EX 2016 CU23 Zertif...
 
Benachrichtigungen
Alles löschen

EX 2016 CU23 Zertifikaterneuerung SMT Zuweisung nur auf einem Server möglich

10 Beiträge
4 Benutzer
0 Reactions
2,324 Ansichten
(@andreas)
Active Member
Beigetreten: Vor 5 Jahren
Beiträge: 11
Themenstarter  

Hallo,
vielleicht hat ja jemand eine Idee. Wir haben zwei Exchangeserver mit 2016 CU23 am laufen.
Nun sollte das Zertifikat ausgetauscht werden. Auf dem einen Server hat es wunderbar geklappt. Auf dem zweiten ebenfalls, bis auf die Tatsache, das wir dort auf Teufel komm raus den SMTP Dienst nicht aktivieren können. Im EAC wird nur der IIS Dienst als zugewiesen angezeigt.
Wir haben den SMTP Dienst per Shell zugewiesen (keine Fehlermeldung) das gleiche über den EAC. Aber er wird nicht als zugewiesen angezeigt.
Ich wäre Dankbar für eine Idee.

Ich habe mal zwei Bilder beigelegt. Das Erste ist der Server wo sich nur IIS aktivieren lässt. 

P.S.: Ich hatte den Beitrag bereits auf der Startseite gepostet

Gruß


Andreas


   
Zitat
(@geloeschter-benutzer)
Reputable Member
Beigetreten: Vor 2 Jahren
Beiträge: 263
 

ihr habt also

enable-exchangecertificate -thumbprint <thumbprint> -services ...

durchgeführt und danach geprüft, ob das Zert an den Service gebunden ist?

Was sagt denn das Eventlog in so einem Fall? Hier müsste es ja Einträge geben, dass der Transport Dienst (oder der Frontend) nicht gestartet werden können.

 

 

Gruß,
Ralf


   
AntwortZitat

(@andreas)
Active Member
Beigetreten: Vor 5 Jahren
Beiträge: 11
Themenstarter  

Hallo Ralf,

 

herzlichen Dank für die Rückmeldung.

In der Ereignisanzeige des betroffenen Servers wird die Zuordnung des Zertifikats auch als succeded angezeigt:

Cmdlet suceeded. Cmdlet Enable-ExchangeCertificate, parameters -Thumbprint "B3E1****************" -Services "IIS, SMTP".

 

Die Logs sehen gut aus, hier mal ein paar Auszüge:

 

#Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
2022-05-11T06:00:39.124Z,EXCHANGE4\Default Frontend EXCHANGE4,08DA3256CCDFD9B1,0,192.168.0.117:25,192.168.0.117:14844,+,,
2022-05-11T06:00:39.124Z,EXCHANGE4\Default Frontend EXCHANGE4,08DA3256CCDFD9B1,1,192.168.0.117:25,192.168.0.117:14844,>,"220 Exchange4.** Microsoft ESMTP MAIL Service ready at Wed, 11 May 2022 08:00:38 +0200",
2022-05-11T06:00:39.124Z,EXCHANGE4\Default Frontend EXCHANGE4,08DA3256CCDFD9B1,2,192.168.0.117:25,192.168.0.117:14844,<,EHLO smtp.availability.contoso.com,
2022-05-11T06:00:39.125Z,EXCHANGE4\Default Frontend EXCHANGE4,08DA3256CCDFD9B1,3,192.168.0.117:25,192.168.0.117:14844,>,250 Exchange4.*** Hello [192.168.0.117] SIZE 104857600 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST,
2022-05-11T06:00:39.125Z,EXCHANGE4\Default Frontend EXCHANGE4,08DA3256CCDFD9B1,4,192.168.0.117:25,192.168.0.117:14844,<,QUIT,
2022-05-11T06:00:39.125Z,EXCHANGE4\Default Frontend EXCHANGE4,08DA3256CCDFD9B1,5,192.168.0.117:25,192.168.0.117:14844,>,221 2.0.0 Service closing transmission channel,
2022-05-11T06:00:39.125Z,EXCHANGE4\Default Frontend EXCHANGE4,08DA3256CCDFD9B1,6,192.168.0.117:25,192.168.0.117:14844,-,,Local
2022-05-11T06:01:03.586Z,EXCHANGE4\Outbound Proxy Frontend EXCHANGE4,08DA3256CCDFD9B2,0,192.168.0.117:717,192.168.0.117:14896,+,,
2022-05-11T06:01:03.586Z,EXCHANGE4\Outbound Proxy Frontend EXCHANGE4,08DA3256CCDFD9B2,1,192.168.0.117:717,192.168.0.117:14896,>,"220 Exchange4.
*** Microsoft ESMTP MAIL Service ready at Wed, 11 May 2022 08:01:02 +0200",
2022-05-11T06:01:03.587Z,EXCHANGE4\Outbound Proxy Frontend EXCHANGE4,08DA3256CCDFD9B2,2,192.168.0.117:717,192.168.0.117:14896,<,EHLO smtp.availability.contoso.com,

