Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange Server erhält keine Mails mehr, Zertifikat abgelaufen Sites

Frage Microsoft Exchange Server

Mitglied: KellogsFR

KellogsFR (Level 1) - Jetzt verbinden

30.10.2013 um 15:02 Uhr, 8182 Aufrufe, 3 Kommentare

Hallo zusammen,

seit ein paar Tagen haben wir auf unserem Exchange Server 2010, der auf einem Small Business Server 2011 läuft, das Problem, dass bei den Clients die Meldung auftaucht, ein Zertifikat sei abgelaufen bzw. noch nicht gültig. Dieser der Fehler ist bekannt, da es sich um das Site der Digital handelt, welches vom Server bei der Installation selbst erstellt wurde und auch vom Server selbst signiert ist.
Normalerweise stellt das ja kein Problem dar, da man ja nur die Windows Small Business Server 2011 Standardkonsole öffnen muss um dort das Zertifikat wieder zu erstellen bzw. zu verlängern. Wie man im Internet nachlesen kann findet man unter dem Punkt Netzwerk/Konnektivität beheben von Netzwerkproblemen auf der rechten Seite unterhalb der Tasks. Dies habe ich auch getan, und es dauert eine Weile, bis der Assistent durchgelaufen ist.

aabe85720fc5f99c38c9ff2124845839 - Klicke auf das Bild, um es zu vergrößern
Bild 001

Irgendwann, meldet der Assistent, dass es potentielle Netzwerkprobleme geben würde, die er beheben möchte.
510d8ad1845b7e513c2821c3bb618a3a - Klicke auf das Bild, um es zu vergrößern
Bild 002
klicke ich hier auch weiter, erscheint folgender Dialog
46cb4de276448f7de23402a72be86c9b - Klicke auf das Bild, um es zu vergrößern
Bild 003

da ich diesen Vorgang natürlich beenden möchte, klicke ich hier auf weiter, jedoch kann der Assistent die ausgewählten Netzwerkprobleme nicht beheben, und beendet sich mit der folgenden Fehlermeldung.
436fed94728720d566e2d861673016db - Klicke auf das Bild, um es zu vergrößern
Bild 004
was bleibt ist, dass man auf Fertigstellen klickt. Was mich dabei wundert ist, dass bei einem früheren Versuch, das Netzwerk Problem mit dem SMTP Connector als gelöst angezeigt wurde.

Da ich dieses Problem bereits schon einmal gehabt habe und mit diesen Schritten lösen konnte, verwundert mich dies. Der Router, der in der Fehlermeldung angezeigt wird, ist eigentlich eine Firewall, welche die Mails per POP3 abholt und von dort aus an den Exchange Server weiterleitet. Dies hat auch bis heute gut funktioniert. Seit ich aber diese Netzwerkprobleme versucht habe zu beheben, funktioniert das nicht mehr. Im Lok der Firewall erscheint folgende Meldung:

