Автор Тема: exchange 2013 обновился до CU23  (Прочитано 393 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн DedMagarbI4

  • Ветеран
  • *****
  • Сообщений: 1882
  • Рейтинг: 11
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: г.Невинномысск
exchange 2013 обновился до CU23
« : 23 Ноября 2022, 10:52:30 »
Доброго денечка.

Поставил обнову Exchange2013 KB5019758 (CU23), июльская 2021 короче.

После установки по рекомендациям МС получил неработающий веб интерфейс пользователей и админский с такой ошибкой (если заходить в админку)
Microsoft.Exchange.Diagnostics.ExAssertException: ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1

У пользователей страница логина открывается, а вот при попытке входа - "что то пошло ни так" обратитесь к кому то.

Решенение нагуглилось быстро в принципе.
https://social.technet.microsoft.com/Forums/ru-RU/1d132505-fab3-49f8-8d1f-06126b298515/exchange-2013-10851077-10881072107310861090107211021090-owa-1080?forum=exchange2013ru
https://learn.microsoft.com/en-us/answers/questions/479727/after-kb5004778-update-unable-to-access-owa-amp-ec.html?page=1&pageSize=10&sort=oldest
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-july-2021-exchange-server-security-updates/ba-p/2523421
https://learn.microsoft.com/en-us/exchange/troubleshoot/administration/cannot-access-owa-or-ecp-if-oauth-expired?preserve-view=true#resolution

проверить сертификат, если просрочен-перевыпустить.

В моем случае сертификата не было вообще, при проверке выдавало что такого файла нет (судя по комментам там в основном у кого то были просрочены, у кого то действительные но все равно почему то отвалилось)

Я перевыпустил, установил сертификат (при установке отказался от использования его для SMTP).
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName "имя домена"
Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate
Снова установил обнову.
Обновил схему AD (вроде как для 2013 надо делать)
c:\Program Files\Microsoft\Exchange Server\V15\Bin\setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms

перезагрузил сервер.
после перезагрузки все равно те же ошибки.
в комментах советуют часовой пояс перевести на utc, сделал - перезагрузил. все заработало.

как я понял, можно было подождать +3 часа и оно само бы заработало.
ну пока сделал как сделал, завтра попробую вернуть часовой пояс и проверить.

« Последнее редактирование: 23 Ноября 2022, 15:42:34 от DedMagarbI4 »

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8879
  • Рейтинг: 87
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
exchange 2013 обновился до 44
« Ответ #1 : 23 Ноября 2022, 11:17:17 »
Вопрос-то в чем?

Оффлайн DedMagarbI4

  • Ветеран
  • *****
  • Сообщений: 1882
  • Рейтинг: 11
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: г.Невинномысск
exchange 2013 обновился до 44
« Ответ #2 : 23 Ноября 2022, 11:32:06 »
Вопрос-то в чем?
может кто сталкивался с этой проблемой и она решается быстрее чем предлагает МS ?


Updated: 23 November 2022, 11:32:54

пока что сделал как предлагает мс, сижу жду. но чет подсказывает мне, что просто так ничего не будет  :D

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8879
  • Рейтинг: 87
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
exchange 2013 обновился до 44
« Ответ #3 : 23 Ноября 2022, 12:11:28 »
А чего ждать-то, оно сразу должно заработать. Если эта статья твой случай, конечно. Логи смотри, что там.

Оффлайн DedMagarbI4

  • Ветеран
  • *****
  • Сообщений: 1882
  • Рейтинг: 11
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: г.Невинномысск
exchange 2013 обновился до CU23
« Ответ #4 : 23 Ноября 2022, 15:48:49 »
Retif, наверное можно поудалять ненужные посты, первый отредактировал

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8879
  • Рейтинг: 87
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
exchange 2013 обновился до CU23
« Ответ #5 : 23 Ноября 2022, 16:41:44 »
в комментах советуют часовой пояс перевести на utc, сделал - перезагрузил. все заработало.
А-а, ну да, есть там такое дело, просто публикуется сертификат не сразу. Ты вот эту команду выполнял?

Set-AuthConfig -PublishCertificate
Она вроде как сразу его публикует.


Updated: 23 November 2022, 16:45:48

Я, когда планово его перевыписывал, вот так приходилось делать:

#Устанавливаем новый сертификат в Set-AuthConfig с текущей датой плюс 3 дня, чтобы сертификат успел распространиться на все серверы.
#После этой команды сертификат "Microsoft Exchange Server Auth Certificate" должен постепенно появиться на всех серверах.
$EffectiveDate =  ([DateTime]::Today.AddDays(1).AddSeconds(-1))   
Set-AuthConfig -NewCertificateThumbprint 'AC49CA200AA603C473C58531611925CEEDABA8F6' -NewCertificateEffectiveDate $EffectiveDate

#Ждем 3 дня, он сам станет текущим через три дня.

#Set-AuthConfig -PublishCertificate # - это не нужно, это если публиковать его прямо сейчас.

#Убеждаемся, что новый сертификат стал текущим:
Get-AuthConfig | select name,*CertificateThumbprint* | fl

Чтобы успел на все серверы разойтись.
« Последнее редактирование: 23 Ноября 2022, 16:47:15 от Retif »

Оффлайн DedMagarbI4

  • Ветеран
  • *****
  • Сообщений: 1882
  • Рейтинг: 11
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: г.Невинномысск
exchange 2013 обновился до CU23
« Ответ #6 : 23 Ноября 2022, 17:30:38 »
Ты вот эту команду выполнял?
да делал, ну как я понял (из комментов) что там серт выпускается по utc и можно было бы на utc тайм зону сначала перевести, выпустить и зону вернуть обратно, тогда было бы вообще без проблем. ну а так, приходится ждать столько времени смотря из какой ты зоны, у меня как раз +3 часа получилось.
сейчас зону вернул обратно, все работает.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 8879
  • Рейтинг: 87
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
exchange 2013 обновился до CU23
« Ответ #7 : 23 Ноября 2022, 17:43:55 »
что там серт выпускается по utc и можно было бы на utc тайм зону сначала перевести, выпустить и зону вернуть обратно
Ну вот да.