msblog.eu

Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle

by 2 Comments

Bei der Installation von Exchange Server 2013 habe ich folgende Meldung erhalten:

Error:
The following error was generated when „$error.Clear();
Install-ExchangeCertificate -WebSiteName „Exchange Back End“ -services „IIS, POP, IMAP“ -DomainController $RoleDomainController
-InstallInTrustedRootCAIfSelfSigned $true
if ($RoleIsDatacenter -ne $true -And $RoleIsPartnerHosted -ne $true)
{
Install-AuthCertificate -DomainController $RoleDomainController
}
“ was run: „Microsoft.Exchange.Management.SystemConfigurationTasks.
AddAccessRuleCryptographicException: Could not grant Network Service access to the certificate
with thumbprint 4D3EF9423ABF9B69A849FDFD19AB97BD8676D348 because a cryptographic exception was thrown. —>
System.Security.Cryptography.CryptographicException: Access is denied.

at Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.
CAPIAddAccessRule(X509Certificate2 certificate, AccessRule rule)
at Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.
AddAccessRule(X509Certificate2 certificate, AccessRule rule)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
ManageExchangeCertificate.EnableForServices(X509Certificate2 cert,
AllowedServices services, String websiteName, Boolean requireSsl,
ITopologyConfigurationSession dataSession, Server server, List`1 warningList,
Boolean allowConfirmation, Boolean forceNetworkService)
— End of inner exception stack trace —
at Microsoft.Exchange.Configuration.Tasks.Task.ThrowError(Exception exception, ErrorCategory errorCategory, Object target, String helpUrl)
at Microsoft.Exchange.Configuration.Tasks.Task.WriteError(Exception exception, ErrorCategory category, Object target)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
InstallExchangeCertificate.EnableForServices(X509Certificate2 cert, AllowedServices services)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
InstallExchangeCertificate.InternalProcessRecord()
at Microsoft.Exchange.Configuration.Tasks.Task.b__b()
at Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)“.

Nach ein bisschen Suchen habe ich festgestellt, dass es im lokalen Zertifikatsspeicher ein Zertifikat gibt, welches der Exchange Server nicht kennt.
Starten Sie dazu die Windows Powershell (nicht Exchange Powershell) und setzen Sie folgende Befehle ab:

Add-PSSnapin Micosoft.Exchange.Management.Powershell.E2010
Get-ExchangeCertificate

CAS2013_Installation_Error

Wenn wir diese Informationen mit den lokalen Zertifikaten vergleichen, fällt auf, dass es ein Zertifikat gibt, welches der Exchange nicht kennt.

CAS2013_Installation_Error2

Sie können nun in die Eigenschaften der Zertifikate gehen und anhand der Thumbprint vergleichen, welches Zertifikat nicht in der Exchange Powershell angezeigt wird. Entfernen Sie diese Zertifikat danach aus den lokalen Zertifikatsspeicher.

CAS2013_Installation_Error3

Im Anschluss starten Sie das Exchange Setup erneut.

Ändern der Standardschrift in OWA für alle Benutzer

by 8 Comments

Die Standardschriftart für alle Mitarbeiter in Outlook zu definieren, lässt sich über eine Gruppenrichtlinie relativ einfach definieren. Viele Mitarbeiter nutzen aber mitlerweile auch öfters Outlook Web App und somit besteht natürlich auch hier der Wunsch, die Schriftart inkl. Farbe und Größe Global vorzugeben. Dies können Sie bequem per Exchange Powershell vornehmen.

In dem folgenden Beispiel ändern wir die Schriftart auf Arial, Größe 12 und Schwarz.
Die einzelnen Parameter können Sie in der Technet nachlesen:
http://technet.microsoft.com/de-de/library/dd638117(v=exchg.150).aspx

Für bestimmte Mailboxen:
Set-MailboxMessageConfiguration -Identity Malte.Schoch -DefaultFontName Arial -DefaultFontSize 3 -DefaultFontColor „#000000“ -DefaultFontFlags Normal

Für alle Mailboxen:
Get-Mailbox -Resultsize Unlimited | Set-MailboxMessageConfiguration -DefaultFontName Arial -DefaultFontSize 3 -DefaultFontColor „#000000“ -DefaultFontFlags Normal

Bitte beachten Sie, dass diese Befehle erst ab Exchange 2010 / 2013 verfügbar sind.

Move-Mailbox Exchange 2013 : HomeMDB‘ kann nicht auf Empfänger geschrieben werden

by Leave a Comment

Beim Versuch das erste Postfach von Exchange 2007 auf Exchange 2013 zu verschieben, bekam ich folgende Fehlermeldung:

Active Directory-Eigenschaft ‚homeMDB‘ kann nicht auf Empfänger ‚ad.msblog.eu/MSBLOG/Benutzer‘ geschrieben werden.

Diese Probleme gab es auch schon bei früheren Exchange Versionen, allerdings sah die Meldung damals noch ein bisschen anders aus. (Siehe folgenden Artikel)

Das Problem ist hier, dass die Vererbung auf dem Benutzeraccount im AD nicht aktiviert ist. Um das Postfach zu verschieben, muss diese folgendermaßen aktiviert werden:

Gehen Sie bitte in das Active Directory und wählen unter Ansicht -> Erweiterte Features aus.
Danach in die Eigenschaften des betroffenen Users -> Sicherheit -> Erweitert.

