Ma configuration : serveur Windows 2000 SP4 (à jour en ce qui concerne
les hotfixes), IIS 5, Exchange 2003 SP1, le tout en version anglaise.
Le serveur IIS est utilisé pour accéder à Exchange via OWA : en direct
depuis le LAN, via un reverse proxy Linux/Apache depuis l'internet.
Toutes les connexions sont chiffrées avec SSL, le certificat serveur
étant généré avec OpenSSL (certificat auto-signé).
La configuration a fonctionné sans aucun problème pendant plus de 4
semaines.
Depuis quelques jours, le SSL ne fonctionne plus sur IIS; la partie
Linux/apache fonctionne parfaitement, d'ailleurs les connexions à l'IIS
ne fonctionnent plus même depuis le LAN. Après de multiples tests, il
s'avère que IIS refuse de servir quoi que ce soit (même une page html
statique) en https; en http il fonctionne normalement.
Au cas où il aurait développé une soudaine allergie au certificat
OpenSSL j'ai installé l'autorité de certification MS en stand alone et
le certificat de serveur qu'elle a produit. Aucun changement. J'ai
également reconfiguré (plusieurs fois) l'identification du site (et les
host headers). Les services ont été redémarrés; la machine a été rebootée.
Il n'y a production d'aucun message d'erreur ni pour le client ni dans
le log d'applications lors des tentatives de connexion https; le client
attend simplement sa connexion jusqu'au timeout.
Lors du redémarrage d'IIS, deux messages d'erreurs #36871 : Schannel - A
fatal error occurred while creating an SSL server credential sont
enregistrés. Ces erreurs semblent apparaître après l'installation par
Windows Update du hotfix KB912919; la désinstallation de ce hotfix n'a
pas restauré le fonctionnement du serveur. Les seuls autres événements
"marquants" enregistrés entre la dernière connexion réussie et le
premier échec sont les opérations de maintenance automatique Exchange
(nettoyage, défrag, compactage).
Aujourd'hui, nous sommes en mesure de restaurer les accès mais avec un
niveau de sécurité inacceptable.
Le filtre SSL a été désinstallé puis réinstallé, les permissions sur
system32\inetsrv vérifiées; la procédure de troubleshooting suggérée par
http://support.microsoft.com/default.aspx?scid=kb;EN-AU;q247098 n'a pas
pu être menée à bien : absence de tout dossier "Adminsamples" sous inetsrv\.
L'article http://support.microsoft.com/kb/324839/en-us ne donne pas non
plus la solution (pas de message dans le log, la clef de registre est
bien vide).
La désinstallation/réinstallation d'IIS est problématique : je ne sais
pas du tout comment mon serveur Exchange va prendre la désinstallation
du serveur smtp; d'autre part il n'est pas sûr que la restauration du
schéma IIS5 suffira à restaurer les fonctionnalités OWA (changement
d'identifiant de sécurité de l'IUSR,...).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
jbongran
cidrolin wrote:
Bonjour,
Ma configuration : serveur Windows 2000 SP4 (à jour en ce qui concerne les hotfixes), IIS 5, Exchange 2003 SP1, le tout en version anglaise.
Le serveur IIS est utilisé pour accéder à Exchange via OWA : en direct depuis le LAN, via un reverse proxy Linux/Apache depuis l'internet. Toutes les connexions sont chiffrées avec SSL, le certificat serveur étant généré avec OpenSSL (certificat auto-signé).
La configuration a fonctionné sans aucun problème pendant plus de 4 semaines.
Depuis quelques jours, le SSL ne fonctionne plus sur IIS; la partie Linux/apache fonctionne parfaitement, d'ailleurs les connexions à l'IIS ne fonctionnent plus même depuis le LAN. Après de multiples tests, il s'avère que IIS refuse de servir quoi que ce soit (même une page html statique) en https; en http il fonctionne normalement.
Au cas où il aurait développé une soudaine allergie au certificat OpenSSL j'ai installé l'autorité de certification MS en stand alone et le certificat de serveur qu'elle a produit. Aucun changement. J'ai également reconfiguré (plusieurs fois) l'identification du site (et les host headers). Les services ont été redémarrés; la machine a été rebootée.
Il n'y a production d'aucun message d'erreur ni pour le client ni dans le log d'applications lors des tentatives de connexion https; le client attend simplement sa connexion jusqu'au timeout.
Lors du redémarrage d'IIS, deux messages d'erreurs #36871 : Schannel - A fatal error occurred while creating an SSL server credential sont enregistrés. Ces erreurs semblent apparaître après l'installation par Windows Update du hotfix KB912919; la désinstallation de ce hotfix n'a pas restauré le fonctionnement du serveur. Les seuls autres événements "marquants" enregistrés entre la dernière connexion réussie et le premier échec sont les opérations de maintenance automatique Exchange (nettoyage, défrag, compactage).
Aujourd'hui, nous sommes en mesure de restaurer les accès mais avec un niveau de sécurité inacceptable.
Le filtre SSL a été désinstallé puis réinstallé, les permissions sur system32inetsrv vérifiées; la procédure de troubleshooting suggérée par http://support.microsoft.com/default.aspx?scid=kb;EN-AU;q247098 n'a pas pu être menée à bien : absence de tout dossier "Adminsamples" sous inetsrv.
L'article http://support.microsoft.com/kb/324839/en-us ne donne pas non plus la solution (pas de message dans le log, la clef de registre est bien vide).
La désinstallation/réinstallation d'IIS est problématique : je ne sais pas du tout comment mon serveur Exchange va prendre la désinstallation du serveur smtp; d'autre part il n'est pas sûr que la restauration du schéma IIS5 suffira à restaurer les fonctionnalités OWA (changement d'identifiant de sécurité de l'IUSR,...).
