msblog.eu

Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle

18. February 2015 by Malte Schoch 3 Comments

Bei der Installation von Exchange Server 2013 habe ich folgende Meldung erhalten:

Error:
The following error was generated when “$error.Clear();
Install-ExchangeCertificate -WebSiteName “Exchange Back End” -services “IIS, POP, IMAP” -DomainController $RoleDomainController
-InstallInTrustedRootCAIfSelfSigned $true
if ($RoleIsDatacenter -ne $true -And $RoleIsPartnerHosted -ne $true)
{
Install-AuthCertificate -DomainController $RoleDomainController
}
” was run: “Microsoft.Exchange.Management.SystemConfigurationTasks.
AddAccessRuleCryptographicException: Could not grant Network Service access to the certificate
with thumbprint 4D3EF9423ABF9B69A849FDFD19AB97BD8676D348 because a cryptographic exception was thrown. —>
System.Security.Cryptography.CryptographicException: Access is denied.

at Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.
CAPIAddAccessRule(X509Certificate2 certificate, AccessRule rule)
at Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.
AddAccessRule(X509Certificate2 certificate, AccessRule rule)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
ManageExchangeCertificate.EnableForServices(X509Certificate2 cert,
AllowedServices services, String websiteName, Boolean requireSsl,
ITopologyConfigurationSession dataSession, Server server, List`1 warningList,
Boolean allowConfirmation, Boolean forceNetworkService)
— End of inner exception stack trace —
at Microsoft.Exchange.Configuration.Tasks.Task.ThrowError(Exception exception, ErrorCategory errorCategory, Object target, String helpUrl)
at Microsoft.Exchange.Configuration.Tasks.Task.WriteError(Exception exception, ErrorCategory category, Object target)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
InstallExchangeCertificate.EnableForServices(X509Certificate2 cert, AllowedServices services)
at Microsoft.Exchange.Management.SystemConfigurationTasks.
InstallExchangeCertificate.InternalProcessRecord()
at Microsoft.Exchange.Configuration.Tasks.Task.b__b()
at Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)”.

Nach ein bisschen Suchen habe ich festgestellt, dass es im lokalen Zertifikatsspeicher ein Zertifikat gibt, welches der Exchange Server nicht kennt.
Starten Sie dazu die Windows Powershell (nicht Exchange Powershell) und setzen Sie folgende Befehle ab:

Add-PSSnapin Micosoft.Exchange.Management.Powershell.E2010
Get-ExchangeCertificate

CAS2013_Installation_Error

Wenn wir diese Informationen mit den lokalen Zertifikaten vergleichen, fällt auf, dass es ein Zertifikat gibt, welches der Exchange nicht kennt.

CAS2013_Installation_Error2

Sie können nun in die Eigenschaften der Zertifikate gehen und anhand der Thumbprint vergleichen, welches Zertifikat nicht in der Exchange Powershell angezeigt wird. Entfernen Sie diese Zertifikat danach aus den lokalen Zertifikatsspeicher.

CAS2013_Installation_Error3

Im Anschluss starten Sie das Exchange Setup erneut.

