• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Intranet Rolle: Fehler bei der SOAP-Sicherheitsaushandlung. Event ID 1791 + 5634

M

mhorbank

Member
Registriert
29 April 2025
Beiträge
9
Reaktionspunkte
2
Wir sind (endlich!) dabei, einen NSP 14.2 (bisher auf einem alten Windows Server) auf Version 15 zu upgraden. Es ist spät, das weiß ich ;)
Dabei haben wir vor einem Monat den NSP 14.2 laut Anleitung auf einen Windows Server 2022 Standard umgezogen und erfolgreich in Betrieb genommen.
Es hat alles wunderbar funktioniert, alles lief.
Eigentlich wollten wir jetzt den nächsten Schritt machen und auf 15 upgraden.
Doch leider gibt es aktuell Probleme.

Das Command Center kann sich nicht mehr verbinden, Fehlermeldung: "Hoppla... NoSpamProxy antwortet nicht. ..."
Wir haben alles probiert, Neustart Server, Neustart aller Dienste, Server ändern auf localhost oder Namen, kein Erfolg.
Die Gatewayrolle scheint sauber zu funktionieren, Mails werden wie gewünscht verarbeitet, die Regeln greifen.
Die Berechtigungen an allen Zertifikaten sind auch korrekt gesetzt.

Ich kann mich auch per Browser mit https://localhost:6061 verbinden und anmelden und sehe dann auch das Messagetracking, allerdings sind die letzten Einträge vom 24.04.2025 18:56 Uhr. Es gibt kein Windows-Update, das an diesem Tag installiert wurde noch haben wir irgendwelche Änderungen an diesem Tag am System vorgenommen. Auch im Event-Log sind in diesem Zeitraum keine Fehler zu finden, die es nicht vorher auch schon gab.

Ich habe mich gestern durch das gesamte Internet gesucht und alles, was ich gefunden habe, ausprobiert. Nichts hat geholfen.

Im Ereignisprotokoll gibt es folgende Fehler der Intranetrolle, die sich regelmäßig wiederholen:

[Fehler Event-ID: 1791]
Could not execute the action 'Replicate pending entries' on the Gateway Role located at ServiceRole:localhost. Fehler bei der SOAP-Sicherheitsaushandlung. Weitere Informationen finden Sie in der inneren Ausnahme.. This seems to be a permanent error.


Message:
Fehler bei der SOAP-Sicherheitsaushandlung. Weitere Informationen finden Sie in der inneren Ausnahme.
Error type:
System.ServiceModel.Security.SecurityNegotiationException

Error code: 2148734209
Program location:

Server stack trace:
bei System.Runtime.AsyncResult.End[TAsyncResult](IAsyncResult result)
bei System.ServiceModel.Channels.ServiceChannel.SendAsyncResult.End(SendAsyncResult result)
bei System.ServiceModel.Channels.ServiceChannel.EndCall(String action, Object[] outs, IAsyncResult result)
bei System.ServiceModel.Channels.ServiceChannelProxy.InvokeEndService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
bei System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]:
bei System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
bei System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
bei Netatwork.NoSpamProxy.Wcf.Services.IVersionControllerAsync.EndGetVersion(IAsyncResult ar)
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei Netatwork.NoSpamProxy.Wcf.Client.Channel.<UseServiceAsync>d__57`2.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
bei Netatwork.NoSpamProxy.IntranetServices.WcfRemoteRoleReplicationConnector.<EnsureProperVersionAsync>d__15.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
bei Netatwork.NoSpamProxy.IntranetServices.ArtifactCollector.<ReplicateToRoleAsync>d__19.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
bei Netatwork.NoSpamProxy.IntranetServices.ClientReplicationService.<ExecuteOnChannelAsync>d__32.MoveNext()


Das geöffnete CNG-Schlüsselhandle ist kurzlebig, aber die EphemeralKey-Option wurde beim Öffnen nicht angegeben.
Parametername: keyHandleOpenOptions

Message:
Das geöffnete CNG-Schlüsselhandle ist kurzlebig, aber die EphemeralKey-Option wurde beim Öffnen nicht angegeben.
Parametername: keyHandleOpenOptions
Error type:
System.ArgumentException

