SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Sponsored by

Willkommen im Forum Archiv.
Einträge sind hier nicht mehr möglich, aber der Bestand von 12 Jahren SharePoint-Wissen ist hier recherchierbar.




Event ID 8311

Unbeantwortet Dieser Beitrag hat 13 Antworten

Ohne Rang
354 Beiträge
ExpoIT erstellt 24 März 2017 10:44
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hallo, 

ich konnte keine E-Mails verschicken. Habe nun im Event Viewer folgenden Eintrag gefunden:

An operation failed because the following certificate has validation errors:

Subject Name: CN=dxxx.xxxxx.intra, OU=IT Department, O=xxxx xxx, L=xxxxx, S=xxxxx, C=DE

Issuer Name: CN=xxxxx-xxxx-x-xx-CA, DC=xxxxx, DC=intra

Thumbprint: 80xxxxF9E91xxxxxxxxxxxxxxxxxxxxxxxxx71E2504B5

Errors:  SSL policy errors have been encountered.  Error code '0x2'..

Dazu habe ich einen Workaround weg gefunden, nämlich, indem ich im web.config folgenden Eintrag setze:

<settings>
<servicePointManager
 
checkCertificateName=”false”
 
checkCertificateRevocationList=”false”
/>
</settings>

Allerdings, wird hier doch eine Fehlermeldung ignoriert! Ist das schädlich? Wenn ja, wie könnte ich dieses Problem lösen? Welches Zertifikat stimmt denn hier nicht???

Bin dankbar für Tipps und Ratschläge

Alle Antworten

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 24 März 2017 12:35
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Bist Du sicher, daß das mit dem Mailversand zu tun hat? Falls ja, welches Mailsystem verwendet Ihr? Ich würde jedenfalls versuchen das Problem an sich zu lösen und nicht einfach die Meldung unterdrücken. Vermutlich muß man nur auf einem der beteiligten Systeme das Zertifikat registrieren oder das zugehörige Root-Zertifikat als vertrauenswürdig registrieren oder sowas.

Viele Grüße
Andi
af @ evocom de
Blog
Ohne Rang
354 Beiträge
ExpoIT Als Antwort am 5 Apr. 2017 13:47
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

wie registriere ich denn das (Root)Zertifikat?

Viele Grüße AS

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 5 Apr. 2017 15:10
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Auf der entsprechenden Maschine das Zertifikat per Doppelklick öffnen. Im Dialog gibt es glaube ich auf dem zweiten Reiter einen Button Speichern o.s.ä. Dort dann nicht den Speicherort automatisch wählen lassen, sondern manuell den Speicherort für vertrauenswürdige Root-Zertifikate wählen.

Die Texte unterscheiden sich wahrscheinlich etwas, da aus dem Gedächtnis geschrieben, aber es sollte reichen.

Viele Grüße
Andi
af @ evocom de
Blog
Ohne Rang
354 Beiträge
ExpoIT Als Antwort am 5 Apr. 2017 15:36
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

ich glaube ich hab da etwas mehr an der Backe:

Wenn ich irgendeine Seite öffne, erscheint wie gesagt "Certificate error" in der Leiste. Klicke ich drauf, sehe ich, das ist das Zertifikat von der App-Webanwendung.....The security certificate presented by this website was issued for a different website's address.

Ich habe im Server 2 Netzwerkadapter, 

Adapter 1 ist für sharepoint

Adapter 2 für die apps

habe ich mir gedacht.

Ist das falsch?

Müsste ich ein NIC-Team bilden? oder warum klappt das nicht?

Viele Grüße AS

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 5 Apr. 2017 15:40
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Da bist Du eine Ebene zu tief ;-)

Du brauchst dazu nicht an den Netzwerkadaptern zu fummeln (einer würde reichen). Zertifikate werden immer vom Webserver verwaltet, hier also vom IIS. Öffne die IIS-Konsole. Dort kannst Du auf dem Knoten des Servers die Zertifikate generell verwalten, also auch neue hochladen usw. Auf der jeweiligen Web App kannst Du dann unter Bindings ein Zertifikat zuweisen.

