NSP Upgrade von 13.2.21327.1706 auf 14.x schlägt fehl - Intranet Rolle - SSL config failed

[raffi]

Hallo liebes Forum

Ich versuche meine NSP 13.2 auf die aktuellste Version zu aktualisieren. Leider ohne Erfolg.
Win2022 Srv mit SQL 2022 Exp

Alle Rollen laufen durch und werden erfolgreich installiert, nur die Intranet Rolle nicht.
Ich habe es mehrfach versucht und bin immer wieder auf einen VM Snapshot zurück, den ich zuvor erstellt habe.

Mein personal certificate store ist leer. Ich habe vor dem Setup alle Zertifikate gelöscht und nur noch ein Cert drin das bis um die 2060 läuft mit dem system name, kein public cert mehr.

Ich erhalte folgende Fehlermeldung und habe dazu leider bisher nichts gefunden.
Ich bin für alle Tipps dankbar.


CustomAction (Install, IntranetRole.Installer.IntranetRoleInstaller) [09:09:26:114]: The installer WebApiPermissionInstaller threw an exception: System.ComponentModel.Win32Exception (0x80004005): Failed to configure the SSL certificate for the services. Creating the new configuration failed. Error: Unzulässige Funktion
bei Netatwork.NoSpamProxy.Configuration.Deployment.HttpConfigurationManager.ThrowExceptionIfRequired(Int32 errorCode, String errorLocation)
bei Netatwork.NoSpamProxy.Configuration.Deployment.HttpConfigurationManager.CreateSslConfiguration(WebApiHttpConfiguration configuration, Boolean hasHostHeader, Nullable`1 currentSslSniConfig, Nullable`1 currentSslConfig)
bei Netatwork.NoSpamProxy.Configuration.Deployment.HttpConfigurationManager.ConfigureSsl(WebApiHttpConfiguration configuration, WebApiHttpConfiguration existingConfiguration)
bei IntranetRole.Installer.WebApiPermissionInstaller.Install(IDictionary stateSaver)
bei Netatwork.NoSpamProxy.Configuration.Deployment.ConfigurationFileUpdateInstaller.Install(IDictionary stateSaver).
CustomAction (Install, IntranetRole.Installer.IntranetRoleInstaller) [09:09:26:116]: Configuration manager instance count is 0. Saving configuration and closing configuration file.
CustomAction (Install, IntranetRole.Installer.IntranetRoleInstaller) [09:09:26:185]: Deleting original configuration file C:\ProgramData\Net at Work Mail Gateway\Configuration\\Intranet Role.config.
CustomAction (Install, IntranetRole.Installer.IntranetRoleInstaller) [09:09:26:187]: Moving new configuration file C:\Users\********\AppData\Local\Temp\bda35b72a4cc4da9a8530a4b3cd18bb3.config to C:\ProgramData\Net at Work Mail Gateway\Configuration\\Intranet Role.config.
CustomAction (Install, IntranetRole.Installer.IntranetRoleInstaller) [09:09:26:196]: An exception occurred during the installation: Message:
Failed to configure the SSL certificate for the services. Creating the new configuration failed. Error: Unzulässige Funktion
Error type:
System.ComponentModel.Win32Exception

Error code: 2147500037
Program location:
bei Netatwork.NoSpamProxy.Configuration.Deployment.HttpConfigurationManager.ThrowExceptionIfRequired(Int32 errorCode, String errorLocation)
bei Netatwork.NoSpamProxy.Configuration.Deployment.HttpConfigurationManager.CreateSslConfiguration(WebApiHttpConfiguration configuration, Boolean hasHostHeader, Nullable`1 currentSslSniConfig, Nullable`1 currentSslConfig)
bei Netatwork.NoSpamProxy.Configuration.Deployment.HttpConfigurationManager.ConfigureSsl(WebApiHttpConfiguration configuration, WebApiHttpConfiguration existingConfiguration)
bei IntranetRole.Installer.WebApiPermissionInstaller.Install(IDictionary stateSaver)
bei Netatwork.NoSpamProxy.Configuration.Deployment.ConfigurationFileUpdateInstaller.Install(IDictionary stateSaver)



MSI (s) (F4!FC) [09:09:26:352]: Product: Intranet Role -- Error 28000. A custom action caused an unhandled error: Failed to configure the SSL certificate for the services. Creating the new configuration failed. Error: Unzulässige Funktion.

