Habe wie einige andere auch, diverse Fehlermeldungen bei der Verwendung von Win-Acme ([WRN] Unable to set full control rights for network service. [WRN] Unable to set full control rights for administrators).
Bis jetzt ging meine Fehlersuche leider ins Leere. Das erstellte Zertifikat wird zwar eingebunden, die Bindung an SMTP allerdings scheitert. Manuell lässt sich das Zertifikat auch nicht über die Exchange Admin-Konsole oder über die Exchange-Shell installieren. Dort wird das Binden mit dem Fehler verweigert, dass das ausgewählte Zertifikat nicht "enabled" ist. In der Zertifikatskonsole finde ich das Zertifikat im Computerkonto. Testen konnte ich das jetzt leider nur noch mit dem Fake-Zertifikat, da meine 5 Versuche bei Let's Encrypt für diese Woche aufgebraucht waren. Bei "Verwalten des privaten Schlüssels" des Zertifikats sind die Administratoren mit Vollzugriff, der Netzwerkdienst allerdings nur mit Lesen eingetragen. Dadurch, das SMTP nicht gebunden wird, scheitert TLS auf dem Server und Win-Acme ist so nicht verwendbar. Hat jemand ähnliches, vlt. auch schon gelöst, oder hat einen Tipp für mich, wo ich suchen muss, um das Problem zu beseitigen?
Servus,
auch wenn es nicht viel hilft: Ich konnte bisher keine Probleme feststellen. Wurde das Win-ACME in einer Shell mit Admin Rechten gestartet?
Gruß,
Frank
Ja, cmd als Administrator ausgeführt. Welchen Grund kann es denn haben, das ich das Zertifikat auch nicht manuell an SMTP binden kann? Wie gesagt, Fehlermeldung: "...nicht enabled..". Manuelles "enablen" wird ohne Fehlermeldung ausgeführt, anschließende Zuweisung kommt mit dem gleichen Fehler "..nicht enabled.."
Hab das jetzt noch auf einem anderen Server mit gleichen Voraussetzungen ausprobiert (Exchange 2019 auf Server 2019 nach Migration von Exchange 2016). Zu aller erst habe ich den Reg-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ hinsichtlich der Berechtigungen kontrolliert. Bei beiden Servern ist eine SID vorhanden, die nicht aufgelöst werden kann (verm. der alte und nicht mehr vorhandene Mailserver?). Das Script auf der zweiten Maschine installiert und angepasst. Es kommt die gleiche Fehlermeldung: [WRN] Unable to set full control rights for network service. [WRN] Unable to set full control rights for administrators. Allerdings funktioniert hier alles!?! Dann hab ich im ECP mir mal die Zertifikate angeschaut. Beim Server, auf dem es nicht läuft, ist das Zertifikat, welches mit Franky's Script erstellt wurde zusätzlich an SMTP gebunden...warum auch immer. Ich denke, das verursacht evtl. das Problem. Weiterhin ist mir aufgefallen, dass ich leider die Hostnamen in der falschen Reihenfolge eingefügt habe. Hab das jetzt geändert, kann es aber erst testen, wenn ich bei Let's Encrypt wieder ein neues Zertifikat bestellen kann (Glaube Sonntag). Wie kann ich die Bindung des Let's Encrypt Zertifikats von SMTP lösen (ist in ECP aus gegraut). Würde das dann nochmal testen
Hab das jetzt noch auf einem anderen Server mit gleichen Voraussetzungen ausprobiert (Exchange 2019 auf Server 2019 nach Migration von Exchange 2016). Zu aller erst habe ich den Reg-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ hinsichtlich der Berechtigungen kontrolliert. Bei beiden Servern ist eine SID vorhanden, die nicht aufgelöst werden kann (verm. der alte und nicht mehr vorhandene Mailserver?). Das Script auf der zweiten Maschine installiert und angepasst. Es kommt die gleiche Fehlermeldung: [WRN] Unable to set full control rights for network service. [WRN] Unable to set full control rights for administrators. Allerdings funktioniert hier alles!?! Dann hab ich im ECP mir mal die Zertifikate angeschaut. Beim Server, auf dem es nicht läuft, ist das Zertifikat, welches mit Franky's Script erstellt wurde zusätzlich an SMTP gebunden...warum auch immer. Ich denke, das verursacht evtl. das Problem. Weiterhin ist mir aufgefallen, dass ich leider die Hostnamen in der falschen Reihenfolge eingefügt habe. Hab das jetzt geändert, kann es aber erst testen, wenn ich bei Let's Encrypt wieder ein neues Zertifikat bestellen kann (Glaube Sonntag). Wie kann ich die Bindung des Let's Encrypt Zertifikats von SMTP lösen (ist in ECP aus gegraut). Würde das dann nochmal testen
Hab das jetzt nochmal soweit repariert, das die Bindungen im Exchange mit dem Referenzsystem gleich sind. (Zertifikat sicherheitshalber exportiert, anschließend gelöscht. Serverneustart und Zertifikat wieder importiert und den entsprechenden Diensten zugewiesen). Server läuft wieder sauber, muss jetzt aber noch auf Sonntag warten zwecks erneuter Test Win-ACME, da ja bei Let's Encrypt das Limit von 5 gleichen Zertifikatsanfragen erst ablaufen muss.
Nach erneutem Test scheint Win-ACME zu funktionieren. Allerdings bleiben die beiden o.a. Fehlermeldungen. Zertifikat wurde angefordert und eingebunden.