Filed Under: Exchange 2013 Tagged With: CAS, Exchange 2013, Zertifikate

Exchange 2013 Serverzertifikat erstellen

8. June 2013 by Malte Schoch 10 Comments

Nach der Installation eines Exchange 2013 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Öffnen Sie die Exchange Verwaltungskonsole
Exchange2013_Zertifikat_01
Klicken Sie unter “Server” und “Zertifikate” auf “+” …
Exchange2013_Zertifikat_02
Erstellen Sie eine neue Anforderung für die Zertifizierungsstelle
Exchange2013_Zertifikat_03
Da wird nur nur eine Domäne haben, brauchen wir hier keine Stammdomäne eintragen.
Exchange2013_Zertifikat_04
Wählen Sie aus, auf welchen Exchange Servern die Zertifikatsanforderung gespeichert werden soll.
Exchange2013_Zertifikat_05
Bitte tragen Sie in die entsprechenden Felder die erforderlichen Daten ein.
Exchange2013_Zertifikat_06
Als Default Name empfehle ich Ihnen immer den internen Servernamen.
Exchange2013_Zertifikat_07
Allgemeine Informationen zu Ihrem Unternehmen…
Exchange2013_Zertifikat_08
Bitte wählen Sie einen entsprechenden Speicherort für die Zertifikatsanforderung aus. (Der Speicherort muss immer als UNC Pfad angegeben werden)
Exchange2013_Zertifikat_09
Bitte starten Sie den Browser und öffnen die URL der Zertifizierungsstelle. Wenn Sie intern noch keine Zertifizierungsstelle installiert haben, gehen Sie bitte folgendermaßen vor:
Installation Zertifizierungsstelle Windows Server 2008 -> https://www.msblog.eu/microsoft-zertifizierungsstelle-installieren/
Installation Zertifizierungsstelle Windows Server 2012 -> https://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/
Exchange2013_Zertifikat_10
Bitte wählen Sie erweiterte Zertifikatsanforderung aus..
Exchange2013_Zertifikat_11
Sie wollen eine bestehende Anforderung einsenden..
Exchange2013_Zertifikat_12
Bitte kopieren Sie den Inhalt von der .req Datei, welche Sie von der Exchange Console abgespeichert haben. Sie können die Datei mit einem Editor öffnen.
Als Zertifikatsvorlage wählen Sie bitte “Webserver” aus und klicken auf “Einsenden”
Exchange2013_Zertifikat_13
Bestätigen Sie den Vorgang…
Exchange2013_Zertifikat_14
Laden Sie das Zertifikat herunter und speichern Sie in einen entsprechenden Pfad ab. (Dieser Pfad sollte wieder per UNC erreichbar sein)
Exchange2013_Zertifikat_15
Wechseln Sie wieder in die Exchange Verwaltungskonsole unter “Server” und dann Zertifikate
Exchange2013_Zertifikat_16
Tragen Sie den entsprechenden Pfad für das Zertifikat ein, welches Sie von der Zertifizierungsstelle heruntergeladen haben und bestätigen Sie mit “OK”.
Exchange2013_Zertifikat_17
In Anschluss müssen wir den Zertifikat noch die entsprechenden Dienste zuweisen. Wählen Sie also das neue Zertifikat aus und klicken auf “bearbeiten”.
Exchange2013_Zertifikat_18
Wählen Sie hier bitte die entsprechenden Dienste aus, welche für das Zertifikat verwendet werden sollen.

Exchange2013_Zertifikat_19
Sollten Sie schon ein Zertifikat auf ein bestehenden Service hinterlegt haben, bestätigen Sie bitte, dass dieses nun ausgetauscht wird.

Filed Under: Exchange 2013 Tagged With: Exchange 2013, Zertifikate

Windows Server 2012 Zertifizierungsstelle installieren

5. June 2013 by Malte Schoch 11 Comments

Wer für bei Microsoft Exchange Servern mit internen Zertifikaten arbeiten möchte, braucht intern eine Zertifizierungsstelle. Die Erstellung eines Exchange 2010 Zertifikats habe ich bereits in in diesem Artikel beschrieben.
In diesem Artikel geht es nun um die Installation der Zertifizierungsstelle und somit um eine Grundfunktion, um ein Zertifikat zu beantragen.

Starten Sie den Servermanager und fügen Sie eine neue Rolle hinzu…

Microsoft_2012_Zertifizierungsstelle _installieren_01
Wählen Sie im Server Manager “Rollen und Features hinzufügen”.

Microsoft_2012_Zertifizierungsstelle _installieren_02

Microsoft_2012_Zertifizierungsstelle _installieren_03
Starten Sie den Installationsmodus für “Rollenbasierte oder featurebasierte Installation”.

Microsoft_2012_Zertifizierungsstelle _installieren_04
Die Installation soll auf dem lokalen Server erfolgen.

Microsoft_2012_Zertifizierungsstelle _installieren_05
Wählen Sie “Active Directory-Zertifikatsdienste” aus..

Microsoft_2012_Zertifizierungsstelle _installieren_06
Bestätigen Sie die Auswahl..

Microsoft_2012_Zertifizierungsstelle _installieren_07
Auswahl von zusätzlichen Features..

