Exchange 2019 CU Update schlägt fehl mit System.UnauthorizedAccessException: Certificate

Hallo Franky,
Hallo liebe Community,

wir haben gerade massive Probleme mit unserem Exchange Server 2019, nachdem wir versucht hatten das CU 11 aufzuspielen. Leider bracht die Installation bei Schritt 8/10 mit unten stehender Exception ab.

Der Exchange Server läuft nun natürlich nicht mehr und die Installation bringt immer wieder die Meldung. Scheinbar ist hier mit unserem Wildcard Zertifikat etwas nicht in Ordnung. Vor der Installation hat der Server jedoch noch seine Dienste gemacht und das Zertifikat war gültig. 

Hat jemand hier eine Idee, wie wir diese Zertifikatprobleme bereinigen und die Installation neu anstoßen können?

Fehler:
Der folgende Fehler wurde generiert, als "$error.Clear();
Install-ExchangeCertificate -services "IIS, POP, IMAP" -DomainController $RoleDomainController
if ($RoleIsDatacenter -ne $true -And $RoleIsPartnerHosted -ne $true)
{
Install-AuthCertificate -DomainController $RoleDomainController
}
" ausgeführt wurde: "Microsoft.Exchange.Management.SystemConfigurationTasks.AddAccessRuleUnauthorizedAccessException: Unzureichende Rechte zum Erteilen des Netzwerkdienstzugriffs auf das Zertifikat mit dem Fingerabdruck ABCDXXXXXXXXXXXXXXXXXXXXXXXXXX. ---> System.UnauthorizedAccessException: Certificate ---> System.Security.Cryptography.CryptographicException: Der Schlüsselsatz ist nicht vorhanden.

bei System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer)
bei System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean randomKeyContainer, Int32 dwKeySize, SafeProvHandle& safeProvHandle, SafeKeyHandle& safeKeyHandle)
bei System.Security.Cryptography.RSACryptoServiceProvider.GetKeyPair()
bei System.Security.Cryptography.RSACryptoServiceProvider..ctor(Int32 dwKeySize, CspParameters parameters, Boolean useDefaultKeySize)
bei System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey()
bei Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.CAPIAddAccessRule(X509Certificate2 certificate, AccessRule rule)
--- Ende der internen Ausnahmestapelüberwachung ---
bei Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.CAPIAddAccessRule(X509Certificate2 certificate, AccessRule rule)
bei Microsoft.Exchange.Security.Cryptography.X509Certificates.TlsCertificateInfo.AddAccessRule(X509Certificate2 certificate, AccessRule rule)
bei Microsoft.Exchange.Management.SystemConfigurationTasks.ManageExchangeCertificate.EnableForServices(X509Certificate2 cert, AllowedServices services, String websiteName, Boolean requireSsl, ITopologyConfigurationSession dataSession, Server server, List`1 warningList, Boolean allowConfirmation, Boolean forceNetworkService)
--- Ende der internen Ausnahmestapelüberwachung ---
bei Microsoft.Exchange.Configuration.Tasks.Task.ThrowError(Exception exception, ErrorCategory errorCategory, Object target, String helpUrl)
bei Microsoft.Exchange.Configuration.Tasks.Task.WriteError(Exception exception, ErrorCategory category, Object target)
bei Microsoft.Exchange.Management.SystemConfigurationTasks.InstallExchangeCertificate.EnableForServices(X509Certificate2 cert, AllowedServices services)
bei Microsoft.Exchange.Management.SystemConfigurationTasks.InstallExchangeCertificate.InternalProcessRecord()
bei Microsoft.Exchange.Configuration.Tasks.Task.<ProcessRecord>b__91_1()
bei Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)".

Liebe Grüße

Marc D.