Ich bin beim Umstellen von Exchange Server 2013 auf Exchange server 2016 (CU 22),
gemäß der Beschreibung von Frankys Migration von Exchange 2013 zu Exchange 2016 und stehe vor Teil 3.
Diese Anfrage hatte ich bereits in der Beschreibung von Franky gestellt aber da
das Thema schon älter ist und da wohl keiner mehr reinschaut,stelle ich es hier noch mal rein.
Der SMTP Dienst lässt sich auf dem 2016 nicht dem Zertifikat zuordnen,
weder über EAC noch über die Exchange-Verwaltungsshell mit Enable-ExchangeCertificate
Eine Fehlermeldung kommt nicht.
Es ist ein von einer Zertifizierungsstelle signiertes Zertifikat (SAN).
Dieses habe ich schon im Server 2013 ohne Probleme mit dem zugeordneten SMTP-Dienst benutzt,
Es wurde vom Server 2013 exportiert und auf den Server 2016 importiert.
Momentan laufen der Exchange 2013 und der 2016 nebeneinander.
Die Thumbprints vom Zertifikat sind auf beiden Servern identisch.
Solange ich dem 2016 nicht dem SMTP-Dienst zuordnen kann habe ich Angst den
2013 raus zunehmen.
Bisherige hier gefundene Ansätze, das Zertifikat komplett löschen und neu importieren hat nichts gebracht.
Weiß vielleicht jemand was man da machen kann?
Solange ich dem 2016 nicht dem SMTP-Dienst zuordnen kann habe ich Angst den
2013 raus zunehmen.
Das läßt sich doch ziemlich schnell rausfinden, ob SMTP TLS auf dem 2016 gesprochen wird. Standardmässig ja zumindest mit dem selfsigned Zertifikate. Ansonsten kann man das zusätzliche Zertifikat auch einfach dem neuen Receive Connector zuweisen. Aber Angst haben ist an der STelle eher kontraproduktiv. ;)
Bisherige hier gefundene Ansätze, das Zertifikat komplett löschen und neu importieren hat nichts gebracht.
Wie hast du es importiert? Per Exchange EAC oder Powershell? Oder per MMC?
Bye
Norbert
Port 587 ist auf beiden Exchange dem receive connector zugewiesen.
Ich habe nachdem ich SMTP dem Zertifikat nicht zuweisen konnte es auf dem EX2016 per MMC gelöscht.
Dann habe ich es auf dem EX2013 exportiert und im EX2016 importiert und versucht den Dienst SMTP zuzuweisen was ohne Fehlermeldung akzeptiert
wurde aber keine Änderung brachte. Die thumbprints sind auf beiden exchange server die gleichen.
Ich verwende split-DNS die interne und externe domain ist dadurch die gleiche.
nachfolgend meine Zertifikate auf dem EX2016:
hier das selfsigned:
Certificate:
FriendlyName: remote..de
Thumbprint: FD41298622D03F64CE0636041312BF8A5E955B77
Lifetime in days: 723
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: IMAP, POP, SMTP
Current Auth Certificate: False
SAN Certificate: True
Namespaces:
remote..de
Autodiscover..local
Autodiscover..de
exchange-server..local
Exchange-Server
.local
.de
exchangeserver2
exchangeserver2..local
Certificate:
FriendlyName: Microsoft Exchange
Thumbprint: 2CE4A87965A48EB8E355917474D126304B49BA07
Lifetime in days: 1809
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: IIS
Current Auth Certificate: False
SAN Certificate: True
Namespaces:
ExchangeServer2
ExchangeServer2..local
Certificate:
FriendlyName: WMSVC-SHA2
Thumbprint: B31012922ED2D50AB7839294D00D0960E8C40755
Lifetime in days: 3633
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: None
Current Auth Certificate: False
SAN Certificate: False
Namespaces:
WMSvc-SHA2-EXCHANGESERVER2
von Zertifizierungsstelle signiertes Zertifikat
Certificate:
FriendlyName: .de
Thumbprint: 07FBA23AB9D5EF74F74CC15063EC6632C17935BD
Lifetime in days: 109
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: IMAP, POP, IIS
Current Auth Certificate: False
SAN Certificate: True
Namespaces:
.de
remote..de
autodiscover..de
Certificate:
FriendlyName: Microsoft Exchange Server Auth Certificate
Thumbprint: 4DBA9A5D0F8CB41B26C688A8A121F9D80E81F0B8
Lifetime in days: 267
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha1RSA
Signature Hash Algorithm: sha1
It's recommended to use a hash algorithm from the SHA-2 family
More information: https://aka.ms/HC-SSLBP
Bound to services: SMTP
Current Auth Certificate: True
SAN Certificate: False
Namespaces:
Microsoft Exchange Server Auth Certificate
Valid Auth Certificate Found On Server: True
Signature Algorithm: sha1RSA
Signature Hash Algorithm: sha1
It's recommended to use a hash algorithm from the SHA-2 family
kann es sein, dass sich der EX2016 an deiner CA Infrastruktur stört?
