Website-Icon Frankys Web

Exchange 2013: Serverfehler in der Anwendung /ECP (Event ID 1003)

Gestern habe ich für meinen neuen Exchange 2013 Server ein Zertifikat ausgestellt, gestern lief auch noch alles wunderbar. Heute dann diese Fehlermeldung beim Versuch das ECP zu starten:

Und auch das Event Log ist komplett Rot mit dem Event 1003:

 

[Ecp] An internal server error occurred. The unhandled exception was: System.Security.Cryptography.CryptographicException: Ungültigen Anbietertyp angegeben

bei System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer)
bei System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean randomKeyContainer, Int32 dwKeySize, SafeProvHandle& safeProvHandle, SafeKeyHandle& safeKeyHandle)
bei System.Security.Cryptography.RSACryptoServiceProvider.GetKeyPair()
bei System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey()
bei Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
bei Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication)
bei Microsoft.Exchange.HttpProxy.ProxyModule.<>c__DisplayClass8.<OnBeginRequest>b__7()
bei Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)

Sprechende Fehlermeldungen sehen zwar anders aus, aber man kann zum Glück ein bisschen was herleiten, also genau lesen:

System.Security.Cryptography.CryptographicException: Ungültigen Anbietertyp angegeben

bei System.Security.Cryptography.RSACryptoServiceProvider.GetKeyPair()

Ich habe also scheinbar einen ungültigen Anbietertyp angegeben und es wird wohl irgendwas mit RSA erwartet. Also mal prüfen:

certutil –store my

Bei Anbieter steht schon mal nichts von RSA… könnte also schon das Problem sein. Ich war so frei und habe als Zertifikatsvorlage “Server 2008 kompatibel gewählt”, also erstelle ich jetzt eine neue Vorlage mit “Server 2003”

Da steht dann unter Kryptographie auch RSA als Anbieter

Also fix ein neues Zertifikat mit der neuen Vorlage erstellt und per Shell zugewiesen, ECP startet ja nicht mehr. Dazu mit

Get-ExchangeCertificate | fl thumbprint,notafter,services

die Zertifikate anzeigen lassen, den entsprechenden Thumbprint raussuchen und mit

Enable-ExchangeCertificate -Thumbprint 10DB8A5538EABF994E1667D7B0EE93CA003EC368 -Services IIS,SMTP,IMAP,POP

zuweisen.

Mit dem neuen Zertifikat funktioniert dann auch die ECP wieder.

Die mobile Version verlassen