<16>2013 Oct 30 14:27:42 cbs postfix/error[24586]: 8BF84FDA528: to=<Benutzername@domain.de>, relay=none, delay=14978, delays=14977/0.67/0/0.25, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:42 cbs postfix/cleanup[24564]: 0E57EFDA59E: message-id=<20131030132743.0E57EFDA59E@cbs.domain.local>
<16>2013 Oct 30 14:27:43 cbs postfix/error[24571]: 00C02FDA54C: to=<Benutzername@domain.de>, relay=none, delay=74388, delays=74387/0.84/0/0.09, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/error[24588]: 0781CFDA457: to=<INFO@domain.de>, relay=none, delay=78321, delays=78321/0.84/0/0.1, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/cleanup[24597]: 1B8B2FDA5A6: message-id=<20131030132743.1B8B2FDA5A6@cbs.domain.local>
<16>2013 Oct 30 14:27:43 cbs postfix/bounce[24566]: 48F5AFDA522: sender delay notification: E8C3DFDA593
<16>2013 Oct 30 14:27:43 cbs postfix/error[24568]: 65243FDA4E8: to=<Benutzername@domain.de>, relay=none, delay=14979, delays=14978/0.81/0/0.19, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/error[24569]: 64549FDA4BD: to=<INFO@domain.de>, relay=none, delay=94062, delays=94061/0.81/0/0.19, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/error[24573]: 66E54FDA235: to=<INFO@domain.de>, relay=none, delay=25247, delays=25246/0.82/0/0.18, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/error[24575]: 1CEB0FDA47E: to=<INFO@domain.de>, relay=none, delay=81965, delays=81964/0.81/0/0.18, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/error[24577]: 15C06FDA492: to=<Benutzername@domain.de>, relay=none, delay=14979, delays=14978/0.81/0/0.18, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/error[24583]: 0C873FDA50D: to=<INFO@domain.de>, relay=none, delay=1643, delays=1642/0.81/0/0.18, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/error[24590]: DB076FDA49C: to=<Benutzername@domain.de>, relay=none, delay=14071, delays=14070/0.81/0/0.19, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/error[24593]: 6659CFDA3F6: to=<Benutzername@domain.de>, relay=none, delay=18608, delays=18607/0.81/0/0.19, dsn=4.7.0, status=deferred (delivery temporarily suspended: SASL authentication failed: server 192.168.16.5[192.168.16.5] offered no compatible authentication mechanisms for this type of connection security)
<16>2013 Oct 30 14:27:43 cbs postfix/cleanup[24585]: 23DDDFDA5AA: message-id=<20131030132743.23DDDFDA5AA@cbs.domain.local>
<16>2013 Oct 30 14:27:43 cbs postfix/bounce[24589]: 8BF84FDA528: sender delay notification: 1B8B2FDA5A6
<16>2013 Oct 30 14:27:43 cbs postfix/cleanup[24597]: 286CAFDA5AB: message-id=<20131030132743.286CAFDA5AB@cbs.domain.local>
<16>2013 Oct 30 14:27:43 cbs postfix/qmgr[22785]: 0E57EFDA59E: from=<>, size=4378, nrcpt=1 (queue active)
<16>2013 Oct 30 14:27:43 cbs postfix/qmgr[22785]: 1B8B2FDA5A6: from=<>, size=4084, nrcpt=1 (queue active)
<16>2013 Oct 30 14:27:43 cbs postfix/bounce[24574]: 8D467FDA429: sender delay notification: 0E57EFDA59E
<16>2013 Oct 30 14:27:43 cbs postfix/bounce[24572]: 15C06FDA492: sender delay notification: 286CAFDA5AB
<16>2013 Oct 30 14:27:43 cbs postfix/qmgr[22785]: 23DDDFDA5AA: from=<>, size=4897, nrcpt=1 (queue active)
<16>2013 Oct 30 14:27:43 cbs postfix/bounce[24576]: 65243FDA4E8: sender delay notification: 23DDDFDA5AA
<16>2013 Oct 30 14:27:43 cbs postfix/qmgr[22785]: 286CAFDA5AB: from=<>, size=4051, nrcpt=1 (queue active)
<16>2013 Oct 30 14:27:43 cbs postfix/smtp[24558]: B1CEAFDA597: to=<Benutzername@t-online.de>, relay=smtp.1und1.de[212.227.15.183]:25, delay=0.69, delays=0.16/0.07/0.16/0.3, dsn=2.0.0, status=sent (250 Message 0Lzrgx-1VgRie0VYx-014HfC accepted by mrbap4.kundenserver.de)
<16>2013 Oct 30 14:27:43 cbs postfix/qmgr[22785]: B1CEAFDA597: removed
<16>2013 Oct 30 14:27:43 cbs postfix/smtp[24560]: E8C3DFDA593: to=<Benutzername@t-online.de>, relay=smtp.1und1.de[212.227.15.183]:25, delay=0.48, delays=0.01/0/0.18/0.29, dsn=2.0.0, status=sent (250 Message 0MNvNj-1VZb4G0Ztz-007CTw accepted by mrbap2.kundenserver.de)