Gruß,
Ralf
Es geht um:
von Zertifizierungsstelle signiertes Zertifikat
Certificate:
FriendlyName: .de
Thumbprint: 07FBA23AB9D5EF74F74CC15063EC6632C17935BD
Lifetime in days: 109
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: IMAP, POP, IIS
Hier fehlt der SMTP-Dienst der bei der Dienstezuteilung nicht akzeptiert wird und keine Fehlermeldung bei der Zuordnung macht, auf dem EX2013 ist er vorhanden.
Warum sollte es ein Problem mit der CA Infrastruktur haben, auf dem EX 2013 lauft es ohne Porbleme auch jetzt noch wo beide parallel laufen?
Warum sollte es ein Problem mit der CA Infrastruktur haben
Steht doch da. ;)
auf dem EX 2013 lauft es ohne Porbleme
Der ist ja auch älter.
Dann habe ich es auf dem EX2013 exportiert und im EX2016 importiert und versucht den Dienst SMTP zuzuweisen was ohne Fehlermeldung akzeptiert
Du hast es per EAC importiert oder per MMC? Zeig doch mal ein get-receiveconnector. Evtl ist dort ja ein Zertifikat zugewiesen.
Wo steht das? Das bezieht sich nicht auf das von der Zertifizierungsstelle signiertes Zertifikat
erstelltem Zertifikat, wo kein SMTP-Dienst ist.
Das "Microsoft Exchange Server Auth Certificate" wurde während der Installation automatisch erstellt, mir ist
nicht bekannt wie ich das ändern kann.
Hier von den beiden Server (EXCHANGE-SERVER ist der 2013, EXCHANGESERVER2 ist der 2016):
EXCHANGE-SERVER\Default EXCHANGE-SERVER {0.0.0.0:2525, [::]:2525} True
EXCHANGE-SERVER\Client Proxy EXCHANGE-SERVER {[::]:465, 0.0.0.0:465} True
EXCHANGE-SERVER\Default Frontend EXCHANGE-SERVER {[::]:25, 0.0.0.0:25} True
EXCHANGE-SERVER\Outbound Proxy Frontend EXCHANGE-SERVER {[::]:717, 0.0.0.0:717} True
EXCHANGE-SERVER\Client Frontend EXCHANGE-SERVER {[::]:587, 0.0.0.0:587} True
EXCHANGESERVER2\Default EXCHANGESERVER2 {0.0.0.0:2525, [::]:2525} True
EXCHANGESERVER2\Client Proxy EXCHANGESERVER2 {[::]:465, 0.0.0.0:465} True
EXCHANGESERVER2\Default Frontend EXCHANGESERVER2 {[::]:25, 0.0.0.0:25} True
EXCHANGESERVER2\Outbound Proxy Frontend EXCHANGESERVER2 {[::]:717, 0.0.0.0:717} True
EXCHANGESERVER2\Client Frontend EXCHANGESERVER2 {[::]:587, 0.0.0.0:587} True
Wie man oben sehen kann habe ich den EXCHANGESERVER2 dem Empfangsconnector hinzugefügt.
Ich habe es per EAC vom EXCHANGE-SERVER (2013) exportiert und auf dem EXCHANGESERVER2 (EX2016) importiert.