Ma configuration : serveur Windows 2000 SP4 (à jour en ce qui concerne
les hotfixes), IIS 5, Exchange 2003 SP1, le tout en version anglaise.
Le serveur IIS est utilisé pour accéder à Exchange via OWA : en direct
depuis le LAN, via un reverse proxy Linux/Apache depuis l'internet.
Toutes les connexions sont chiffrées avec SSL, le certificat serveur
étant généré avec OpenSSL (certificat auto-signé).
La configuration a fonctionné sans aucun problème pendant plus de 4
semaines.
Depuis quelques jours, le SSL ne fonctionne plus sur IIS; la partie
Linux/apache fonctionne parfaitement, d'ailleurs les connexions à
l'IIS
ne fonctionnent plus même depuis le LAN. Après de multiples tests, il
s'avère que IIS refuse de servir quoi que ce soit (même une page html
statique) en https; en http il fonctionne normalement.
Au cas où il aurait développé une soudaine allergie au certificat
OpenSSL j'ai installé l'autorité de certification MS en stand alone et
le certificat de serveur qu'elle a produit. Aucun changement. J'ai
également reconfiguré (plusieurs fois) l'identification du site (et
les host headers). Les services ont été redémarrés; la machine a été
rebootée.
Il n'y a production d'aucun message d'erreur ni pour le client ni dans
le log d'applications lors des tentatives de connexion https; le
client attend simplement sa connexion jusqu'au timeout.
Lors du redémarrage d'IIS, deux messages d'erreurs #36871 : Schannel
- A fatal error occurred while creating an SSL server credential sont
enregistrés. Ces erreurs semblent apparaître après l'installation par
Windows Update du hotfix KB912919; la désinstallation de ce hotfix n'a
pas restauré le fonctionnement du serveur. Les seuls autres événements
"marquants" enregistrés entre la dernière connexion réussie et le
premier échec sont les opérations de maintenance automatique Exchange
(nettoyage, défrag, compactage).
Aujourd'hui, nous sommes en mesure de restaurer les accès mais avec un
niveau de sécurité inacceptable.
Le filtre SSL a été désinstallé puis réinstallé, les permissions sur
system32inetsrv vérifiées; la procédure de troubleshooting suggérée
par http://support.microsoft.com/default.aspx?scid=kb;EN-AU;q247098
n'a pas
pu être menée à bien : absence de tout dossier "Adminsamples" sous
inetsrv.
L'article http://support.microsoft.com/kb/324839/en-us ne donne pas
non plus la solution (pas de message dans le log, la clef de registre
est
bien vide).
La désinstallation/réinstallation d'IIS est problématique : je ne sais
pas du tout comment mon serveur Exchange va prendre la désinstallation
du serveur smtp; d'autre part il n'est pas sûr que la restauration du
schéma IIS5 suffira à restaurer les fonctionnalités OWA (changement
d'identifiant de sécurité de l'IUSR,...).
Ma configuration : serveur Windows 2000 SP4 (à jour en ce qui concerne les hotfixes), IIS 5, Exchange 2003 SP1, le tout en version anglaise.
Le serveur IIS est utilisé pour accéder à Exchange via OWA : en direct depuis le LAN, via un reverse proxy Linux/Apache depuis l'internet. Toutes les connexions sont chiffrées avec SSL, le certificat serveur étant généré avec OpenSSL (certificat auto-signé).
La configuration a fonctionné sans aucun problème pendant plus de 4 semaines.
Depuis quelques jours, le SSL ne fonctionne plus sur IIS; la partie Linux/apache fonctionne parfaitement, d'ailleurs les connexions à l'IIS ne fonctionnent plus même depuis le LAN. Après de multiples tests, il s'avère que IIS refuse de servir quoi que ce soit (même une page html statique) en https; en http il fonctionne normalement.
Au cas où il aurait développé une soudaine allergie au certificat OpenSSL j'ai installé l'autorité de certification MS en stand alone et le certificat de serveur qu'elle a produit. Aucun changement. J'ai également reconfiguré (plusieurs fois) l'identification du site (et les host headers). Les services ont été redémarrés; la machine a été rebootée.
Il n'y a production d'aucun message d'erreur ni pour le client ni dans le log d'applications lors des tentatives de connexion https; le client attend simplement sa connexion jusqu'au timeout.
Lors du redémarrage d'IIS, deux messages d'erreurs #36871 : Schannel - A fatal error occurred while creating an SSL server credential sont enregistrés. Ces erreurs semblent apparaître après l'installation par Windows Update du hotfix KB912919; la désinstallation de ce hotfix n'a pas restauré le fonctionnement du serveur. Les seuls autres événements "marquants" enregistrés entre la dernière connexion réussie et le premier échec sont les opérations de maintenance automatique Exchange (nettoyage, défrag, compactage).
Aujourd'hui, nous sommes en mesure de restaurer les accès mais avec un niveau de sécurité inacceptable.
Le filtre SSL a été désinstallé puis réinstallé, les permissions sur system32inetsrv vérifiées; la procédure de troubleshooting suggérée par http://support.microsoft.com/default.aspx?scid=kb;EN-AU;q247098 n'a pas pu être menée à bien : absence de tout dossier "Adminsamples" sous inetsrv.
L'article http://support.microsoft.com/kb/324839/en-us ne donne pas non plus la solution (pas de message dans le log, la clef de registre est bien vide).
La désinstallation/réinstallation d'IIS est problématique : je ne sais pas du tout comment mon serveur Exchange va prendre la désinstallation du serveur smtp; d'autre part il n'est pas sûr que la restauration du schéma IIS5 suffira à restaurer les fonctionnalités OWA (changement d'identifiant de sécurité de l'IUSR,...).
