebException]: Die zugrunde liegende Verbindung wurde geschlossen: Für den
geschützten SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden.. Interner
Fehler [System.Security.Authentication.AuthenticationException]: Das Remotezertifikat
ist laut Validierungsverfahren ungültig.
UserName : extest_8ced6128b3394
StartTime : 18.01.2017 11:45:35
Latency : -00:00:01
EventType : Error
LatencyInMillisecondsString :
Identity :
IsValid : True
ObjectState : New
Die Funktionalität aller Services ist komplett gegeben, die Anbindung der Clients und auch Mobile Devices per ActiveSync/Autodiscover läuft wunderbar. Lediglich dieser Fehler stört mich in meiner Überwachung und ich kann beim besten Willen nichts finden, wie ich das aus der Welt schaffen kann. Eventuell hat einer von euch noch einen Lösungsvorschlag?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 326732
Url: https://administrator.de/forum/test-activesyncconnectivity-error-nach-neuem-zertifikat-326732.html
Ausgedruckt am: 07.04.2025 um 15:04 Uhr
22 Kommentare
Neuester Kommentar

ClientAccessServer : server.domain.local
Ihr habt ein Zertifikat mit einer nicht öffentlichen Domain? Halte ich für unwahrscheinlich Prüfe ob wirklich alle URLs stimmen
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Gruß mik

Zitat von @Driphex:
Mit exakt diesem Script habe ich die URLs gesetzt. Siehe Zeile 56 bis 59:
Set-ClientAccessService $ExchangeServer -AutodiscoverServiceInternalUri https://$InternalFQDN/Autodiscover/Autodiscover.xml
Set-ClientAccessServer $ExchangeServer -AutodiscoverServiceInternalUri https://$InternalFQDN/Autodiscover/Autodiscover.xml
Das sind beides die selben Befehle, nur der letztere ist als depricated gekennzeichnet, das erstere der Nachfolger.Mit exakt diesem Script habe ich die URLs gesetzt. Siehe Zeile 56 bis 59:
Set-ClientAccessService $ExchangeServer -AutodiscoverServiceInternalUri https://$InternalFQDN/Autodiscover/Autodiscover.xml
Set-ClientAccessServer $ExchangeServer -AutodiscoverServiceInternalUri https://$InternalFQDN/Autodiscover/Autodiscover.xml
Wenn du hier die interne Domain angegeben hast hast du einen Fehler gemacht.
Denn wenn du intern eine andere URL setzt (*.local )als du im Zertifikat nutzt hast du es falsch konfiguriert.
Wenn interne und externe URLs unterschiedlich konfiguriert werden müssen auch alle genutzten Domains im Zertifikat auftauchen! Ansonsten solltest du beide auf die externe Domain konfigurieren und intern SplitDNS verwenden.
Scheint mir irgendwie etwas paradox. Kannst du etwas dazu sagen?
Ist aber so OK.
Server einmal durchstarten.

Exchange Backend-Website im IIS hat das richtige Zertifikat zugewiesen?

Was sagt das Ergebnis von
https://testconnectivity.microsoft.com ?
Poste auch die Zertifikatsdetails wie Hashing etc. pp..
Lass uns nicht dumm sterben
https://testconnectivity.microsoft.com ?
Poste auch die Zertifikatsdetails wie Hashing etc. pp..
Lass uns nicht dumm sterben

Ich vermute mal das kommt wegen dem
Wenn alles läuft kannst du es vermutlich ignorieren, das wird dann einfach am Zertifikat(CA) liegen was für die Testroutine von Test-Auto... nicht vollständig koscher ist.
Analyzing the certificate chains for compatibility problems with Windows Phone devices.
Potential compatibility problems were identified with some versions of Windows Phone.
Tell me more about this issue and how to resolve it
Additional Details
The certificate is trusted on Windows Phone 7 and later versions. Devices running Windows Mobile 6.0 or earlier may not be able to sync. Root = CN=GeoTrust Primary Certification Authority - G3, OU=(c) 2008 GeoTrust Inc. - For authorized use only, O=GeoTrust Inc., C=US.

Falls du noch eine Idee haben solltest, lass es mich wissen
Och das kann noch eine ganze Menge sein, aber wir kennen hier die Vorgeschichte der Kiste leider nicht, da wird das ein Katz und Mausspiel 
Ich würde mal andere Optionen beim Aufruf benutzen
Hie steht noch mehr
http://practical365.com/exchange-server/activesync-policies-cause-test- ...
Test-ActiveSyncConnectivity -MailboxCredential (Get-Credential) -UseAutodiscoverForClientAccessServer
http://practical365.com/exchange-server/activesync-policies-cause-test- ...

Ich versuche mal, den Server intern unter dem FQDN mit .de erreichbar zu machen.
Öhm das hatte ich doch oben schon vorausgesetzt.
Naja, im DNS gibts eine Zone die intern den Server so auflöst, also maximal ein Workaround.
Das ist kein Workaround, Split-Brain-DNS ist gängige Praxis wenn man intern nicht öffentliche Domain-Namen verwendet.Lesen:
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren/
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-2 ...
https://www.frankysweb.de/exchange-2016-zertifikate-konfigurieren-teil-3 ...
hab mal mit netdom einen zweiten Computernamen hinzugefügt
Nö, das wird dir nichts bringen.Ich würde mal per netsh http show sslcert nachsehen ob sich da noch ein Zertifikat im Speicher tummelt was da nichts mehr verloren hat.