Moin Leute,

selten aber dennoch kommt es mal vor einen viel zu lang betriebenen Exchange Server vorzufinden.
In meinem Fall handelt es sich um einen Exchange Server 2013 im Jahre 2025. Der Support ist schon lange hinfällig und das WMSVC-Zertifikat, welches eigentlich eine sehr lange Gültigkeitsdauer besitzt, ist daher jetzt kurz vor dem ablaufen.

Normalerweise muss man dieses Zertifikat nie anfassen, jetzt wird es aber doch Zeit dafür..
Die Migration auf Exchange 2019 steht übrigens zeitnah an. Egal.

Was würde es bedeuten, wenn das Zertifikat einfach abläuft? Haben wir dann Probleme?
Definitiv JA, das Zertifkat ist essentiell für den „Web Management Service„-Service!

Aufgabe des Web Management Service (WMS)

Der Web Management Service ermöglicht Remote- und lokale Verwaltung von IIS-Servern und deren Websites. Er wird benötigt für:

• Remote-Verwaltung von IIS: Über den Web Management Service können Administratoren IIS und damit auch Exchange-bezogene virtuelle Verzeichnisse (z. B. OWA, EWS, Autodiscover) remote konfigurieren.
• Konfigurationsänderungen: Der Dienst ermöglicht die Synchronisierung und Verwaltung von Konfigurationen in IIS.
• Integration mit Exchange: Exchange setzt auf IIS für die Bereitstellung seiner Webdienste (z. B. Outlook on the Web, Exchange Web Services), sodass der Web Management Service häufig benötigt wird, um Änderungen oder Diagnosen durchzuführen.

Warum muss der Web Management Service laufen?

Auf einem Exchange-Server wird der Web Management Service benötigt, wenn:

1. IIS-Funktionen verwendet werden: Die Webschnittstellen von Exchange (wie OWA oder ECP) hängen von korrekt konfigurierten virtuellen Verzeichnissen in IIS ab.
2. Remote-Verwaltung erforderlich ist: Falls ein Administrator den Server remote verwalten möchte, ist dieser Dienst entscheidend.
3. Zertifikatsverwaltung oder andere Webserver-bezogene Aufgaben durchgeführt werden: Viele dieser Aufgaben greifen auf den Web Management Service zurück.

Was passiert, wenn der Web Management Service nicht läuft?

1. Verlust der Remote-Verwaltung: Administratoren können IIS nicht mehr remote verwalten, was Diagnosen und Änderungen erschwert.
2. Probleme mit IIS und Exchange-Webdiensten: Änderungen an IIS (z. B. für Autodiscover, OWA, ECP) können nicht korrekt durchgeführt werden. Manche Exchange-Funktionen, die auf IIS beruhen, könnten ebenfalls beeinträchtigt sein.
3. Eingeschränkte Verwaltungstools: Tools, die auf den Web Management Service zugreifen, können nicht verwendet werden.

Wie tauscht oder verlängert man das Zertifikat?

1. Neues WMSVC-Zertifikat erstellen

• Exchange Management Shell öffnen: Starten Sie die Exchange Management Shell mit Administratorrechten.
• Neues Zertifikat erstellen: Führen Sie den folgenden Befehl aus, wobei Sie <ServerName> durch den Hostnamen Ihres Exchange-Servers ersetzen: New-ExchangeCertificate -SubjectName "CN=WMSvc-<ServerName>" -FriendlyName "WMSVC" -Services None -KeySize 2048 -PrivateKeyExportable $true Dieser Befehl erstellt ein neues selbstsigniertes Zertifikat mit dem Namen „WMSVC“.

2. Neues Zertifikat in den Zertifikatsspeicher „Vertrauenswürdige Stammzertifizierungsstellen“ kopieren

• Microsoft Management Console (MMC) öffnen: Drücken Sie Win + R, geben Sie mmc ein und drücken Sie Enter.
• Zertifikate-Snap-In hinzufügen:
  • Gehen Sie zu Datei > Snap-In hinzufügen/entfernen.
  • Wählen Sie Zertifikate und klicken Sie auf Hinzufügen.
  • Wählen Sie Computerkonto und klicken Sie auf Weiter, dann auf Fertig stellen.
• Zertifikat kopieren:
  • Navigieren Sie zu Zertifikate (Lokaler Computer) > Persönlich > Zertifikate.
  • Suchen Sie das neu erstellte WMSVC-Zertifikat, klicken Sie mit der rechten Maustaste darauf und wählen Sie Kopieren.
• Zertifikat einfügen:
  • Navigieren Sie zu Zertifikate (Lokaler Computer) > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate.
  • Klicken Sie mit der rechten Maustaste in den rechten Bereich und wählen Sie Einfügen.

3. Altes WMSVC-Zertifikat entfernen

• Altes Zertifikat löschen:
  • In der MMC unter Persönlich > Zertifikate das alte WMSVC-Zertifikat suchen.
  • Mit der rechten Maustaste darauf klicken und Löschen wählen.

4. Neues Zertifikat dem Webverwaltungsdienst zuweisen

• IIS-Manager öffnen: Starten Sie den Internetinformationsdienste (IIS)-Manager.
• Management Service konfigurieren:
  • Wählen Sie den Serverknoten in der linken Baumstruktur.
  • Doppelklicken Sie im mittleren Bereich auf Verwaltungsdienst.
  • Unter SSL-Zertifikat das neu erstellte WMSVC-Zertifikat auswählen.
  • Klicken Sie auf Übernehmen.
• Webverwaltungsdienst starten:
  • Gehen Sie zu Dienste (services.msc).
  • Suchen Sie den Webverwaltungsdienst, klicken Sie mit der rechten Maustaste darauf und wählen Sie Starten.

Hinweis: Stellen Sie sicher, dass das neue Zertifikat korrekt zugewiesen ist und der Webverwaltungsdienst ordnungsgemäß funktioniert. Es ist ratsam, regelmäßige Überprüfungen der Zertifikatsgültigkeit durchzuführen, um einen unterbrechungsfreien Betrieb zu gewährleisten.

Wie immer berichte ich in diesem Artikel nur von meinen persönlichen Erfahrungen und Erkenntnissen.
Es handelt sich hierbei um keine offizielle Anleitung von Microsoft.
Ein nachhandeln geschieht auf eigene Gefahr.