#Microsoft #Exchange 2010/2013/2016/2019 Web Services EventID 1003 und 24, Zeitzonen, und „Geduld“

Wenn die selbstsignierten Zertifikate der ersten 2013er „Hundehütten“ ihre Gültigkeit verlieren und das zugehörige Turorial von Microsoft nicht funktioniert, könnte so manch Admin der Kragen platzen. In diesem Fall ist rohe Gewalt nicht angebracht denn eher „Geduld“. Geduld ist allerdings auch ein bei mir nicht vorhandenes Featureset…

tl;dr: Geduld!

Offensichtlich funktionieren bei Dir OWA und ECP nicht mehr, deswegen liest Du diesen Beitrag. Sofern bei Dir ein wie nachfolgend beschriebener Fehler vorliegt, könnte dieser Beitrag für Dich relevant sein.

Die Fehlermeldung 1003 aus

MSExchange-Front-End-HTTPS-Proxy

ventiliert schwer interpretierbares:

Ein interner Serverfehler ist aufgetreten. Nicht behandelte Ausnahme: System.NullReferenceException: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.

In diesem Fall ist mit hoher Wahrscheinlichkeit das interne „Microsoft Exchange Server Auth Certificate“ abgelaufen. Festzustellen mit der EMC:

(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List

Nicht funktionierendes Microsoft Tutorial

Im Falle des Ablauf, empfiehlt Microsoft, wie hier (Link) vorzugehen – Anmerkung: Das wird in der Regel augenscheinlich erst mal nicht klappen, ich erkläre hinterher, wieso.

New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()
Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate

Und anschließend relevante Dienste neu zu starten. Trotzdem wirst Du gleich wieder in den gleichen Fehler laufen.

Warum das – erst einmal – nicht geht:

Das „Exchange Server Auth Certificate“ wird – wie jedes andere Zertifikat auch – nicht nur mit einem Ablaufdatum „NotAfter“, sondern auch mit einem Anfangsdatum (ist das der richtige Begriff?) „NotBefore“ generiert. Deine Exchange-Hütte läuft in der Zeitzone UTC. Das differiert – je nach Sommer/Winterzeit – um eine oder zwei Stunden. Und soweit sind wir zeitlich einfach noch nicht, Marty…

Du kannst jetzt entweder (In Deutschland) gemeinsam mit Doc Brown eine oder zwei Stunden warten und danach die relevanten Exchange Dienste neu starten oder aber die Zeitzone vor der Zertifikatsgenerierung passend verändern.

Microsoft hat am Ende ihres Tutorials zwar erwähnt

In einigen Umgebungen kann es eine Stunde dauern, bis das Zertifikat veröffentlicht wurde. Wenn Sie über ein Hybridsetup verfügen, müssen Sie den Hybridkonfigurations-Assistenten erneut ausführen, um die Änderungen auf Azure Active Directory (Azure AD) zu aktualisieren

Link

Es fehlt allerdings die Begründung, warum das so ist. Der Text selbst ist viel zu schwammig. Es ist für mich absolut nachvollziehbar, dass manchen wohl der Gedanke kommt, den Server anzuzünden ach lassen wir das.

Ich wünsche Euch Gesundheit.