 

[JanJäschke]

Guten Morgen Raffi,

Ist der Server auf 2022 hoch gepatched oder war der schon immer ein 2022er?
Sind die Rollen alle auf einem Server bzw. ist das WebPortal auf dem Server see Intranet Rolle?

Beste Grüße
Jan

 

[raffi]

Hallo Jan,

der war schon immer ein Windows 2022 Std. Er wurde nur für NSP neu aufgesetzt und es laufen keine anderen Applications da drauf. Alle Rollen laufen auf einem Server. Neu aufgesetzt wurde er mit v13.x und hatte ein minor update auf die 1706. Alles läuft damit tadellos. eMails rein und raus sowie Large Files.
Version 14 Vorraussetzungen und Vorabprüfung etc pp alles erfolgreich und okay. Auch SQL Datenbank ausreichend Platz und nicht ausgelastet.

Die Logs habe ich mal in eine ZIP Datei gepackt.

 

[JanJäschke]

Guten Morgen Raffi,

versuch bitte einmal folgendes:
1. IIS öffnen
2. ein neues Bingin erstellen:
- Typ: https
- Port z.B. 8443
- TLS Zertifikat: irgendeins
- dies sollte ebenfalls mit der Meldung "Unzulässige Funktion" fehlschalgen, Achtung: das Binding wird dennoch erstellt - löschen nicht vergessen
3. WENN obiges korrekt ist:
3.1 erneut ein Binding erstellen aber dieses mal die Option "Diusable QUIC" mit anhaken
- es sollte kein Fehler auftreten

Wenn dieser Versuch sauber funktioniert folgende Registry Keys löschen:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters\EnableHttp3"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters\EnableAltSvc"

Danach sollte das Update sauber durchlaufen =)

Beste Grüße und einen guten Start in die Woche,
Jan

 

[raffi]

Hallo Jan,

das hat funktioniert. Beim Stichwort QUIC ist es mir gleich eingefallen. Ich hatte da schon einmal Probleme und habe das händisch im ISS deaktiviert, danach lief das Webportal seinerzeit wieder.
Der Reg Editor ist beim öffnen schon an genau der gleichen Stelle in der Registry gewesen.

Nun gut leider habe ich das nächste Problem.

Alles lief und hat funktioniert, bis auf die WebApp. Ich habe über das Command Center den Assistenten zum Konfigurierne genutzt und das passende Zertifikat ausgewählt. Soweit so gut. Aufrufen konnte ich sie trotzdem nicht.
Also kurzerhand ein Reboot gemacht.

Seit dem Reboot funktioniert das Command Center nicht mehr. Ich bekomme keine Connection auf 6061 und Antwort ist NULL sagt er mir.
Nach der Installation war mir aufgefallen, das die Intranet Rolle auch nicht ganz oben im Command Center angezeigt wird.

Die Dienste laufen alle laut Ansicht im MMC.
E-Mails gehen rein und raus.
Das Webportal funktioniert intern und extern und auf dem System.
Die Ports sind frei. Der Zugriff erfolgt ja aber auch auf sich selbst quasi localhost.
Zur Sicherheit habe ich mal die lokale Firewall testweise komplett deaktiviert, aber keine Änderung.
Auch die Schannel und Cipher Suites habe ich mal nach best practise zurückgesetzt, rebootet, keine Änderung.

Eine Reparatur Installation bietet das Setup nicht. Ich versuche mal die eine Rolle zu deinstallieren und dann neu zu installieren.

Oder kann ich noch woanders nachsehen bzw. die Konfig prüfen? Im IIS sehe ich nichts auffälliges, dort passt alles.
Danke.

 

[raffi]

Die Rolle deinstallieren, Reboot und neu installieren hat nicht geholfen. Den Server ändern zum Verbinden im Command Center auch nicht. Mit Netstat sehe ich die Ports 6060 und 6061.

