Exchange 2013: Shell startet nicht, Keine Verbindung möglich

Hier mal wieder ein interessantes Exchange 2013 Problem, welches aufgetreten ist, nachdem jemand „aufgeräumt“ hatte.

Fehlersituation

Outlook verbindet sich nicht mehr, Zugriff auch Exchange Shell und Exchange Administrative Center war auch nicht mehr möglich. Der Fehler ist aufgetreten nachdem der Exchange Server aufgrund einer fehlerhaften Konfiguration ein völlig falsches Datum hatte. Auch nachdem das Problem behoben war, wollte sich weder Outlook mit Exchange 2013 verbinden, noch war Zugriff auf die Verwaltungsoberflächen (Shell und EAC) möglich. Die Shell brachte nur diese Meldung:

AUSFÜHRLICH: Verbindung mit exchange.domain.local wird hergestellt.
New-PSSession : [exchange.doamin.local] Beim Verbinden mit dem Remoteserver „exchange.domain.local
ist folgender Fehler aufgetreten: [ClientAccessServer=EXCHANGE,BackEndServer=exchange.domain.local
d=c8d68f03-32d5-4c5a-affc-d9fd8fd4b413,TimeStamp=25.05.2016 18:44:58]  Weitere Informationen finden Sie im H
„about_Remote_Troubleshooting“.
In Zeile:1 Zeichen:1
+ New-PSSession -ConnectionURI „$connectionUri“ -ConfigurationName Microsoft.Excha …
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession],
gTransportException
+ FullyQualifiedErrorId : -2144108477,PSSessionOpenFailed

Es wurde allerdings nicht direkt erkannt, das es sich im ersten Step nur um ein Zeitproblem handelte, also wurde viel probiert, optimiert und aufgeräumt… Etwas Zuviel, vielleicht…

Leider ist es nicht immer ganz einfach die relevanten Informationen aus der Fehlermeldung zu lesen, daher hier mal die Stichwörter an denen man eine grobe Richtung ausmachen kann, was den Fehler verursacht:

• BackEndServer
• exchange.domain.local
• PSSessionOpenFailed

Hier könnte man also interpretieren, dass das Öffnen einer PowerShell Session (PSSessionOpenFailed) zum Exchange Server (exchange.domain.local) nicht funktioniert hat. Klingt logisch, denn die Shell startet nicht… Wichtig ist an dieser Stelle aber noch der Hinweis darauf, wo der Fehler liegt: BackEndServer.

Exchange 2013 unterteilt sich in zwei Rollen: FrontEnd (Client Access Rolle) und BackEnd (Mailbox Rolle), hier liegt also nah, dass es sich um ein Problem mit der Mailbox Rolle handelt. Beide Rollen haben jeweils eine eigene Website im IIS, mittlerweile werden fast nur noch MultiRole Server betrieben (FrontEnd und BackEnd auf dem gleichen Server), daher finden sich auch beide Websites auf dem gleichen Server:

Das Backend hat einen sprechenden Namen, das FrontEnd (Default Web Site) leider nicht. Mit dem Wissen aus der Fehlermeldung und dem Hintergrundwissen, dass die Exchange Shell eine Verbindung via IIS (PowerShell vDir) zum Exchange Server herstellen will, lässt sich der Fehler also zumindest eingrenzen.

In manchen Fällen ist es nötig die vDirs neu zu erstellen, zum Beispiel wenn Berechtigungen oder ähnliches hinüber sind.

In diesem Fall war es einfacher, es fehlte nur das Zertifikat in der IIS Webseiten Bindung:

Normalerweise ist hier das Zertifikat mit dem Namen „Microsoft Exchange“ zugewiesen. Sollte wie oben zu sehen nur „Nicht ausgewählt“ angezeigt werden, kann das Zertifikat wieder hinzugefügt werden. Häufig tritt dieses Problem auf, wenn jemand unbedacht die „Zertifikate bereinigt“. Via IIS Manager kann zur Not auch ein neues Self Signed Zertifikat erstellt werden, und dieses entsprechend zugeordnet werden, sollte das Original Zertifikat nicht mehr vorhanden sein.

Das Zertifikat kann dann in den Website Bindungen wieder ausgewählt werden. Nach einem IIS-Neustart (iisreset) funktionierte in diesem Fall auch der Zugriff auf Exchange wieder.

Dies gilt übrigens auch für Exchange 2016 Server.