Hallo,
wir haben ein mittelschweres Problem mit unserem Exchange Server 2019. Das CA und Exchange Zertifikat ist abgelaufen. Soweit so gut. CA erneuert und das Microsoft Exchange Zertifikat mit Frankys Script erstellt. Hat auch alles geklappt, nur Outlook oder die OWA will ums verrecken nicht das neue Zertifikat benutzen. Löschen wir die alten Zertifikate ist kein Zugriff mehr auf die Admin Seite des Exchange, kein Zugriff auf die OWA und kein Zugriff mehr von Outlook auf den Exchange (keine Verbindung zum Exchange Server). Ich nehme stark an, das wir die Einstellungen für das FrontEnd anpassen müssen oder ich bin auf dem falschen Pfad, aber langsam gehen mir die Ideen aus...... Weiß von euch jemand eine Lösung?
Welches Skript und welche Zertifikate habt ihr jetzt genutzt? Habt ihr das neue Zertifikat auch an die entsprechenden Dienste gebunden? Ist auch das Auth-Zertifikat abgelaufen?
Was sagt denn Get-ExchangeCertificate in der Management Shell?
Bei Probleme würde ich der Shell mehr vertrauen als dem Admin Center.
Wenn du also die neuen Zertifikate über das Admin Center den Services zugewiesen hast, würde ich es noch mal über die Management Shell machen.
Du kannst auch noch mal direkt im IIS schauen, ob bei den Bindings das korrekte Zertifikat ausgewählt ist. Ob man es direkt im IIS ändern sollte, weiß ich aber auch nicht...
Also wir haben das Script New-ExchangeBackEndCertificate.ps1 von hier verwendet. Die Dienst sind korrekt zugewiesen, und ja das Auth Zertifikat ist auch abgelaufen. Da es sich hierbei um eine VM handelt, könnten wir auch ein bisschen rumexperimentieren. Durch die Prüfpunkte können wir, falls es nicht funktioniert, alles zurücksetzen (ca. 10sek) Im IIS Backend ist das Zertifikat korrekt zugewiesen, das interessiert Outlook aber nicht die Bohne.....
Wenn das Zertifikat und dass ca Zertifikat abgelaufen ist, wieso wechselt ihr dann das backendzertifikat? Ihr müsst in dem Fall doch das frontend Zertifikat tauschen. Und im iis bitte nichts konfigurieren, das erledigt man normalerweise alles über die Exchange Management Shell oder die eac.
Ja das ist schon richtig, die Frage war ja was wir falsch konfiguriert haben. Beide Seiten verwenden ja das gleiche Zertifikat, FrontEnd und BackEnd. Also haben wir nur vergessen das Zertifikat im FrontEnd anzupassen. Sehe ich das richtig?
Mir scheint du wirfst hier einiges durcheinander. Das Backendzertifikat ist immer ein vom Exchange selbst erstelltes und selbstsigniertes Zertifikat, das kannst du z.Bsp. mit Frankys Skript erneuern, wenn notwendig. Das Frontendzertifikat ist davon unabhängig, das ist das, was u.a. die Clients abfragen. Hier muss dann entweder das von eurer CA signierte rein, oder besser eins, dem auch öffentlich vertraut wird. Da müssen dann die passenden Namen rein. Dieses darfst du aber wiederum nicht als Backendzertifikat benutzen.
Und wie Norbert schon geschrieben hat, auf keinen Fall im IIS an den Zertifikaten was ändern, das macht die EAC bzw. die Management Shell für dich.
Also haben wir nur vergessen das Zertifikat im FrontEnd anzupassen. Sehe ich das richtig?
Möglich, aber da du ja nur „allgemein“ schreibst, kann man auch nur allgemein antworten. Wenn ihr das neue Zertifikat nicht für die Webserver aktiviert habt…
Jetzt bin ich langsam komplett verwirrt.... 🤔 Wo sehe ich das BackEnd und wo das FrontEnd Zertifikat?
Thumbprint Services Subject
---------- -------- -------
3122F64353F2AED6196F7AAE8506379FF94898D8 ....... CN=Microsoft Exchange Server Auth Certificate
A0117781851BC01C87C71C6F1C7505C069BA9414 IP.W... CN=Exchange
82BD2F0364CE45717219A13E3092853BA34B9D45 ....... CN=WMSvc-SHA2-EXCHANGE
So ist im Moment die Konstellation.. Die ersten beiden Zertifikate sind abgelaufen.
Du hast also kein ca certificate sondern nur selfsigned. Dann erstelle dir neue Zertifikate.
1. Exchange auth cert:
2. erstelle ein neues Zertifikat für die backend und frontenddienste.
Get-exchangecertificate A0117781851BC01C87C71C6F1C7505C069BA9414 | new-exchangecertificate -privatekeyexportable $true
Dieses Zertifikat bindest du an die ganzen Dienste entweder per each oder enable-exchangecertificate danach gehst du in den iis und wählst auf der backend Site die Bindungen aus und wählst dort dieses neue Zertifikat aus.
danach warten wir hier auf deine Rückmeldung.
und wenn du mit selfsigned Zertifikaten rummachst werden deine outlooks natürlich nicht verbinden weil sie dem neuen Zertifikat nicht vertrauen. Das musst du also auch erledigen.
Ist auch das Auth-Zertifikat abgelaufen?
Man hätte diese Frage auch einfach ganz am Anfang beantworten können. ;)
Vielen Dank, genau danach habe ich gesucht! Ich melde mich, wenn ich es getestet habe... 👍
Es hat alles einwandfrei funktioniert! Vielen Dank an alle die geholfen haben, das Problem zu lösen! 😀
Sehr gut. :)