8
Zertifikatsproblem bei Activesync und RPC over HTTP, vermutlich nach Installation von KB2798897
Seit dem 23.3. haben wir das Problem, dass über Activesync und RPC over HTTP nichts mehr geht. An diesem Tag wurden verschiedene Updates eingespielt, die ich bis auf KB2798897 aber wieder deinstallieren konnte. Der Fehler bleibt.ExRCA gibt einen Hinweis auf ein Zertifikatsproblem.
am 23.3. wurden
KB2742596, KB2736428, KB890830, KB2756918, KB2742595, KB2758696, KB2758694, KB2778344, KB2736416, KB2753842, KB2807986, KB2742604, KB2809289, KB2797052, KB2799494, KB2780091, KB2789642, KB2789643 und KB2798897
Zeit diesem Zeitpunkt funktioniert der Zugriff von EXTERN über ActiveSync und RPV over HTTP nicht mehr. Beides lt. ExRCA (https://www.testexchangeconnectivity.com/) aus dem gleich Grund:
ExRCA testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Attempting to resolve the host name EXTDOMAIN.de in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: x.x.x.x
Testing TCP port 443 on host EXTDOMAIN.de to ensure it's listening and open.
The port was opened successfully.
Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server EXTDOMAIN.de on port 443.
ExRCA wasn't able to obtain the remote SSL certificate.
The certificate couldn't be validated because SSL negotiation wasn't successful.
This could have occurred as a result of a network error or because of a problem with
the certificate installation.
Leider gibt das Tool keinen Hinweis darauf wie man das wieder hinbiegen kann und ich habe momentan auch keine Idee. Das Zertifikat ist ein "RapidSSL CA"-Zertifikat von GeoTrust und gültig bis 5/2013
Der Server ein Windows Server 2003 Std (aktueller update Stand bis auf oben geschilderte KB)
Der Exchange ist ein Exchange 2003 SP2
Ich konnnte bis auf KB2798897 alle updates deinstallieren, leider ohne Erfolg.
Ich hoffe einer hier hat eine Idee.
Gruß
Andreas
am 23.3. wurden
KB2742596, KB2736428, KB890830, KB2756918, KB2742595, KB2758696, KB2758694, KB2778344, KB2736416, KB2753842, KB2807986, KB2742604, KB2809289, KB2797052, KB2799494, KB2780091, KB2789642, KB2789643 und KB2798897
Zeit diesem Zeitpunkt funktioniert der Zugriff von EXTERN über ActiveSync und RPV over HTTP nicht mehr. Beides lt. ExRCA (https://www.testexchangeconnectivity.com/) aus dem gleich Grund:
ExRCA testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Attempting to resolve the host name EXTDOMAIN.de in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: x.x.x.x
Testing TCP port 443 on host EXTDOMAIN.de to ensure it's listening and open.
The port was opened successfully.
Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server EXTDOMAIN.de on port 443.
ExRCA wasn't able to obtain the remote SSL certificate.
The certificate couldn't be validated because SSL negotiation wasn't successful.
This could have occurred as a result of a network error or because of a problem with
the certificate installation.
Leider gibt das Tool keinen Hinweis darauf wie man das wieder hinbiegen kann und ich habe momentan auch keine Idee. Das Zertifikat ist ein "RapidSSL CA"-Zertifikat von GeoTrust und gültig bis 5/2013
Der Server ein Windows Server 2003 Std (aktueller update Stand bis auf oben geschilderte KB)
Der Exchange ist ein Exchange 2003 SP2
Ich konnnte bis auf KB2798897 alle updates deinstallieren, leider ohne Erfolg.
Ich hoffe einer hier hat eine Idee.
Gruß
Andreas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204388
Url: https://administrator.de/contentid/204388
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Guten Morgen Andreas,
was passiert denn wenn du im Browser https://interneIP/Microsoft-Server-ActiveSync aufrufst, läuft es denn im LAN ohne Probleme? Oder bekommst du hier schon eine Fehlermeldung?
