SharePointCommunity

Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Event ID 8311

Dieser Beitrag hat 13 Antworten

354 Beiträge

ExpoIT erstellt 24 März 2017 10:44

Hallo,

ich konnte keine E-Mails verschicken. Habe nun im Event Viewer folgenden Eintrag gefunden:

An operation failed because the following certificate has validation errors:

Subject Name: CN=dxxx.xxxxx.intra, OU=IT Department, O=xxxx xxx, L=xxxxx, S=xxxxx, C=DE

Issuer Name: CN=xxxxx-xxxx-x-xx-CA, DC=xxxxx, DC=intra

Thumbprint: 80xxxxF9E91xxxxxxxxxxxxxxxxxxxxxxxxx71E2504B5

Errors: SSL policy errors have been encountered. Error code '0x2'..

Dazu habe ich einen Workaround weg gefunden, nämlich, indem ich im web.config folgenden Eintrag setze:

Allerdings, wird hier doch eine Fehlermeldung ignoriert! Ist das schädlich? Wenn ja, wie könnte ich dieses Problem lösen? Welches Zertifikat stimmt denn hier nicht???

Bin dankbar für Tipps und Ratschläge

Alle Antworten

19231 Beiträge

Andi Fandrich Als Antwort am 24 März 2017 12:35

Bist Du sicher, daß das mit dem Mailversand zu tun hat? Falls ja, welches Mailsystem verwendet Ihr? Ich würde jedenfalls versuchen das Problem an sich zu lösen und nicht einfach die Meldung unterdrücken. Vermutlich muß man nur auf einem der beteiligten Systeme das Zertifikat registrieren oder das zugehörige Root-Zertifikat als vertrauenswürdig registrieren oder sowas.

Viele Grüße
Andi

af @ evocom de
Blog

354 Beiträge

ExpoIT Als Antwort am 5 Apr. 2017 13:47

wie registriere ich denn das (Root)Zertifikat?

Viele Grüße AS

19231 Beiträge

Andi Fandrich Als Antwort am 5 Apr. 2017 15:10

Auf der entsprechenden Maschine das Zertifikat per Doppelklick öffnen. Im Dialog gibt es glaube ich auf dem zweiten Reiter einen Button Speichern o.s.ä. Dort dann nicht den Speicherort automatisch wählen lassen, sondern manuell den Speicherort für vertrauenswürdige Root-Zertifikate wählen.

Die Texte unterscheiden sich wahrscheinlich etwas, da aus dem Gedächtnis geschrieben, aber es sollte reichen.

Viele Grüße
Andi

af @ evocom de
Blog

354 Beiträge

ExpoIT Als Antwort am 5 Apr. 2017 15:36

ich glaube ich hab da etwas mehr an der Backe:

Wenn ich irgendeine Seite öffne, erscheint wie gesagt "Certificate error" in der Leiste. Klicke ich drauf, sehe ich, das ist das Zertifikat von der App-Webanwendung.....The security certificate presented by this website was issued for a different website's address.

Ich habe im Server 2 Netzwerkadapter,

Adapter 1 ist für sharepoint

Adapter 2 für die apps

habe ich mir gedacht.

Ist das falsch?

Müsste ich ein NIC-Team bilden? oder warum klappt das nicht?

Viele Grüße AS

19231 Beiträge

Andi Fandrich Als Antwort am 5 Apr. 2017 15:40

Da bist Du eine Ebene zu tief ;-)

Du brauchst dazu nicht an den Netzwerkadaptern zu fummeln (einer würde reichen). Zertifikate werden immer vom Webserver verwaltet, hier also vom IIS. Öffne die IIS-Konsole. Dort kannst Du auf dem Knoten des Servers die Zertifikate generell verwalten, also auch neue hochladen usw. Auf der jeweiligen Web App kannst Du dann unter Bindings ein Zertifikat zuweisen.

Viele Grüße
Andi

af @ evocom de
Blog

354 Beiträge

ExpoIT Als Antwort am 5 Apr. 2017 17:10

ja, im IIS scheint aber alles ok, deshalb kam ich auf die Idee mit den Netzwerkadaptern.

Ich habe die CA, sharepoint.company.intra und spappweb.company.intra

CA hat beim Bindings keine IP-Adresse, Zertifikat: SPServer.company.intra => keine Fehlermeldung

sharepoint.company.intra hat eine IP-Adresse 10.xxx.xxx.xx1, Zertifikat: sharepoint.company.intra => Fehlermeldung Certificate error => angezeigtes Zertifikat: *.spapps.company.intra

spappweb.company.intra hat IP 10.xxx.xxx.xx2, Zertifikat: *.spapps.company.intra

verstehe nicht, warum plötzlich ein anderes Zertifikat aufgenommen wird.... Ist da bei der App-konfiguration (Herr Scheuermann) was falsch gelaufen??

Danke und Gruß

Viele Grüße AS

19231 Beiträge

Andi Fandrich Als Antwort am 6 Apr. 2017 09:16

Zumindest scheint mit dem sharepoint.company.intra Zertifikat etwas nicht zu stimmen. Beachte auch, daß der Name des Zertifikats völlig nichtssagend ist. Es kann also durchaus eine Domäne im Namen haben, aber für eine ganz andere Domäne ausgestellt sein.

Viele Grüße
Andi

af @ evocom de
Blog

354 Beiträge

ExpoIT Als Antwort am 6 Apr. 2017 11:40

ich habe im IIS bei "Default Web Site" und "SharePoint Web Services" ein Fragezeichen mit der Bezeichnung "multiple protocols", ob das damit zu tun hat?

Ich werde sonst einfach nicht fündig, im Prinzip scheint alles richtig eingerichtet...

Viele Grüße AS

19231 Beiträge

Andi Fandrich Als Antwort am 6 Apr. 2017 11:49

Die Default Web Site wird vom SharePoint Setup normalerweise abgeschaltet. Sollte die bei Dir laufen, schalte sie wieder ab.

Viele Grüße
Andi

af @ evocom de
Blog

354 Beiträge

ExpoIT Als Antwort am 6 Apr. 2017 11:56

ja die ist abgeschaltet

Viele Grüße AS

19231 Beiträge

Andi Fandrich Als Antwort am 6 Apr. 2017 13:31

Dann kannst Du sie auch ignorieren. Mehr kann ich aber jetzt nicht mehr sagen - in jedem Fall dürfen im Browser auf den beteiligten Systemen keine Zertifikatfehler erscheinen, wenn man die einzelnen Web Apps aufruft.

Viele Grüße
Andi

af @ evocom de
Blog

354 Beiträge

ExpoIT Als Antwort am 5 Mai 2017 20:54

die o.a. Fehlermeldung ist nun nach einiger Zeit nochmals aufgetreten, dazu habe ich im Internet eine französische Seite gefunden, die meint, ich müsste den Servernamen auf den Fullservernamen umändern. (http://www.lotp.fr/2013/05/sharepoint-event-8311-ssl-policy-errors-encountered-error-code-0x2/)

mit "get-spserver" habe ich folgende ausgabe:

Adress Role Status

MyServer SingleServerFarm Online

MyServer.domain.intra Invalid Online

So wie ich es verstanden habe, müsste der SingleServerFarm als Adresse MyServer.domain.intra haben, damit das mit dem Zertifikat auch funktioniert.

Kann mir das jemand bestätigen und auch bei der Umbenennung helfen, ich hoffe es hat keine Folgen, wenn ich den Namen ändere....

Viele Grüße AS