Error code: 2147942487
Program location:
bei System.Security.Cryptography.CngKey.Open(SafeNCryptKeyHandle keyHandle, CngKeyHandleOpenOptions keyHandleOpenOptions)
bei System.Security.Cryptography.X509Certificates.RSACertificateExtensions.GetRSAPrivateKey(X509Certificate2 certificate)
bei System.ServiceModel.Security.SecurityUtils.CanReadPrivateKey(X509Certificate2 certificate)
bei System.ServiceModel.Security.TlsSspiNegotiation.ValidatePrivateKey(X509Certificate2 certificate)
bei System.ServiceModel.Security.TlsSspiNegotiation..ctor(String destination, Boolean isServer, SchProtocols protocolFlags, X509Certificate2 serverCertificate, X509Certificate2 clientCertificate, Boolean clientCertRequired)
bei System.ServiceModel.Security.TlsnegoTokenProvider.CreateTlsSspiState(X509SecurityToken token)
bei System.ServiceModel.Security.TlsnegoTokenProvider.CreateSspiStateAsyncResult..ctor(EndpointAddress target, Uri via, TlsnegoTokenProvider tlsTokenProvider, TimeSpan timeout, AsyncCallback callback, Object state)
bei System.ServiceModel.Security.TlsnegoTokenProvider.BeginCreateNegotiationState(EndpointAddress target, Uri via, TimeSpan timeout, AsyncCallback callback, Object state)
bei System.ServiceModel.Security.IssuanceTokenProviderBase`1.SecurityNegotiationAsyncResult.StartNegotiation()
bei System.ServiceModel.Security.IssuanceTokenProviderBase`1.SecurityNegotiationAsyncResult..ctor(IssuanceTokenProviderBase`1 tokenProvider, TimeSpan timeout, AsyncCallback callback, Object state)


Warnung Event-ID: 5634
Could not get the server information from localhost. Fehler bei der SOAP-Sicherheitsaushandlung. Weitere Informationen finden Sie in der inneren Ausnahme..


Message:
Fehler bei der SOAP-Sicherheitsaushandlung. Weitere Informationen finden Sie in der inneren Ausnahme.
Error type:
System.ServiceModel.Security.SecurityNegotiationException

Error code: 2148734209
Program location:

Server stack trace:
bei System.Runtime.AsyncResult.End[TAsyncResult](IAsyncResult result)
bei System.ServiceModel.Channels.ServiceChannel.SendAsyncResult.End(SendAsyncResult result)
bei System.ServiceModel.Channels.ServiceChannel.EndCall(String action, Object[] outs, IAsyncResult result)
bei System.ServiceModel.Channels.ServiceChannelProxy.InvokeEndService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
bei System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]:
bei System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
bei System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
bei Netatwork.NoSpamProxy.Wcf.Services.IServerStatusControllerAsync.EndGetServerInfo(IAsyncResult ar)
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei Netatwork.NoSpamProxy.Wcf.Client.Channel.<UseServiceAsync>d__57`2.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
bei Netatwork.NoSpamProxy.IntranetServices.RoleChannelProvider.<UpdateServerNameAsync>d__36.MoveNext()


Das geöffnete CNG-Schlüsselhandle ist kurzlebig, aber die EphemeralKey-Option wurde beim Öffnen nicht angegeben.
Parametername: keyHandleOpenOptions

Message:
Das geöffnete CNG-Schlüsselhandle ist kurzlebig, aber die EphemeralKey-Option wurde beim Öffnen nicht angegeben.
Parametername: keyHandleOpenOptions
Error type:
System.ArgumentException

Error code: 2147942487
Program location:
bei System.Security.Cryptography.CngKey.Open(SafeNCryptKeyHandle keyHandle, CngKeyHandleOpenOptions keyHandleOpenOptions)
bei System.Security.Cryptography.X509Certificates.RSACertificateExtensions.GetRSAPrivateKey(X509Certificate2 certificate)
bei System.ServiceModel.Security.SecurityUtils.CanReadPrivateKey(X509Certificate2 certificate)
bei System.ServiceModel.Security.TlsSspiNegotiation.ValidatePrivateKey(X509Certificate2 certificate)
bei System.ServiceModel.Security.TlsSspiNegotiation..ctor(String destination, Boolean isServer, SchProtocols protocolFlags, X509Certificate2 serverCertificate, X509Certificate2 clientCertificate, Boolean clientCertRequired)
bei System.ServiceModel.Security.TlsnegoTokenProvider.CreateTlsSspiState(X509SecurityToken token)
bei System.ServiceModel.Security.TlsnegoTokenProvider.CreateSspiStateAsyncResult..ctor(EndpointAddress target, Uri via, TlsnegoTokenProvider tlsTokenProvider, TimeSpan timeout, AsyncCallback callback, Object state)
bei System.ServiceModel.Security.TlsnegoTokenProvider.BeginCreateNegotiationState(EndpointAddress target, Uri via, TimeSpan timeout, AsyncCallback callback, Object state)
bei System.ServiceModel.Security.IssuanceTokenProviderBase`1.SecurityNegotiationAsyncResult.StartNegotiation()
bei System.ServiceModel.Security.IssuanceTokenProviderBase`1.SecurityNegotiationAsyncResult..ctor(IssuanceTokenProviderBase`1 tokenProvider, TimeSpan timeout, AsyncCallback callback, Object state)
 