 

#Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
2022-05-11T06:00:29.249Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C96880A,30,192.168.0.115:18900,192.168.0.117:2525,>,QUIT,
2022-05-11T06:00:29.249Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C96880A,31,192.168.0.115:18900,192.168.0.117:2525,<,451 4.7.0 Timeout waiting for client input,
2022-05-11T06:00:29.249Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C96880A,32,192.168.0.115:18900,192.168.0.117:2525,-,,Local
2022-05-11T06:00:29.250Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,0,,192.168.0.117:2525,*,None,Set Session Permissions
2022-05-11T06:00:29.250Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,1,,192.168.0.117:2525,*,,attempting to connect
2022-05-11T06:00:29.251Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,2,192.168.0.115:19241,192.168.0.117:2525,+,,
2022-05-11T06:00:29.252Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,3,192.168.0.115:19241,192.168.0.117:2525,<,"220 Exchange4.******e Microsoft ESMTP MAIL Service ready at Wed, 11 May 2022 08:00:29 +0200",
2022-05-11T06:00:29.252Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,4,192.168.0.115:19241,192.168.0.117:2525,*,,Proxying inbound session with session id 08DA2FAC0C968817
2022-05-11T06:00:29.252Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,5,192.168.0.115:19241,192.168.0.117:2525,>,EHLO Exchange3.***,
2022-05-11T06:00:29.253Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,6,192.168.0.115:19241,192.168.0.117:2525,<,250 Exchange4.
*** Hello [192.168.0.115] SIZE PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XEXCH50 XRDST XSHADOWREQUEST,
2022-05-11T06:00:29.253Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,7,192.168.0.115:19241,192.168.0.117:2525,>,X-ANONYMOUSTLS,
2022-05-11T06:00:29.253Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,8,192.168.0.115:19241,192.168.0.117:2525,<,220 2.0.0 SMTP server ready,
2022-05-11T06:00:29.256Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,9,192.168.0.115:19241,192.168.0.117:2525,*," CN=*** CN=Thawte RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US 0296AC6F0B24F618DC87E38AD8AA2626 B3E************ 2022-05-09T02:00:00.000Z 2023-05-10T01:59:59.000Z ****************",Remote certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2022-05-11T06:00:29.256Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,10,192.168.0.115:19241,192.168.0.117:2525,*,,"TLS protocol SP_PROT_TLS1_2_CLIENT negotiation succeeded using bulk encryption algorithm CALG_AES_256 with strength 256 bits, MAC hash algorithm CALG_SHA_384 with strength 0 bits and key exchange algorithm CALG_ECDH_EPHEM with strength 255 bits"
2022-05-11T06:00:29.256Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,11,192.168.0.115:19241,192.168.0.117:2525,*,B3E*********************,Received certificate Thumbprint
2022-05-11T06:00:29.256Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,12,192.168.0.115:19241,192.168.0.117:2525,>,EHLO Exchange3.
,
2022-05-11T06:00:29.266Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,13,192.168.0.115:19241,192.168.0.117:2525,<,250 Exchange4.
*** Hello [192.168.0.115] SIZE PIPELINING DSN ENHANCEDSTATUSCODES AUTH NTLM LOGIN X-EXPS EXCHANGEAUTH GSSAPI NTLM X-EXCHANGEAUTH SHA256 8BITMIME BINARYMIME CHUNKING XEXCH50 XRDST XSHADOWREQUEST XPROXY XPROXYFROM X-MESSAGECONTEXT ADRC-2.1.0.0 EPROP-1.2.0.0 XSYSPROBE XORIGFROM XMESSAGEVALUE,
2022-05-11T06:00:29.267Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,14,192.168.0.115:19241,192.168.0.117:2525,>,X-EXPS EXCHANGEAUTH SHA256 ,
2022-05-11T06:00:29.267Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,15,192.168.0.115:19241,192.168.0.117:2525,>,<Binary Data>,
2022-05-11T06:00:29.274Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,16,192.168.0.115:19241,192.168.0.117:2525,<,235 <authentication information>,
2022-05-11T06:00:29.276Z,Eingehender Proxy: Interner Sendeconnector,08DA2FAC0C968818,17,192.168.0.115:19241,192.168.0.117:2525,*,SMTPSendEXCH50 SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SMTPSendXShadow,Set Session Permissions