Was sagt denn dein Ereignisprotokoll am Server?
was passiert denn wenn du im Browser https://interneIP/Microsoft-Server-ActiveSync aufrufst, läuft es denn im LAN ohne Probleme? Oder bekommst du hier schon eine Fehlermeldung?
Was sagt denn dein Ereignisprotokoll am Server?
erstmal danke für die schnelle Antowrt:
wenn ich im Browser https://interneIP/Microsoft-Server-ActiveSync aufrufe (also hinter der Firewall im internen Netz) meldet mir der Browser:
There is a problem with this website's security certificate.
(Das passt ja im Grunde zu der ExRCA Fehlermeldung)
ignoriere ich das, so kommt eine login-Anfrage, bzw. nach dem login der http Fehler 501.
HINWEISE:
- Für "Microsoft-Server-ActiveSync" ist im IIS "Sicherer Kanal voraussetzen" und "128-Bit-Verschlüsselung erforderlich" aktiviert.
- Gehe ich per OWA an den Server ran komme ich rein (komisch, da es ja das Selbe Zertifikat sein sollte)
Bezüglich der LOG-Files. Für die Fehlersuche habe ich das logging im IIS aktiviert. Viel Erfahrung habe ich mit den logfiles leider nicht. Mein Problem ist momentan, dass ich die Testversuche (ExRCA) in den Logfiles überhaupt nicht wiederfinde. Ich weiss nur nicht ob ich zu blöd bin oder was die ursache ist.
Ich bin da momentan am probieren...
Gruß
Andreas
wenn ich im Browser https://interneIP/Microsoft-Server-ActiveSync aufrufe (also hinter der Firewall im internen Netz) meldet mir der Browser:
There is a problem with this website's security certificate.
(Das passt ja im Grunde zu der ExRCA Fehlermeldung)
ignoriere ich das, so kommt eine login-Anfrage, bzw. nach dem login der http Fehler 501.
HINWEISE:
- Für "Microsoft-Server-ActiveSync" ist im IIS "Sicherer Kanal voraussetzen" und "128-Bit-Verschlüsselung erforderlich" aktiviert.
- Gehe ich per OWA an den Server ran komme ich rein (komisch, da es ja das Selbe Zertifikat sein sollte)
Bezüglich der LOG-Files. Für die Fehlersuche habe ich das logging im IIS aktiviert. Viel Erfahrung habe ich mit den logfiles leider nicht. Mein Problem ist momentan, dass ich die Testversuche (ExRCA) in den Logfiles überhaupt nicht wiederfinde. Ich weiss nur nicht ob ich zu blöd bin oder was die ursache ist.
Ich bin da momentan am probieren...
Gruß
Andreas
Hallo zusammen,
wenn das Zertifikat nicht abgefragt werden kann - ist es denn im IIS auf der entsprechenden Site auch eingetragen?
Bei mir war es der Fall das das Zertifikat nach dem Update "verschwunden" war. Nach der Reaktivierung lief wieder alles.
Vielleicht hilft das ja
Viele Grüße
wenn das Zertifikat nicht abgefragt werden kann - ist es denn im IIS auf der entsprechenden Site auch eingetragen?
Bei mir war es der Fall das das Zertifikat nach dem Update "verschwunden" war. Nach der Reaktivierung lief wieder alles.
Vielleicht hilft das ja
Viele Grüße
Hallo HappyHippo,
erstmal Danke für den Beitrag.
Wenn ich mich über OWA einlogge klappt es ja und das Zertifikat wird dann auch im Browser
a) angezeigt
b) als gültig bewertet
Nur wenn ich Activesync oder RPC over HTTP versuche klappts nicht und ExRCA gibt den oben genannten Fehler raus.
Zertifikatdienste sind auf dem Server gar nicht installiert. Ich verwende ein externes Zertifikat. Im zertifikatspeicher sind jedoch mittlerweise 2 abgelaufene und das eine noch gültige Zertifikat drin. Entfernt man das Zertrifgikat im IIS von der Seite und fügt es wieder hinzu bekommt man die alle drei angeboten. Der Fehler bleibt leider dabei unberührt.
Gibts sonst noch eine andere Stelle an der ich schauen müsste?