Microsoft_2012_Zertifizierungsstelle _installieren_08
Ein Hinweis, dass nach der Installation der Zertifikatsdienste, der Name des Servers nicht mehr geändert werden kann.

Microsoft_2012_Zertifizierungsstelle _installieren_09
Wählen Sie bitte “Zertifizierungsstelle” und “Zertifizierungsstellen-Webregistrierung” aus.

Microsoft_2012_Zertifizierungsstelle _installieren_10
Bestätigen Sie die Auswahl..

Microsoft_2012_Zertifizierungsstelle _installieren_11
Starten Sie die Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_12
Abschluss der Installation

Microsoft_2012_Zertifizierungsstelle _installieren_13
Im Anschluss muss der Server bzw. müssen die Zertifikatsdienste noch konfiguriert werden.

Microsoft_2012_Zertifizierungsstelle _installieren_14
Bitte überprüfen Sie, ob ihr Account die angegebenen Zugriffsrechte besitzt.

Microsoft_2012_Zertifizierungsstelle _installieren_15
Bitte wählen Sie auch hier wieder beide Optionen “Zertifizierungsstelle” und “Zertifizierungsstellen-Webregistrierung” aus.

Microsoft_2012_Zertifizierungsstelle _installieren_16
Wir erstellen eine Zertifizierungsstelle für die Domäne..

Microsoft_2012_Zertifizierungsstelle _installieren_17
Die erste Zertifizierungsstelle…

Microsoft_2012_Zertifizierungsstelle _installieren_18
Da wir noch keine Zertifizierungsstelle haben, erstellen wir einen neuen privaten Schlüssel für das Root Zertifikat.

Microsoft_2012_Zertifizierungsstelle _installieren_19
Festlegung der Kryptografie Einstellungen…

Microsoft_2012_Zertifizierungsstelle _installieren_20
Allgemeiner Name der Zertifizierungsstelle (frei wählbar)..

Microsoft_2012_Zertifizierungsstelle _installieren_21
Gültigkeitsdauer für das Root Zertifikat. Nach Ablauf des gewählten Zeitraums, müssen Sie das Root Zertifikat erneuern.

Microsoft_2012_Zertifizierungsstelle _installieren_22
Speicherort der Datenbank …

Microsoft_2012_Zertifizierungsstelle _installieren_23
Überprüfung der Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_24
Abschluss der Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_25
Danach ist die neue Zertifizierungsstelle per Browser erreichbar:
http://servername/certsrv

Filed Under: Exchange 2003, Exchange 2007, Exchange 2010, Exchange 2013, Windows Server 2012 Tagged With: Windows Server 2012, Zertifikate, Zertifizierungsstelle

Exchange 2007 Serverzertifikat erstellen

25. June 2012 by Malte Schoch Leave a Comment

In dem Artikel Exchange 2010 Serverzertifikat erstellen habe ich beschrieben, wie man in Exchange 2010 ein Serverzertifikat in der EMC erstellen kann. In Exchange 2007 müssen Sie dafür noch die Powershell nutzen, da die Zertifikatsverwaltung noch nicht in die EMC integriert ist.

Starten Sie die Exchange Powershell und geben Sie folgenden Befehl ein:

New-ExchangeCertificate -GenerateRequest -DomainName msblog-mail, msblog-mail.msblog.local, autodiscover.msblog.local, mail.msblog.eu, autodiscover.msblog.eu, outlook.msblog.eu -FriendlyName msblog-mail.msblog.local -PrivateKeyExportable:$true -Path c:\msblog.txt

In dem Paramter “DomainName” müssen Sie alle Namen eintragen, auf die das Zertifikat ausgestellt werden soll. Ich empfehle immer, folgende Namen einzutragen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Für die nächsten Schritte benötigen wir nun eine interne Zertifizierungsstelle. Die Zertifizierungsstelle ist immer über folgenden Link erreichbar: http://Servername/certsrv

 

Reichen Sie eine erweiterte Zertifikatsanforderung ein.

 

Da Sie schon eine Anforderung erstellt haben, reichen Sie eine Anforderung ein.

 

In dem Feld “Gespeicherte Anforderung” kopieren Sie bitte den Inhalt der Anforderungsdatei, welche Sie auf dem Computer abgespeichert haben. Als Vorlage wählen Sie bitte Webserver aus.

