SharePointCommunity
Die deutschsprachige Community für SharePoint 2016, 2013 und Office 365

Event ID 8311

bewertet von 0 Usern
Nicht beantwortet Dieser Beitrag hat 0 Geprüfte Antworten | 13 Antworten | 1 Follower

Top-50-Beitragsschreiber
Weiblich
221 Beiträge
ExpoIT erstellt in 24 Mrz 2017 10:44

Hallo, 

ich konnte keine E-Mails verschicken. Habe nun im Event Viewer folgenden Eintrag gefunden:

An operation failed because the following certificate has validation errors:

Subject Name: CN=dxxx.xxxxx.intra, OU=IT Department, O=xxxx xxx, L=xxxxx, S=xxxxx, C=DE

Issuer Name: CN=xxxxx-xxxx-x-xx-CA, DC=xxxxx, DC=intra

Thumbprint: 80xxxxF9E91xxxxxxxxxxxxxxxxxxxxxxxxx71E2504B5

Errors:  SSL policy errors have been encountered.  Error code '0x2'..

Dazu habe ich einen Workaround weg gefunden, nämlich, indem ich im web.config folgenden Eintrag setze:

<settings>
<servicePointManager
 
checkCertificateName=”false”
 
checkCertificateRevocationList=”false”
/>
</settings>

Allerdings, wird hier doch eine Fehlermeldung ignoriert! Ist das schädlich? Wenn ja, wie könnte ich dieses Problem lösen? Welches Zertifikat stimmt denn hier nicht???

Bin dankbar für Tipps und Ratschläge

Viele Grüße AS

Alle Antworten

Top-10-Beitragsschreiber
Männlich
18.033 Beiträge

Bist Du sicher, daß das mit dem Mailversand zu tun hat? Falls ja, welches Mailsystem verwendet Ihr? Ich würde jedenfalls versuchen das Problem an sich zu lösen und nicht einfach die Meldung unterdrücken. Vermutlich muß man nur auf einem der beteiligten Systeme das Zertifikat registrieren oder das zugehörige Root-Zertifikat als vertrauenswürdig registrieren oder sowas.

Viele Grüße
Andi
af @ evocom de
Blog
Top-200-Beitragsschreiber
Männlich
69 Beiträge

Nutzt Du TLS bei der Verbindung? Wenn ja, ist der eingetragene SMTP Server identisch zum Namen auf dem Zertifikat?

Viele Grüße
Frank

https://frankeisel.de

Top-50-Beitragsschreiber
Weiblich
221 Beiträge

wie registriere ich denn das (Root)Zertifikat?

Viele Grüße AS

Top-10-Beitragsschreiber
Männlich
18.033 Beiträge

Auf der entsprechenden Maschine das Zertifikat per Doppelklick öffnen. Im Dialog gibt es glaube ich auf dem zweiten Reiter einen Button Speichern o.s.ä. Dort dann nicht den Speicherort automatisch wählen lassen, sondern manuell den Speicherort für vertrauenswürdige Root-Zertifikate wählen.

Die Texte unterscheiden sich wahrscheinlich etwas, da aus dem Gedächtnis geschrieben, aber es sollte reichen.

Viele Grüße
Andi
af @ evocom de
Blog
Top-50-Beitragsschreiber
Weiblich
221 Beiträge

ich glaube ich hab da etwas mehr an der Backe:

Wenn ich irgendeine Seite öffne, erscheint wie gesagt "Certificate error" in der Leiste. Klicke ich drauf, sehe ich, das ist das Zertifikat von der App-Webanwendung.....The security certificate presented by this website was issued for a different website's address.

Ich habe im Server 2 Netzwerkadapter, 

Adapter 1 ist für sharepoint

Adapter 2 für die apps

habe ich mir gedacht.

Ist das falsch?

Müsste ich ein NIC-Team bilden? oder warum klappt das nicht?