Bei einem 2ten Versuch habe ich es im MMC gelöscht und die gleiche pfx-datei zum importieren benutzt wie damals beim EXCHANGE-SERVER (2013).
Wo steht das? Das bezieht sich nicht auf das von der Zertifizierungsstelle signiertes Zertifikat
Achso. Hab ich überlesen. Danke für deine Liste, ich ging schon davon aus, dass du ggf. ein | FL selbstständig anhängst. Denn so sieht man jetzt leider auch nicht mehr. ;) Interessant sind auch nur die
EXCHANGE-SERVER\Default Frontend EXCHANGE-SERVER {[25, 0.0.0.0:25} True
EXCHANGE-SERVER\Client Frontend EXCHANGE-SERVER {[587, 0.0.0.0:587} True
EXCHANGESERVER2\Default Frontend EXCHANGESERVER2 {[25, 0.0.0.0:25} True
EXCHANGESERVER2\Client Frontend EXCHANGESERVER2 {[587, 0.0.0.0:587} True
Brauchst du das wirklich? Die Liste ist Seitenlang und mit vielen privaten Infos die ich erst ersetzen muss.
Ich brauche das gar nicht. Du kannst das auch gern selbst vergleichen. Ich frag mich nur die ganze Zeit, ob kein TLS angeboten wird, oder was genau das Problem deinerseits ist.
Was steht denn bspw. unter TlsCertificateName in den oben erwähnten Connectoren?
komisch das beim 2013 kein CertificateName drin steht aber der ist nicht das Problem
get-receiveconnector -identity "EXCHANGE-SERVER\Default Frontend EXCHANGE-SERVER" |fl TlsCertificateName
TlsCertificateName :
------------------
get-receiveconnector -identity "EXCHANGE-SERVER\Client Frontend EXCHANGE-SERVER " |fl TlsCertificateName
TlsCertificateName :
------------------------
get-receiveconnector -identity "EXCHANGESERVER2\Default Frontend EXCHANGESERVER2" |fl TlsCertificateName
TlsCertificateName : <I>CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=<domain>.de
---------------------
get-receiveconnector -identity "EXCHANGESERVER2\Client Frontend EXCHANGESERVER2" |fl TlsCertificateName
TlsCertificateName : <I>CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=<domain>.de
Es funktioniert bei mir jetzt man war das eine schwere Geburt.
Ich beschreibe mal wie ich es gemacht habe:
Da das Zertifikat neu importiert werden muss, muss es vorher gelöscht werden, das geht aber nicht so
einfach weil es da eine Abhängigkeit vom Transportserver gibt
Also erstmal in mmc reingehen und das Zertifikat löschen aber vorher einen Export machen mit
privatem Schlüssel (pfx Datei) da man ohne den das Zertifikat später nicht importieren kann.
Jetzt das Zertifikat brutal im mmc löschen (Fehlermeldung akzeptieren).
Jetzt das Zertifikat von der vorher exportierten Datei im EAC importieren (privaten Schlüssel von oben eingeben).
Jetzt in der Exchange Admin Shell folgendes ausführen:
Get-ExchangeCertificate (hier den Thumbprint merken)
$Cert = Get-ExchangeCertificate -Thumbprint (thumbprint)
$TLSCertificateName = "<i>$($Cert.Issuer)<s>$($Cert.Subject)"
$TLSCertificateName (hier sieht man den Aussteller vom Zertifikat)
Get-SendConnector (zum überprüfen des Sendeconnectors, es sollte noch der alte sein)
Enable-ExchangeCertificate -Thumbprint (thumbprint) -Services POP,IMAP,SMTP,IIS
get-exchangecertificate -Thumbprint 07FBA23AB9D5EF74F74CC15063EC6632C17935BD | fl (zum Überprüfen)
Jetzt sollte folgende Dienste zugewiesen sein: IMAP, POP, IIS, SMTP
Bitte auch noch die receive- und sendekonnectoren überprüfen, bei mir waren noch alle von vorher drin.
Dann hast du ja JETZT endlich eine Lösung, war doch gar nicht schwer :p
Frohe Ostern