Move_Mailbox_EX13

Danach erstellen Sie die Verschiebeanforderung erneut bzw. führen Sie den Vorgang erneut aus um das Postfach ohne Probleme zu verschieben.

Exchange 2013 Serverzertifikat erstellen

by 10 Comments

Nach der Installation eines Exchange 2013 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Öffnen Sie die Exchange Verwaltungskonsole
Exchange2013_Zertifikat_01
Klicken Sie unter „Server“ und „Zertifikate“ auf „+“ …
Exchange2013_Zertifikat_02
Erstellen Sie eine neue Anforderung für die Zertifizierungsstelle
Exchange2013_Zertifikat_03
Da wird nur nur eine Domäne haben, brauchen wir hier keine Stammdomäne eintragen.
Exchange2013_Zertifikat_04
Wählen Sie aus, auf welchen Exchange Servern die Zertifikatsanforderung gespeichert werden soll.
Exchange2013_Zertifikat_05
Bitte tragen Sie in die entsprechenden Felder die erforderlichen Daten ein.
Exchange2013_Zertifikat_06
Als Default Name empfehle ich Ihnen immer den internen Servernamen.
Exchange2013_Zertifikat_07
Allgemeine Informationen zu Ihrem Unternehmen…
Exchange2013_Zertifikat_08
Bitte wählen Sie einen entsprechenden Speicherort für die Zertifikatsanforderung aus. (Der Speicherort muss immer als UNC Pfad angegeben werden)
Exchange2013_Zertifikat_09
Bitte starten Sie den Browser und öffnen die URL der Zertifizierungsstelle. Wenn Sie intern noch keine Zertifizierungsstelle installiert haben, gehen Sie bitte folgendermaßen vor:
Installation Zertifizierungsstelle Windows Server 2008 -> https://www.msblog.eu/microsoft-zertifizierungsstelle-installieren/
Installation Zertifizierungsstelle Windows Server 2012 -> https://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/
Exchange2013_Zertifikat_10
Bitte wählen Sie erweiterte Zertifikatsanforderung aus..
Exchange2013_Zertifikat_11
Sie wollen eine bestehende Anforderung einsenden..
Exchange2013_Zertifikat_12
Bitte kopieren Sie den Inhalt von der .req Datei, welche Sie von der Exchange Console abgespeichert haben. Sie können die Datei mit einem Editor öffnen.
Als Zertifikatsvorlage wählen Sie bitte „Webserver“ aus und klicken auf „Einsenden“
Exchange2013_Zertifikat_13
Bestätigen Sie den Vorgang…
Exchange2013_Zertifikat_14
Laden Sie das Zertifikat herunter und speichern Sie in einen entsprechenden Pfad ab. (Dieser Pfad sollte wieder per UNC erreichbar sein)
Exchange2013_Zertifikat_15
Wechseln Sie wieder in die Exchange Verwaltungskonsole unter „Server“ und dann Zertifikate
Exchange2013_Zertifikat_16
Tragen Sie den entsprechenden Pfad für das Zertifikat ein, welches Sie von der Zertifizierungsstelle heruntergeladen haben und bestätigen Sie mit „OK“.
Exchange2013_Zertifikat_17
In Anschluss müssen wir den Zertifikat noch die entsprechenden Dienste zuweisen. Wählen Sie also das neue Zertifikat aus und klicken auf „bearbeiten“.
Exchange2013_Zertifikat_18
Wählen Sie hier bitte die entsprechenden Dienste aus, welche für das Zertifikat verwendet werden sollen.

Exchange2013_Zertifikat_19
Sollten Sie schon ein Zertifikat auf ein bestehenden Service hinterlegt haben, bestätigen Sie bitte, dass dieses nun ausgetauscht wird.

Exchange 2013 Datenbank verschieben

by 1 Comment

Wer in Exchange 2013 die Datenbank in einen neuen Pfad verschieben möchte, kann dies aktuell nicht mit Hilfe der Exchange Console durchführen, sondern nur mit der Powershell.

Exchange2013_Datenbankpfad_aendern
Durch den Befehl „Get-MailboxDatabase“ bekommen Sie alle Datenbanken angezeigt.
Die Variable Name benötigen Sie um die Datenbank in einen neuen Pfad zu verschieben.

Um die Datenbank zu verschieben benötigen Sie folgenden Befehl:
Move-DatabasePath -Identity „Name_der_Datenbank“ -EdbFilePath E:\ExchangeDatabase\MailboxDatabase.edb
Exchange2013_Datenbankpfad_aendern_02

Bitte beachten Sie, dass die Datenbank für den Zeitraum des Verschiebens Offline sein muss.

Wie sie die Exchange Datenbanklogs verschieben habe ich in folgenden Artikel beschrieben:
Datenbanklogs in Exchange 2013 verschieben

Malte Schoch
@malteschoch