Moin,
klingt ganz nach einem Problem bei der Verbindungsverschlüsselung. Ist auf dem Server irgendeine Art von Härtung durchgeführt worden, die auch die Ciphers beeinflusst?
 
Nein, nicht bewusst.
Wir haben gerade auch per Management Studio in die Datenbank geschaut und in der MessageTracking-Tabelle sind tatsächlich die letzten Einträge vom 24.04.2025 18:56 Uhr.

Parallel habe ich auf einer Kopie der VM versucht, auf NSP 15.4 zu upgraden. Der Installer konnte zwei Rollen nicht installieren, es gab jeweils den Fehler: Error 0x80070643: Failed to install MSI package.
Da ich einen Fehler im .NET vermutete, habe ich dann noch einmal in einer weiteren Kopie .NET 4.8.1 installiert (vorher war nur 4.8. vom Windows Server drauf), sfc /scannow und alle dism- Reperaturversuche gestartet, alles ohne Fehleranzeigen und letztlich mit dem gleichen Ergebnis beim Updateversuch auf NSP 15.4.
Leider war das alles gestern spät abends und ich habe mir die Logs nicht gesichert und leider über Nacht auch vergessen, welche beiden Rollen nicht gingen. Eine war glaube ich das Management und die andere eine von Gateway/Intranet. Und die VMs sind schon wieder gelöscht.
 
Nachtrag: Die Fehler im Eventlog tauchen erst auf, seit ich den Server gestern neu gestartet habe. Der Fehler, dass sich das Command Center nicht verbinden kann, trat vorher schon auf.
Der Server lief seit 17.4. ohne Neustart durch, seit 24.4. fehlen die Einträge im MessageTrack in der Datenbank.
Als eine der ersten Aktionen hatte ich gestern den ESET komplett deinstalliert. Hat aber nichts verändert.
 
@mhorbank , wir hatten einen ähnlichen Fall schon einmal mit einem Benutzer Import Zertifikat für Entra ID.
Hier hat es geholfen das Zertifikat als PFX zu exportieren, per OpenSSL in PEM zu konvertieren, dieses dann wieder in PFX und wieder zu importieren.
Hintergrund ist die Codierung, wie auch immer Windows das dann bei unserem Zertifikat geschafft hätte. (ggf. hat das ESET da rein gespielt)
Wenn du einmal in der DB der Gateway Rolle schaust solltest du in der Tabelle "DataReplication.Artefact" einen Haufen Einträge sehen.
Das sind dann deine Messagetrack Informationen, die würden später wieder verarbeitet werden. Heißt aber auch, dass bei einer SQL Express du in Probleme läufst wenn das die 10GB sprengen sollte ;)

Bezüglich des Updates:
Ohne Logs lässt sich dazu leider wirklich nichts sagen :(
 
@JanJäschke, Welches Zertifikat ist gemeint?
Wir haben ein selbstausgestelltes für den Server, das ist dem Port 6061 zugewiesen und wir haben ein LetsEncrypt-Zertifikat für den Empfangskonnektor. Aber du meinst bestimmt ein anderes...
 
Ah sry ^^
Ich meine das selbst ausgestellte für den Server.
Handelt es sich dabei nicht um das vom NSP generierte?

Auf jeden Fall ist das für die Kommunikation zwischen GW Rolle und Intranet Rolle verantwortlich.
 
Dann haben wir über das selbe gesprochen.
Es ist vom NSP ausgestellt und funktioniert aber z.B. beim Zugriff per Web auf das Tracking und wird dort im Firefox korrekt angezeigt.
Dann sollte es doch funktionieren, oder?
 
An den beiden Stellen ist das Handling unterschiedlich, probiere das mit dem Export, konvertieren, Import einmal aus.
Nach dem Import am besten den ganzen Server Neustarten.