 

Laden Sie sich das neue Zertifikat herunter und speichern Sie es wieder an einem beliebigen Ort ab. (Ich empfehle Ihnen C:)

 

Wechseln Sie danach wieder in die Powershell und importieren Sie das Zertifikat:
Import-ExchangeCertificate -Path c:\msblog-mail.cer

 

Als Ausgabe bekommen Sie einen Thumprint. Bitte kopieren Sie sich diese ID in die Zwischenablage.

 

Zum Schluss müssen Sie das neue Zertifikat noch für die entsprechenden Dienste aktivieren.
Enable-ExchangeCertificate -Thumbprint B950F00782A7B222EEC24443382723109CC131AF -Services ‘IIS, POP, IMAP, SMTP’

Zum Schluss werden Sie gefragt, ob das bestehende Zertifikat ersetzt werden soll. Dies bestätigen Sie bitte.
Das neue Zertifikat ist nun komplett installiert und wird vom dem Exchange Server verwendet.

Filed Under: Exchange 2007 Tagged With: Exchange 2007, Zertifikate, Zertifizierungsstelle

Root Zertifikat per Gruppenrichtlinie verteilen

2. February 2012 by Malte Schoch 1 Comment

Wenn Sie z.B. für Exchange eine neue Zertifizierungsstelle installieren, dann vertrauen die Clients dem neuen Root Zertifikat erstmal nicht. Somit würde es z.B. bei Exchange immer eine Fehlermeldung geben, wenn die Clients ihr Outlook starten.

Um dieses Problem schnell zu lösen, können Sie eine Gruppenrichtlinie erstellen, welche das Root Zertifikat bei der Anmeldung automatisch zu den Vertrauenswürdigen Stammzertifizierungsstellen des lokalen Computers hinzufügt.

Erstellen Sie dazu eine neue Richtlinie:

Und navigieren Sie danach zu folgender Richtlinie:
Computerkonfiguration -> Windows-Einstellungen -> Richtlinie für öffentlichen Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen

Dort importieren Sie einfach das Root Zertifikat der Domäne und die Clients bekommen dies entsprechend zugeteilt.

Filed Under: Windows Server Tagged With: GPO, Root CA, Zertifikate

  • 1
  • 2
  • Next Page »

Ein Blog über Exchange Server

Ein Blog über Exchange Server

Tags

Active Sync Adress Policy ADSI-Edit Berechtigungen BPA CAS CAS Array DAG Database Dienste Exchange 2003 Exchange 2007 Exchange 2010 Exchange 2013 Exclaimer Installation Internal Internet Explorer iPhone ISA / TMG Server Lizenzen Logs Mailbox Management Studio Migration Outlook 2007 Outlook 2010 Outlook 2013 Outlook Web Access Permission Powershell PST Public Folder Relay Security Service Packs SQL Server Transport Rules Uninstall Updates/Rollups Verteilergruppen Virtualisierung Windows Server 2012 Zertifikate Zertifizierungsstelle

Latest Posts

  • Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Exchange 2007 deinstallieren – Setup bleibt hängen
  • E-Mail bleibt im Postausgang hängen bei zusätzlichen Postfach
  • Ändern der Standardschrift in OWA für alle Benutzer
  • VMware Workstation – Not enough physical Memory

Links

  • Exchange Remote Connectivity Analyzer
  • Exchange Server Technet Forum
  • The Exchange Team Blog
  • Trageberatung in Kiel
  • Windows Server Catalog

Last Comments

  • Exchange Server 2010: Kein Login via OWA möglich. Fehlermeldung " ERR_RESPONSE_HEADERS_TRUNCATED" - doktorlatte und captain coffeedoktorlatte und captain coffee on Welche Exchange 2010 Systemdienste gibt es?
  • Peter on Ändern der Standardschrift in OWA für alle Benutzer
  • Anon on Berechtigung auf Postfach Ordner mit Hilfe der Powershell setzen
  • Patrick on Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Micha on Anzeige aller E-Mail Adressen in Exchange 2010

Copyright © 2025 · Outreach Pro on Genesis Framework · WordPress · Log in