In einer Exchange Server Umgebung waren die lokalen Systeme nicht mehr in der Lage, die Informationen des Exchange Mitigation Service Endpunktes zu verarbeiten. Der Grund war, dass das zur Signierung der XML-Informationen verwendete Zertifikat als unsicher gewertet wurde.
Die ausführliche Fehlermeldung im Protokoll eines der betroffenen Exchange Server war:
FetchMitigation,S:LogLevel=Error;'S:Message=Exception encountered while fetching mitigations : This XML is not deemed safe to consume since Response xml''s signing cert is invalid or not from microsoft'; S:Source=Microsoft.Exchange.Mitigation.Service.Mitigations.MitigationEngineDie Protokolldateien des Exchange Server Mitigation Services findest du im V15-Installationspfad:
\V15\Logging\MitigationService
Auch ein Prüfung der Konnektivität zum Mitigation Service Endpunkte per PowerShell brachte keine weiteren Informationen zu Tage.
Das PowerShell-Skript Test-MitigationServiceConnectivity.ps1 gehört zum Lieferumfang von Exchange Server und liegt im $exscripts-Verzeichnis.
Fehlersuche
Zuerst galt es klären, ob die XML-Datei des Mitigation Service über den zur Verfügung stehenden Proxy-Server abgefragt werden kann.
# Definition der Endpunkte $MitigationUri = 'https://officeclient.microsoft.com/getexchangemitigations' $Proxy = 'http://proxy.varunagroup.de:1234' # Mitigation Service Endpunkt abfragen $request=Invoke-WebRequest -Uri $MitigationUri -Proxy $Proxy
Die Abfrage konnte fehlerfrei ausgeführt werden. Nun galt es einen Blick in das XML des Mitigation Endpunktes zu werfen.
# Speicherung des XML Inhaltes des WebRequest Reponse-Objektes
([xml]$request.Content).Save("D:\Scripts\MitigationRequest.xml")
Ein Blick in die XML-Datei zeigt uns drei X509-Zertifikate, die als Zertifikatskette, für die Signierung des XML verwendet werden.
Die Textfolge des <X509Certificate> Nodes beinhaltet je ein X509-Zertifikat. Jede dieser Textfolgen wurde in einer Textdatei mit der Dateieindung .cer gespeichert.
Das erste Zertifikat enthält das Microsoft Exchange XML Signing-Zertifikat. Nach dem Öffnen der Zertifikatsdatei mit einem Doppelklick zeigte sich das Problem. Das ausgestellte Zertifikat konnte nicht anhand einer vollständigen Zertifikatskette überprüft werden.
Lösung
Das zur Signierung verwendete Zertifikat ist ausgestellt von der Zwischenzertifizierungsstelle Microsoft Code Signing PCA 2011. Wie sich zeigte, fehlte diese sog. Intermediate CA im Zertifikatsspeicher des lokalen Exchange Servers. Glücklicherweise beinhaltet die Mitigation Service XML-Datei auch dieses Zertifikat.
Nach einem einem Doppelklick auf die zweite Zertifikatsdatei reichte ein “Install Certificate”, um das fehlende Zertifikat in den Speicher der Intermediate Certification Authorities des lokalen Computerkontos zu importieren.
Nach der Installation des fehlenden Zertifikates der Zwischenzertifizierungsstelle meldete das PowerShell-Skript Test-MitigationServiceConnectivity.ps1 keinen Fehler mehr. Die Signatur der Mitigation Service XML-Datei konnte erfolgreich überprüft werden. Damit war der lokale Exchange Server Mitigation Service wieder in der Lage, die XML-Datei korrekt zu verarbeiten.
Das fehlende Zertifikat musste natürlich nicht nur auf einem Exchange Server installiert werden, sondern auf allen Exchange Servern der Exchange Organisation.
Hinweis
Das Fehlen des Zertifikates der Zwischenzertifizierungsstelle ist dem Umstand geschuldet, dass die Exchange Server Systeme in einer per GPO streng konfigurierten Umgebung betrieben werden. Im Rahmen dieser Konfiguration wird der Zertifikatsspeicher der Serversysteme per Gruppenrichtlinie kontrolliert.
In einer Exchange Organisation m Standardbetrieb sollte das oben beschriebene Problem nicht auftreten.
Links
Viel Spaß mit Exchange Server.