Der nächste mögliche Schritt wäre ein komplett neues Zertifikat zu generieren und in der Config einzuspielen :S
 
Ok, die Zwei-Wege-Konvertierung :cool: haben wir gemacht, hat leider nichts gebracht.
Gleiches Verhalten wie vorher.
Gibt es eine Anleitung zum Erstellen eines neuen Zertifikats und wie es wo konfiguriert werden muss?
BTW: connect-nsp mit Ignorieren des Zertifikatsfehlers in der Powershell funktioniert die ganze Zeit.
 
Wäre folgendes Vorgehen denn z.B. eine Alternative - ich vermute irgendwie einen tieferliegenden Fehler im Windows selbst?

Wir haben Veeam Backups dieses Servers. Wenn wir z.B. zwei Wochen zurückgehen und von dort den Server aus einer Sicherung komplett wiederherstellen. Können wir in diesen die Datenbanken des aktuellen NSP einhängen, damit wir die MessageTracking-Daten nicht verlieren?
D.h. wir würden alle NSP-Dienste stoppen, die Datenbanken kopieren (z.B. wie in der Umzugsanleitung), dann das Veeam Backup des Servers wiederherstellen, alle NSP-Dienste stoppen, die Datenbanken einhängen und dann hoffen, dass es wieder läuft.

Was meint ihr?
 
mhorbank schrieb:
Ok, die Zwei-Wege-Konvertierung :cool: haben wir gemacht, hat leider nichts gebracht.
Gleiches Verhalten wie vorher.
Gibt es eine Anleitung zum Erstellen eines neuen Zertifikats und wie es wo konfiguriert werden muss?
BTW: connect-nsp mit Ignorieren des Zertifikatsfehlers in der Powershell funktioniert die ganze Zeit.
Zum Vergrößern anklicken....
Hab grade mal im Support gefragt ob es da was schön aufbereitetes gibt =).


mhorbank schrieb:
Wäre folgendes Vorgehen denn z.B. eine Alternative - ich vermute irgendwie einen tieferliegenden Fehler im Windows selbst?

Wir haben Veeam Backups dieses Servers. Wenn wir z.B. zwei Wochen zurückgehen und von dort den Server aus einer Sicherung komplett wiederherstellen. Können wir in diesen die Datenbanken des aktuellen NSP einhängen, damit wir die MessageTracking-Daten nicht verlieren?
D.h. wir würden alle NSP-Dienste stoppen, die Datenbanken kopieren (z.B. wie in der Umzugsanleitung), dann das Veeam Backup des Servers wiederherstellen, alle NSP-Dienste stoppen, die Datenbanken einhängen und dann hoffen, dass es wieder läuft.

Was meint ihr?
Zum Vergrößern anklicken....
Da deine Version sich nicht geändert hat wäre das Tatsache eine Möglichkeit.
In der Zeit musst du nur entweder in Kauf nehmen, dass neue Messagetracks während der arbeiten nicht vorhanden sind oder du eben eine 100% Downtime hast. (Oder du hast zwei Gateway Rollen)
 
Dann würde ich das versuchen. Die Downtime kriegen wir hin, ist ja eh bald Feiertag :).
Können wir vorher irgendwie sicherstellen, dass die DB an sich in einem konsistenten Zustand ist und es nicht an der DB liegt?
 
Wenn die DB selbst Probleme hätte, dann müsstest du eine große Anzahl an Eventlog Einträgen haben :)
Hier würden die entsprechenden Dienste nämlich sehr arg meckern ^^
(Vor allem beim Start)
 
Dann werde ich das in den nächsten Tagen ausprobieren und das Ergebnis posten.
Vielen Dank bis hierher!!!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

D
Gelöst 34299 Core Anti Spam
2
Antworten
20
Aufrufe
1K
StefanCink
StefanCink
W
LDAPS funktioniert nach Update auf v15 nicht mehr
Antworten
8
Aufrufe
833
wagnerv
W
W
Zertifikatsuche im CC läuft auf Timeout
Antworten
3
Aufrufe
577
JanJäschke
JanJäschke
M
In der Datenbank ist bereits ein Objekt mit dem Namen "PK__MessageTrackIds" vorhanden.
Antworten
6
Aufrufe
304
mbietz
M
I
Gelöst Schannel Fehler / TLS update 15.1
Antworten
3
Aufrufe
330
ITZA
I
Zurück
Oben