Viele Grüße AS

Top-10-Beitragsschreiber
Männlich
18.033 Beiträge

Da bist Du eine Ebene zu tief ;-)

Du brauchst dazu nicht an den Netzwerkadaptern zu fummeln (einer würde reichen). Zertifikate werden immer vom Webserver verwaltet, hier also vom IIS. Öffne die IIS-Konsole. Dort kannst Du auf dem Knoten des Servers die Zertifikate generell verwalten, also auch neue hochladen usw. Auf der jeweiligen Web App kannst Du dann unter Bindings ein Zertifikat zuweisen.

Viele Grüße
Andi
af @ evocom de
Blog
Top-50-Beitragsschreiber
Weiblich
221 Beiträge

ja, im IIS scheint aber alles ok, deshalb kam ich auf die Idee mit den Netzwerkadaptern.

Ich habe die CA, sharepoint.company.intra und spappweb.company.intra

CA hat beim Bindings keine IP-Adresse, Zertifikat: SPServer.company.intra => keine Fehlermeldung

sharepoint.company.intra hat eine IP-Adresse 10.xxx.xxx.xx1, Zertifikat: sharepoint.company.intra => Fehlermeldung Certificate error => angezeigtes Zertifikat: *.spapps.company.intra

spappweb.company.intra hat IP 10.xxx.xxx.xx2, Zertifikat: *.spapps.company.intra

verstehe nicht, warum plötzlich ein anderes Zertifikat aufgenommen wird.... Ist da bei der App-konfiguration (Herr Scheuermann) was falsch gelaufen??

 

Danke und Gruß

Viele Grüße AS

Top-10-Beitragsschreiber
Männlich
18.033 Beiträge

Zumindest scheint mit dem sharepoint.company.intra Zertifikat etwas nicht zu stimmen. Beachte auch, daß der Name des Zertifikats völlig nichtssagend ist. Es kann also durchaus eine Domäne im Namen haben, aber für eine ganz andere Domäne ausgestellt sein.

Viele Grüße
Andi
af @ evocom de
Blog
Top-50-Beitragsschreiber
Weiblich
221 Beiträge

ich habe im IIS bei "Default Web Site" und "SharePoint Web Services" ein Fragezeichen mit der Bezeichnung "multiple protocols", ob das damit zu tun hat?

Ich werde sonst einfach nicht fündig, im Prinzip scheint alles richtig eingerichtet...

Viele Grüße AS

Top-10-Beitragsschreiber
Männlich
18.033 Beiträge

Die Default Web Site wird vom SharePoint Setup normalerweise abgeschaltet. Sollte die bei Dir laufen, schalte sie wieder ab.

Viele Grüße
Andi
af @ evocom de
Blog
Top-50-Beitragsschreiber
Weiblich
221 Beiträge

ja die ist abgeschaltet

Viele Grüße AS

Top-10-Beitragsschreiber
Männlich
18.033 Beiträge

Dann kannst Du sie auch ignorieren. Mehr kann ich aber jetzt nicht mehr sagen - in jedem Fall dürfen im Browser auf den beteiligten Systemen keine Zertifikatfehler erscheinen, wenn man die einzelnen Web Apps aufruft.

Viele Grüße
Andi
af @ evocom de
Blog
Top-50-Beitragsschreiber
Weiblich
221 Beiträge

die o.a. Fehlermeldung ist nun nach einiger Zeit nochmals aufgetreten, dazu habe ich im Internet eine französische Seite gefunden, die meint, ich müsste den Servernamen auf den Fullservernamen umändern. (http://www.lotp.fr/2013/05/sharepoint-event-8311-ssl-policy-errors-encountered-error-code-0x2/)

mit "get-spserver" habe ich folgende ausgabe:

Adress                               Role                               Status

MyServer                          SingleServerFarm          Online

MyServer.domain.intra      Invalid                             Online

 

So wie ich es verstanden habe, müsste der SingleServerFarm als Adresse MyServer.domain.intra haben, damit das mit dem Zertifikat auch funktioniert.

Kann mir das jemand bestätigen und auch bei der Umbenennung helfen, ich hoffe es hat keine Folgen, wenn ich den Namen ändere....

Viele Grüße AS

Seite 1 von 1 (14 Elemente) | RSS