Konstellation:
1 Edge Server in der DMZ Name:E1
1 Webserver in der DMZ Name:W1
1 ISA Server 2006 in der DMZ Name:I1
1 Mail-Server Exchange 2007 im internen Netz (CAS, HUB, Mailbox) Name:M1
Empfangsconnectors
Default M1
FQDN:internerMail.name.local
Authentifizierung:
Standardauthentifizierung
Exchange Server-Authentifizierung
Integrierte Windows Authentifizierung
Berechtigungsgruppen:
Anonyme Benutzer
Exchange Benutzer
Exchange Server
Legacy Exchange-Server
Webserver
FQDN:mailserver.firmenname.com
Authentifizierung:
Standardauthentifizierung
Transport Layer Security (TLS)
Domänensicherheit aktivieren (Gegenseitige TLS Authentifizierung)
Integrierte Windows Authentifizierung
Berechtigungsgruppen:
Exchange Benutzer
Exchange Server
Legacy Exchange-Server
Sendeconnectors
…Inbound
FQDN:mailserver.firmenname.com
Authentifizierung:
Exchange Server-Authentifizierung
Quellserver:
Edge E1
…To Internet
FQDN:mailserver.firmenname.com
Quellserver:
Edge E1
Situation:
Vom Webserver W1 aus sollen Emails über unseren Mail-Server M1 versendet werden und das Verschlüsselt über TLS (network enableSsl="true" host="Server" port="123" userName="User"
password="password" />.
Dies Funktioniert auf dem Mail M1 auch da ich das Standardzertifikat für den SMTP –Service auf das Zertifikat vom Verisign gesetzt habe.
Und einen Empfangs Konnektor auf dem mail M1 für den ISA Server I1 erstellt habe über den die Mails vom Web-Server W1 herein kommen.
Auf dem Webserver W1 wollten wir kein Internes Zertifikat installieren.
Der gesamte Email Verkehr funktioniert einwandfrei.
Problem:
Da jetzt kein selbst erstelltes Zertifikat von unserer internen Zertifizierung Stelle für den Standard SMTP-Service auf dem mail M1 vorhanden ist.
Bekommen wir immer Folgende Fehler im log auf dem Mail M1:
Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen "internerMail.name.local" im persönlichen Informationsspeicher auf dem lokalen
Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "Organisationsinterner SMTP-Sendeconnector" mit einem FQDN-Parameter von "internerMail.name.local" nicht unterstützt werden. Überprüfen
Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate
-Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann.
Bekommen wir immer Folgende Fehler im log auf dem Edge E1:
Microsoft Exchange could not find a certificate that contains the domain name
mailserver.firmenname.com in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector edgesync - inbound to standardname-des-ersten-standorts with a FQDN parameter of
mailserver.firmenname.com. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that
FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.
Microsoft Exchange could not find a certificate that contains the domain name
mailserver.firmenname.com in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector edgesync - standardname-des-ersten-standorts to internet with a FQDN parameter of
mailserver.firmenname.com. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that
FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.
Microsoft Exchange could not find a certificate that contains the domain name
mailserver.firmenname.com in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Default internal receive connector
Edge E1 with a FQDN parameter of mailserver.firmenname.com. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that
there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.
Lösung:
Was wir momentan noch nicht ausprobiert haben wäre ein SAN Zertifikat mit den beiden Domainnamen
mailserver.firmenname.com und
internerMail.name.local
dafür müssten wir allerdings ein neues bei Verisign bestellen.
Momentan ist nur der Domainname
mailserver.firmenname.com im Zertifikat hinterlegt.
Könnte dies Abhilfe schaffen?
Danke