Offensichtlich ist der Exchange Server nicht mehr in der Lage, die E-Mails, die von der Firewall geliefert werden, anzunehmen. Meiner Meinung nach hängt das nicht mit dem Zertifikat zusammen, sondern ist im Zusammenhang mit dem Assistenten zum beheben der Netzwerkprobleme aufgetreten. Der connector, der in der Exchange Verwaltungskonsole konfiguriert wurde, ist so eingestellt, dass er mit Standard Authentifizierung arbeitet
2bbe6678287de4e92460ba767115d517 - Klicke auf das Bild, um es zu vergrößern
Bild 005

und die Berechtigungsgruppen auf anonyme Benutzer gesetzt sind.
18709fd27d02bb2b835dd5e3f2f8f367 - Klicke auf das Bild, um es zu vergrößern
Bild 006

das hat bisher auch gut funktioniert.

Der andere Weg, den ich im Internet gefunden habe, der über die Verwaltungskonsole des Webservers funktioniert und soll, hat auch nicht funktioniert. Die benötigten Schritte, die ausgeführt worden waren folgende:

SBS Zertifike verlängern – Anleitung

1. Öffnen Sie unter “Verwaltung” den Internetinformationsdienste (IIS)-Manager
2. Selektieren Sie den Domainserver
3. Im rechten Fenster öffnen Sie “Serverzertifikate
4. Im folgenden Fenster werden Ihnen alle Zertifikate angezeigt
5. Wichtig ist hier die Spalte “Ablaufdatum”
6. Wählen Sie das Zertifikat welches Sie erneuern möchten, dann “rechte Maustaste” und im Kontextmenü “Erneuern…” anklicken
7. Vorhandenes Zertifikat erneuern auswählen
8. Jetzt auf “Auswählen” klicken und den Zertifizierungsserver bestimmen (i.d.R dieser Server), dann auf “Fertigstellen”
a33f8c1d6a3eaaa372f5f53918d8864c - Klicke auf das Bild, um es zu vergrößern
Bild 007

im Internet habe ich noch gefunden, dass man diese Verwaltungskonsole als Domänenadministrator ausführen sollte, wozu der folgende Befehl notwendig sei:

runas /noprofile /user:DOMÄNE\Administrator "%windir%\system32\inetsrv\InetMgr.exe"

Selbst verständlich habe ich das probiert, obwohl ich als Domänenadministrator an der Maschine angemeldet bin. Leider hat das auch nicht zum Erfolg geführt.

Der Server wurde bereits mehrmals neu gestartet, und ich habe versucht die oben genannten Schritte teilweise nochmals durchzuführen. Da der Server virtualisiert wurde und bisher einwandfrei gelaufen ist, kann ich mir nicht vorstellen, dass es nur an der Virtualisierung hängen sollte. Außerdem habe ich versucht, auf der Firewall, welche die E-Mails an den Exchange Server weiterleitet den Benutzer, mit dessen Berechtigung dies geschieht, durch den Domänenadministrator zu ersetzen. Damit wollte ich nur sicher gehen, dass die benötigten Berechtigungen auch vorhanden sind. Der Benutzer, der normalerweise die Mails auf dem Exchange Server ein liefert, ist allerdings in der Benutzergruppe der Domänenadministratoren, weswegen ich nicht davon ausgegangen (und wie sich gezeigt hat) dass dies zum Erfolg führt.

Auch ein erneuter Start der Firewall (in der Verzweiflung tut man ja alles) hat nichts gebracht.

Im Ereignisprotokoll taucht auch regelmäßig der folgende Fehler auf:

Fehler 30.10.2013 14:39:14 Microsoft-Windows-CertificationAuthority 22 Keine Die Anforderung 21 konnte aufgrund eines Fehlers nicht ausgeführt werden: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. 0x800b0101 (-2146762495). Die Anforderung bezog sich auf CN=Sites. Weitere Informationen: Fehler beim Verifizieren der Anforderungssignatur oder des Signierungszertifikats

langsam gehen mir hier die Ideen aus, was ich noch tun könnte. Das einzige was wir sonst noch einfällt ist, dass ich das Zertifikat neu erstelle. Davor schrecke ich aber im Moment noch etwas zurück, weil ich nicht weiß wo dieses Zertifikat überall noch benötigt wird. Außerdem hat es ja bei verschiedenen anderen Maschinen bereits geklappt.