Gruß
Andreas
erstmal Danke für den Beitrag.
Wenn ich mich über OWA einlogge klappt es ja und das Zertifikat wird dann auch im Browser
a) angezeigt
b) als gültig bewertet
Nur wenn ich Activesync oder RPC over HTTP versuche klappts nicht und ExRCA gibt den oben genannten Fehler raus.
Zertifikatdienste sind auf dem Server gar nicht installiert. Ich verwende ein externes Zertifikat. Im zertifikatspeicher sind jedoch mittlerweise 2 abgelaufene und das eine noch gültige Zertifikat drin. Entfernt man das Zertrifgikat im IIS von der Seite und fügt es wieder hinzu bekommt man die alle drei angeboten. Der Fehler bleibt leider dabei unberührt.
Gibts sonst noch eine andere Stelle an der ich schauen müsste?
Gruß
Andreas
Was für deine Fehlermeldung bekommst du denn genau ? There is a problem with this website's security certificate.
Das sagt ja nicht wirklich was los ist, im IE oben kann man auf Zertifikat anzeigen und hier bringt er was los ist..
Das sagt ja nicht wirklich was los ist, im IE oben kann man auf Zertifikat anzeigen und hier bringt er was los ist..
Die Fehlermeldung gibt der ExRCA aus und ich stimme voll zu: damit kann (ich) nicht wirklich was anfangen.
Der Browser hat an der Stelle mit dem Zertifikat (soweit ich weiss) gar nichts zu tun.
Das ist anders wenn ich über OWA an den Server rangehe. Dann nimmt sozusagen der Browser direkten Kontakt mit dem Exchange Server auf. Das klapp (wie oben gecshrieben) auch ohne Probleme und vor allem ohne Zertifikatfehler. Aus diesem Grunde verstehe ich halt umso mehr überhaupt nicht waruim Activesync und RPC over HTTP lt. ExRCA-Test aufgrund des SSL Zertifikates den Dienst verweigern.
Gruß
Andreas
Der Browser hat an der Stelle mit dem Zertifikat (soweit ich weiss) gar nichts zu tun.
Das ist anders wenn ich über OWA an den Server rangehe. Dann nimmt sozusagen der Browser direkten Kontakt mit dem Exchange Server auf. Das klapp (wie oben gecshrieben) auch ohne Probleme und vor allem ohne Zertifikatfehler. Aus diesem Grunde verstehe ich halt umso mehr überhaupt nicht waruim Activesync und RPC over HTTP lt. ExRCA-Test aufgrund des SSL Zertifikates den Dienst verweigern.
Gruß
Andreas
Der Browser, erzählt dir / uns aber warum er mit dem Zertifikat Probleme hat und darum geht es ja erst mal .
der Browser hat (z.B. bei Outlook Web Access) kein Problem mit dem Zertifikat.
Das Problem hat nur ExRCA (https://www.testexchangeconnectivity.com/) und da sieht die Fehlerausgabe wie folgt aus:
ExRCA testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Attempting to resolve the host name EXTDOMAIN.de in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: x.x.x.x
Testing TCP port 443 on host EXTDOMAIN.de to ensure it's listening and open.
The port was opened successfully.
Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server EXTDOMAIN.de on port 443.
ExRCA wasn't able to obtain the remote SSL certificate.
The certificate couldn't be validated because SSL negotiation wasn't successful.
This could have occurred as a result of a network error or because of a problem with
the certificate installation.
Gruß
Andreas
Das Problem hat nur ExRCA (https://www.testexchangeconnectivity.com/) und da sieht die Fehlerausgabe wie folgt aus:
ExRCA testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Attempting to resolve the host name EXTDOMAIN.de in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: x.x.x.x
Testing TCP port 443 on host EXTDOMAIN.de to ensure it's listening and open.
The port was opened successfully.
Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server EXTDOMAIN.de on port 443.
ExRCA wasn't able to obtain the remote SSL certificate.
The certificate couldn't be validated because SSL negotiation wasn't successful.
This could have occurred as a result of a network error or because of a problem with
the certificate installation.
Gruß
Andreas