TCP [::]:6060 [::]:0 ABHÖREN
TCP [::]:6061 [::]:0 ABHÖREN
TCP 0.0.0.0:6060 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:6061 0.0.0.0:0 ABHÖREN

Bei der IPv4 Adresse des Systems tauchen sie nicht auf. Muss ja auch nicht bei localhost connection.


Message: Die Verbindung mit dem Remoteserver kann nicht hergestellt werden.
Error type: Microsoft.OData.Client.DataServiceTransportException
Timeout

 

[JanJäschke]

Hallo raffi,

top, schon mal ein Schritt weiter
Du könntest nun ersteinmal testen ob der Loopbackcheck vlt Probleme macht:

Error message when you try to access a server locally by using its FQDN or its CNAME alias after you install Windows Server 2003 Service Pack 1 - Windows Server

Describes a problem where you may receive an error message when you try to access a server locally by using its FQDN or its CNAME alias after you install Windows Server 2003 Service Pack 1.

learn.microsoft.com

Kannst du dich noch per "connect-nsp -IgnoreServerCertificateErrors" in der PowerShell verbinden?

 

[raffi]

netsh http show sslcert

Zertifikat ist korrekt.
Fingerabdruck passt

Ebenfalls mal den %TEMP% Ordner bereinigt.

Leider keine Änderung.

 

[raffi]

Hallo raffi,

top, schon mal ein Schritt weiter
Du könntest nun ersteinmal testen ob der Loopbackcheck vlt Probleme macht:

Error message when you try to access a server locally by using its FQDN or its CNAME alias after you install Windows Server 2003 Service Pack 1 - Windows Server

Describes a problem where you may receive an error message when you try to access a server locally by using its FQDN or its CNAME alias after you install Windows Server 2003 Service Pack 1.

learn.microsoft.com

Kannst du dich noch per "connect-nsp -IgnoreServerCertificateErrors" in der PowerShell verbinden?

Da passiert nichts, wenn ich den Befehl im Powershell Prompt eingebe.
Er denkt zwei Sekunden nach und dann habe ich wieder die Eingabezeile.

 

[raffi]

DisableLoopbackCheck = 1
ist bei mir bereits vorhanden.

 

[JanJäschke]

Das ist sehr gut - keine Fehlermeldung bedeutet, dass die Verbindung sauber funktioniert =)
Was liefert dir "Get-NspWebApiConfiguration"?
Hier sollte idealerweise "UseHostHeader" auf "False" stehen.

 

[raffi]

Port : 6061
CertificateThumbprint : **********
DnsName : ***.m***.de
DetectedServerDnsName : m***
UseHostHeader : False

korrekt

 

[raffi]

Nach der Installation lief der Zugriff auf Anhieb ohne Reboot.
Nur die WebApp nicht, deshalb habe ich diese mit Assistenten konfiguriert im Command Center. Lief dann trotzdem nicht. Also jetzt der Reboot.
Danach ging dann auch das Command Center bzw. der Zugriff zum localhost 6060 nicht mehr.

 

[JanJäschke]

Dann versuch einmal folgendes:
Entweder von einem zweiten System remote die NCC zu benutzern (nur um zu schauen ob es geht) oder erstell in der hosts Datei für den "DnsName" einen Eintrag auf 127.0.0.1.
Hast du die WebApp remote versucht aufzureufen oder lokal?

 

[raffi]

Damit habe ich heute auch schon gespielt und in der Host Datei den DNS Namen auf 127.0.0.1 gesetzt sowie mit IPv6 probiert. Erfolglos. Das war alles vor der erneuten Installation.
Ich habe den Eintrag noch in der Host stehen mit # aus kommentiert.
Ich habe dort einige Einträge mehr für die internen Server, GW etc.

Verrückte Sache, verstehe ich nicht. Jetzt den Eintrag wieder gesetzt und es funzt
Command Center geht.
Message Tracking im Edge / WebApp funktioniert auch.

Vielen lieben Dank für den schnellen Support Jan!

 

[JanJäschke]

Tip Top - da hat sich der Tag ja schon mehr als gelohnt

Schön das es geht und hoffentlich viel Spaß mitder v14