 

 

Gruß Andreas


   
AntwortZitat
(@geloeschter-benutzer)
Reputable Member
Beigetreten: Vor 2 Jahren
Beiträge: 263
 

ich meinte eher, was sagt das eventlog des Servers? Da muss es ja eine Fehlermeldung geben, wenn der SMTP Dienst nicht startet. Meist ist da schon ein Hinweis auf eine Abhängigkeit eines anderen Dienstes. Der FrontEnd Transport Dienst läuft?


   
AntwortZitat

(@andreas)
Active Member
Beigetreten: Vor 5 Jahren
Beiträge: 11
Themenstarter  

Hallo Monthy,

 

alle Dienste laufen auf dem Server sowohl der Transport wie der Frontend Transport Dienst. Im eventlog sind keine Fehler zu den beiden Diensten zu finden. 

Mir ist Schleierhaft, warum im EAC der Dienst nicht zugewiesen worden ist, obwohl es per cmdlet (Cmdlet suceeded. Cmdlet Enable-ExchangeCertificate, parameters -Thumbprint "B3E1****************" -Services "IIS, SMTP") zugewiesen wurde und keine Fehlermeldung ausgeworfen hat. 

 

Gruß Andreas


   
AntwortZitat
(@geloeschter-benutzer)
Reputable Member
Beigetreten: Vor 2 Jahren
Beiträge: 263
 

Wenn da auch alles in Ordnung ist, würde ich fast einmal das komplette Zert vom Server runterwerfen und danach wieder importieren + die Dienste neu zuweisen. 

Hast du auf dem Recive Connector geprüft, ob der (H)ELO Name im Zert enthalten ist? Receive Connectoren sind serverbezogen, daher kann es dort Unterschiede geben. Send-Connectoren sind Org wide.

Gruß,
Ralf


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Zertifikat nochmal löschen und neu importieren (per PS oder über EAC) und dann neu zuweisen. Ggf. auch als Standardzertifikat ersetzen, wenn eure Konfig das benötigt.


   
AntwortZitat
(@andreas)
Active Member
Beigetreten: Vor 5 Jahren
Beiträge: 11
Themenstarter  

Alle klar.

Danke für die Antworten.

Werde es am Wochenende probieren und gebe dann Rückmeldung.

 

Gruß Andreas


   
AntwortZitat

(@andreas)
Active Member
Beigetreten: Vor 5 Jahren
Beiträge: 11
Themenstarter  

Hallo,

entschuldigt die späte Rückmeldung.

Wir haben zweimal die Zertifikate gelöscht und wieder importiert. 

Leider haben wir weiterhin das gleiche Problem.

Allerding läuft der Mailversand und-empfang problemlos, wenn wir den Server auf dem SMTP zugewiesen ist abschalten.

Vielleicht könnt Ihr damit was anfangen.

 

Gruß Andreas


   
AntwortZitat
(@exsus)
Trusted Member
Beigetreten: Vor 4 Jahren
Beiträge: 83
 
Veröffentlicht von: @andreas

Allerding läuft der Mailversand und-empfang problemlos, wenn wir den Server auf dem SMTP zugewiesen ist abschalten.

Wenn ich das richtig interpretiere, dann funktioniert der Mail Versand / Empfang problemlos, obwohl das Zertifikat nicht mit dem SMTP Dienst angezeigt wird. Das gleiche Problem habe ich auch mit Exchange 2016, allerdings bereits von Anfang an. Du kannst über diese Website prüfen, ob und welche Zertifikate zugewiesen sind.


   
AntwortZitat

Teilen: