Sep 10

lange Startzeiten Exchange Management Console und Powershell — Microsoft Sperrlisten Download

Vielleicht ist dem ein oder anderen schon einmal aufgefallen, dass es oftmals eine Weile dauert, bis die Exchange Management Console (EMC) oder auch die Exchange Management Shell (EMS) vollständig geöffnet ist.

Dies liegt häufig daran, dass beim Öffnen von mmc’s und der Powershell Authenticode Technologie zum Einsatz kommt und in diesem Fall Microsoft die MMC Snap-Ins und die Powershell Module digtial signert hat. Da hier Zertifikate zum Einsatz kommen, möchte Windows beim Start der Werkzeuge prüfen, ob diese ggfs. gesperrt worden sind und eine Sperrliste bei Microsoft herunter laden.

In den meisten Unternehmen haben allerdings Server keinen direkten Internet-Zugriff und darüber hinaus kommen oft auch Proxy-Server zum Einsatz, welche eine Authentifizierung erfordern. Es wird vom Server versucht, die Sperrliste herunter zu laden, was natürlich nicht funktioniert denn:

Es ist einerseits kein Proxy eingetragen und es besteht auch keine direkte Internetverbindung.

Die längeren Startzeiten resultieren aus dem Warten auf den Timeout.

Es ist sicher nicht ratsam, einem Server ohne Einschränkungen den Internetzugriff zu gestatten. Es wäre daher wünschenswert, dem Server lediglich die Möglichkeit zu geben, die entsprechende Sperrliste herunter zu laden.

Ein Beispiel:

Ein Unternehmen dom.local hat einen Proxy Server, welcher das Surfen nur mit Authentifizierung gestattet. Auf den Servern ist kein Proxy eingetragen und die Server können keine direkte Internetverbindung herstellen.

Der Admin startet z.B. die Exchange Powershell (EMS) , folgender Effekt ist zu sehen:

shell1.jpg

Hier ist warten angesagt …. Erst nach einiger Zeit kommt der Prompt und es können Eingaben gemacht werden.

Wenn man währenddessen den Traffic in einem Netzwerkscanner beobachtet, ist schön zu sehen, dass der Server versucht, den Namen crl.microsoft.com aufzulösen:

shell2.jpg

Es handelt sich hierbei um einen Sperrlistenverteilerpunkt der Microsoft CAs im Internet.

Da der interne DNS diesen im Regelfall nicht auflösen kann, kommt es zum Timeout -> Start der Powershell / Managementconsole verzögert sich.

Ein Lösungsansatz :

Da das Surfen nur über Proxy mit Authentifizierung gestattet ist, kann die Sperrliste nicht heruntergeladen werden. Auch den Proxy Server am Server im Internet-Explorer einzutragen bringt hier nichts, da die Powershell oder die MMCs nicht die Einstellungen des IE für die Internetverbindung verwenden, sondern die Einstellungen der Windows-HTTP-Dienste (WinHTTP).

Abhilfe kann wie folgt geschaffen werden :

1) eine Ausnahme im jeweiligen Proxy-Server erstellen, sodass die URL crl.microsoft.com von den Servern ohne Authentifizierung erreicht werden kann

2) den Proxy Server für die Windows-HTTP-Dienste (WinHTTP) im enstsprechenden System eintragen

um den Proxy Server für WinHTTP einzutragen kommt das Tool Netsh zum Einsatz. Am einfachsten ist es, wenn man den Proxy im Internet Explorer mit den lokalen Ausnahmen einträgt und dann diese Einstellungen via Netsh als WinHTTP-Proxy in das System importiert:

shell3a.jpg

shell4.jpg

shell5.jpg

danach einfach den Proxy wieder aus dem IE entfernen.

Besonders wichtig ist hierbei die Ausnahmen richtig zu setzen, da sonst alle HTTP-Anforderungen über den Proxy verschickt würden, was nicht wünschenswert ist und zu Fehlern führen kann ! Daher müssen alle lokalen Adressen und Verbindungen über die Ausnahmen eingetragen sein.

Im Beispiel wurde der gesamte Namensraum *.dom.local (lokale Windows Domäne) von der Proxy-Verarbeitung ausgenommen.

Mit den oben beschriebenen Schritten ist gewährleistet, dass

a) der Proxy nur für das System zur Verfügung steht         und

b) da keine Authentifizierung eingetragen ist, nur die URLs erreicht werden können welche keine Authentifizierung erfordern, hier : crl.microsoft.com

Die Startzeiten der EMC und EMS verkürzen sich dadurch spürbar.

Hinweis: Es gibt diverse andere MMCs auch von anderen Herstellern die solche Sperrlisten anfordern. Dazu einfach in einem Paketscanner beim Öffnen die Netzwerkzugriffe checken und die URL für den Sperrlistendownload analog freischalten. Dann klappts auch mit dem schnellen Öffenen der Konsole 🙂

Weitere Hinweise gibt es auch in diesem Artikel bei Microsoft : http://technet.microsoft.com/de-de/library/bb430772.aspx

2 Kommentare

  1. Anweisung hat mit sehr geholfen.
    Man könnte auch folgende Punkte in den Internetoptionen unter Erweitert deaktivieren:
    “Check for publisher’s certificate revocation” & “Check for server certificate revocation”

    aber das ist die deutlich sauberere Lösung.

    Top Danke.

  2. Hallo A.
    gern geschehen, danke für den Kommentar 🙂

Schreibe einen Kommentar

Your email address will not be published.