Exchange Hybrid Federation Zertifikat abgelaufen

By | 10. Mai 2020

Dieser Artikel beschreibt das Vorgehen wenn das Exchange Hybrid Federation Zertifikat abgelaufen ist.

Wenn man Exchange Hybrid im Einsatz und bei der initialen Konfiguration mit dem Hybrid Configuration Wizard (HCW) den lokalen Exchange mit Exchange Online verbunden hat, wird im Hintergrund für diese Vertrauensstellung ein Zertifikat erstellt. Aus Basis dieses Zertifikats funktioniert die Vertrauensstellung zwischen den beiden Exchange Servern. Funktionen wie die Free/Busy Funktion zwischen der Cloud und OnPrem basieren auf dieser Vertrauensstellung.

Das Zertifikat findet man auch ganz einfach über die ECP:

Exchange Hybrid Federation Zertifikat abgelaufen

Solange das Zertifikat noch nicht abgelaufen ist, kann dieses auch recht einfach erneuert werden. Dazu gibt es auch eine passende Anleitung von Microsoft. Wenn das Exchange Hybrid Federation Zertifikat allerdings bereits abgelaufen ist, muss die Vertrauensstellung zwischen dem lokalen Exchange und Exchange Online komplett neu aufgebaut werden.

Zuerst muss die bestehende Vertrauensstellung gelöscht werden, damit diese vom HCW neu erstellt werden kann. Das Löschen wird ebenfalls in der bereits genannten Anleitung von Microsoft ganz am Ende beschrieben. Wichtig dabei ist, dass man die primäre Domäne zuletzt aus der Vertrauensstellung entfernt. Nutzt man nur eine Domäne für Exchange Hybrid, gibt es nur diese eine. Bei mehreren Domänen (z.B. Benutzerpostfächer mit den Domänen contoso.com und contoso.net sind im Einsatz) gibt es genau eine primäre Domäne, die ganz am Ende erst entfernt werden darf.

Wurde die Vertrauensstellung vollständig entfernt, kann der HCW erneut ausgeführt werden. Zur Validierung der Domänen müssen im externen DNS wieder entsprechende TXT-Records gesetzt werden, wie auch bei der initialen Konfiguration. Durch die neue Vertrauensstellung ändern sich die Werte der TXT-Records allerdings, so dass zwingend neue gesetzt werden müssen.

Exchange Hybrid Federation Zertifikat abgelaufen

Nach dem erfolgreichen Ausführen vom HCW ist die Vertrauensstellung wieder neu aufgebaut und es wurde ein neues Zertifikat für die Vertrauensstellung erstellt und genutzt. Das alte abgelaufene Zertifikat kann dann auch gelöscht werden.

Auch wenn der HCW erfolgreich ausgeführt wurde, kann es passieren, dass Exchange Online Benutzer nicht auf die Kalender (Free/Busy) von Exchange OnPrem Benutzer zugreifen können.

Beim Debuggen mit dem Microsoft Remote Connectivity Analyzer und der Frei/Gebucht Option tritt folgender Fehler auf:

System.Web.Services.Protocols.SoapHeaderException; An error occured when verifying security for the message. at System.Web.Services.Protocols.SoapHTTPClientprotocol.ReadResponse

Anscheinend funktioniert immer noch etwas nicht mit unserer neuen Vertrauensstellung. Dann sollte die Vertrauensstellung noch einmal manuell aktualisiert werden. Dies geschieht mit folgenden Befehlen auf der Exchange Management Console der lokalen Exchange Umgebung:

Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -WSSecurityAuthentication:$False
Get-WebServicesVirtualDirectory | Set-WebServicesVirtualDirectory -WSSecurityAuthentication:$True
Get-AutodiscoverVirtualDirectory | Set-AutodiscoverVirtualDirectory -WSSecurityAuthentication:$False
Get-AutodiscoverVirtualDirectory | Set-AutodiscoverVirtualDirectory -WSSecurityAuthentication:$True
Restart-WebAppPool MSExchangeAutodiscoverAppPool
Restart-WebAppPool MSExchangeServicesAppPool
Get-FederationTrust | Set-FederationTrust -RefreshMetadata

Durch die oben aufgeführten Befehle wird die WS-Security Authentifizierung explizit noch einmal neu aktiviert, was eine häufige Fehlerquelle ist (auch wenn diese laut Exchange bereits aktiviert ist). Danach werden die involvierten Anwendungspools neu gestartet (damit verbunden ist eine kleine Downtime der Exchange Funktionalitäten) und die Vertrauensstellung manuell aktualisiert.

Danach sollte der Zugriff auf die Frei/Gebucht Zeiten aus der Cloud auf die lokale Exchange Umgebung auch wieder fehlerfrei funktionieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.