Viele Grüße
Andi
af @ evocom de
Blog
Ohne Rang
354 Beiträge
ExpoIT Als Antwort am 5 Apr. 2017 17:10
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

ja, im IIS scheint aber alles ok, deshalb kam ich auf die Idee mit den Netzwerkadaptern.

Ich habe die CA, sharepoint.company.intra und spappweb.company.intra

CA hat beim Bindings keine IP-Adresse, Zertifikat: SPServer.company.intra => keine Fehlermeldung

sharepoint.company.intra hat eine IP-Adresse 10.xxx.xxx.xx1, Zertifikat: sharepoint.company.intra => Fehlermeldung Certificate error => angezeigtes Zertifikat: *.spapps.company.intra

spappweb.company.intra hat IP 10.xxx.xxx.xx2, Zertifikat: *.spapps.company.intra

verstehe nicht, warum plötzlich ein anderes Zertifikat aufgenommen wird.... Ist da bei der App-konfiguration (Herr Scheuermann) was falsch gelaufen??

 

Danke und Gruß

Viele Grüße AS

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 6 Apr. 2017 09:16
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Zumindest scheint mit dem sharepoint.company.intra Zertifikat etwas nicht zu stimmen. Beachte auch, daß der Name des Zertifikats völlig nichtssagend ist. Es kann also durchaus eine Domäne im Namen haben, aber für eine ganz andere Domäne ausgestellt sein.

Viele Grüße
Andi
af @ evocom de
Blog
Ohne Rang
354 Beiträge
ExpoIT Als Antwort am 6 Apr. 2017 11:40
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

ich habe im IIS bei "Default Web Site" und "SharePoint Web Services" ein Fragezeichen mit der Bezeichnung "multiple protocols", ob das damit zu tun hat?

Ich werde sonst einfach nicht fündig, im Prinzip scheint alles richtig eingerichtet...

Viele Grüße AS

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 6 Apr. 2017 11:49
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Die Default Web Site wird vom SharePoint Setup normalerweise abgeschaltet. Sollte die bei Dir laufen, schalte sie wieder ab.

Viele Grüße
Andi
af @ evocom de
Blog
Ohne Rang
354 Beiträge
ExpoIT Als Antwort am 6 Apr. 2017 11:56
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

ja die ist abgeschaltet

Viele Grüße AS

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 6 Apr. 2017 13:31
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Dann kannst Du sie auch ignorieren. Mehr kann ich aber jetzt nicht mehr sagen - in jedem Fall dürfen im Browser auf den beteiligten Systemen keine Zertifikatfehler erscheinen, wenn man die einzelnen Web Apps aufruft.

Viele Grüße
Andi
af @ evocom de
Blog
Ohne Rang
354 Beiträge
ExpoIT Als Antwort am 5 Mai 2017 20:54
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

die o.a. Fehlermeldung ist nun nach einiger Zeit nochmals aufgetreten, dazu habe ich im Internet eine französische Seite gefunden, die meint, ich müsste den Servernamen auf den Fullservernamen umändern. (http://www.lotp.fr/2013/05/sharepoint-event-8311-ssl-policy-errors-encountered-error-code-0x2/)

mit "get-spserver" habe ich folgende ausgabe:

Adress                               Role                               Status

MyServer                          SingleServerFarm          Online

MyServer.domain.intra      Invalid                             Online

 

So wie ich es verstanden habe, müsste der SingleServerFarm als Adresse MyServer.domain.intra haben, damit das mit dem Zertifikat auch funktioniert.

Kann mir das jemand bestätigen und auch bei der Umbenennung helfen, ich hoffe es hat keine Folgen, wenn ich den Namen ändere....

Viele Grüße AS

Ohne Rang
77 Beiträge
Frank Als Antwort am 24 März 2017 12:54
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Nutzt Du TLS bei der Verbindung? Wenn ja, ist der eingetragene SMTP Server identisch zum Namen auf dem Zertifikat?

Viele Grüße
Frank

https://frankeisel.de