Für Ideen bin ich dankbar

Gruß Kellogs


Mitglied: Kosh
30.10.2013 um 16:02 Uhr
Achja SBS. Wie ich ihn verfluche.
Hatte auch den Fall vor einiger Zeit bei einem Kunden dass sein Zertifikat abgelaufen war.
Im Endeffekt hab ich alle Wizards links liegen lassen weil ich da aus Fehlermeldungen auch nicht mehr rauskam.
Entweder du kannst über die MMC der Zertifikatsverwaltung das Zertifikat erneuern, oder
du stellst dir über das Webinterface deiner Zertifizierungsstelle gleich ein neues aus.

Überprüfe ausserdem ob dein root cert überhaupt noch gültig ist!

Dann kontrollieren ob das neue Zertifikat in der Zertifikatsverwaltung auftaucht.
Das cert rechtsklicken und den thumbprint kopieren.
Dann die Exchange Powershell auf (als admin natürlich) und das Zertifikat für alle Dienste aktivieren.

Enable-ExchangeCertificate -Thumbprint hierkommtderthumbprintreinohneleerzeichen -Services "IMAP, POP, IIS, SMTP"

Mit
Get-ExchangeCertificate
kannst du überprüfen welche Zertifikate im lokalen Speicher sind und wofür sie von Exchange verwendet werden.


So hats zumindest bei mir funktioniert.
Bitte warten ..
Mitglied: KellogsFR
30.10.2013 um 16:22 Uhr
Hi Kosh,

mittlerweile ist das Sites Zertifikat ganz verschwunden, also auch nicht mehr vorhanden.
Wenn ich die richtg Verstehe, dann meinst du mit der im M M C der Zertifizierungsstelle das Programm unter Verwaltung/Zertifizierungsstelle.
Das habe ich bereits aufgerufen, aber so wirklich viel kann man da nicht machen. Was meinst du damit über das Webinterface meiner Zertifizierungsstelle ein neues Zertifikat ausstellen?

Die anderen Zertifikate sind immer noch gültig, teilweise bis weit über 2015 hinaus
mit dem Befehl Get-ExchangeCertificate erhalte ich vier Zertifikate,

Dom-Server-ca
Remote.domain.de (service IP.WS)
server.dom.local (service IP)
wmsvc-markust-qkfkgid

Was ich damit anfangen soll, ist mir nicht ganz klar, vor allem nicht, was das letzte Zertifikat soll

Gruß
Bitte warten ..
Mitglied: Kosh
30.10.2013 um 17:51 Uhr
Ich meine nicht das MMC Snap-In für die Zertifizierungsstelle, sondern für die Zertifikate für den "Lokalen Computer".
Von dort aus kannst du direkt Zertifikate beantragen, erneuern, usw.

Alternativ, wenn installiert, hat deine Zertifizierungsstelle, also in deinem Fall dein SBS Server, ein Webinterface http://meinserver/certsrv
(Lässt sich über die Windows Funktionen nachinstallieren)

Nun kannst du via Exchange Powershell einen Request erstellen:

New-ExchangeCertificate -GenerateRequest -SubjectName "c=DE, o=<externe Domain>, cn=<OWA Name aus dem Internet>" -includeAutodiscover -IncludeAcceptedDomains -DomainName <OWA Name aus dem Internet> ,<ExchangeServerName>,<FQDN-ExchangeServerName> -privatekeyexportable $true -Path c:\certrequest.txt

Und diesen dann via Webinterface bei deinem Zertifikatsserver einreichen.
Das neue Zertifikat installierst du auf dem Exchangeserver und aktivierst es mit dem im vorigen Post erwähnten Enable-ExchangeCertificate
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...