none
Exchange 2007/2010 TLS zwischen zwei Domänen RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    wir müssen eine TLS Verbindung zwischen zwei E-Mail Domänen erstellen.

    Jedoch sollen alle E-Mails von anderen E-Mail Domänen wie bisher empfangen und versendet werden. Deshalb haben wir in der Domäne A und B neue Sende und Empfangs Konnektoren. Im Sendekonnektor ist jeweils als Smarthost die feste IP der anderen Domäne eingetragen. Ohne TLS funktioniert die E-Mail Kommunikation über die neuen Konnektoren. Außerdem haben beide E-Mail Organisationen eine eigene CA. Das Root Zertifikat der beiden CAs haben wir jeweils gegenseitig unter den vertrauenswürdigen Stammzertifizierungsstellen installiert.

    Soweit ich weiß muss jetzt noch für jede E-Mail Organisation ein Exchange Zertifikat für TLS erstellt und per Powershell importiert und aktiviert werden und für die Konnektoren muss noch TLS aktiviert werden.

    Hier scheitern wir allerdings ständig. Wie kann ich das Zertifikat einem bestimmten Konnektor zuordnen? Wie kann ich TLS im Sendekonnektor für den Smarthost aktivieren?

    Die bekannten MS Artikel zu TLS kennen wir bereits die bringen uns aber nicht weiter. Hat vielleicht jemand einen entscheidenden Tipp für uns oder gibt es eine Anleitung für unseren Fall?

    Viele Grüße

    Björn

    • Typ geändert Alex Pitulice Donnerstag, 27. September 2012 07:09 Warten auf Feedback
    Donnerstag, 20. September 2012 07:21
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Moin,

    Du suchst "Domain Security".

    Hier steht eigentlich alles drin, was wichtig ist:
    http://technet.microsoft.com/en-us/library/bb266978(EXCHG.80).aspx

    Interessant ist auch:
    http://technet.microsoft.com/en-us/library/bb123543(EXCHG.80).aspx
    http://www.it-training-grote.de/download/msexchange-domainsecurity.pdf

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Donnerstag, 20. September 2012 07:49
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi Bjoern,

    du kannst ein Cert nicht an einen Connector bundeln sondern nur an den Service. Exchange wählt dann den passenden. Wie sieht denn die Kommunikation aus? Siehst du ein starttls im SMTPLog?
    http://blog.icewolf.ch/archive/2010/01/28/sending-tls-secured-emails-with-exchange.aspx

    Teste über die OWA-Seite, ob deine Server die Root-CA akzeptiert und stimmten die Namen im Cert?
     -- Viele Grüße
    Christian

    Donnerstag, 20. September 2012 08:22
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Christian,

    ja ein starttls ist im Log, das wie folgt aussieht, zusehen:

    ,>,"220 Server.domain.local Microsoft ESMTP MAIL Service ready at Mon, 24 Sep 2012 15:57:38 +0200",
    ,<,EHLO Exchange,
    ,>,250-Server.domain.local Hello [XX.XXX.XX.XX],
    ,>,250-SIZE 10485760,
    ,>,250-PIPELINING,
    ,>,250-DSN,
    ,>,250-ENHANCEDSTATUSCODES,
    ,>,250-STARTTLS,
    ,>,250-X-ANONYMOUSTLS,
    ,>,250-AUTH NTLM LOGIN,
    ,>,250-X-EXPS GSSAPI NTLM,
    ,>,250-8BITMIME,
    ,>,250-BINARYMIME,
    ,>,250-CHUNKING,
    ,>,250-XEXCH50,
    ,>,250 XRDST,
    ,<,starttls,
    ,>,220 2.0.0 SMTP server ready,
    ,*,,Sending certificate
    ,*,CN=Sites,Certificate subject
    ,*,CN=Domain-Server-CA,Certificate issuer name
    ,*,2CB92E0000000000000E,Certificate serial number
    ,*,1A8A95914678944F57D4D269463F184FF93CD2AB,Certificate thumbprint
    ,Sites;Server.domain.local,Certificate alternate names

    Das mit dem OWA war eine gute Idee. Ich bekomme Zertifikatsfehler wenn die jeweils das OWA der anderen Domäne aufrufe. Allerdings ist das ja auch klar, da ich bisher nur das Zertifikat der Root-CA importiert habe. Mir ist nach wie vor nicht klar was ich mit dem Exchange Zertifikat der Gegenstelle machen muss.

    Gruß Björn 

    Montag, 24. September 2012 14:13
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi Bjoern8814,

    Das mit dem OWA war eine gute Idee. Ich bekomme Zertifikatsfehler wenn die jeweils das OWA der anderen Domäne aufrufe. Allerdings ist das ja auch klar, da ich bisher nur das Zertifikat der Root-CA importiert habe. Mir ist 
    nach wie vor nicht klar was ich mit dem Exchange Zertifikat der Gegenstelle machen muss.

    Wenn das RootCA installiert ist, sollte doch keine Fehlermeldung kommen, oder ist der Name falsch? Welcher Fehler kommt denn?

    Hast du das Cert in den User- oder Computerspeicher installiert?
    http://www.isaserver.org/img/upl/exchangekit/importrootca/importrootca.htm

    Etwas umständlich, aber dann siehst du wo es hinmuss.

    Viele Grüße
    Christian

    Montag, 24. September 2012 17:53
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Björn,

    Bist Du hier inzwischen weitergekommen?

    Gruss,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 26. September 2012 07:48
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Sorry für die späte Antwort aber ich bin jetzt erst wieder zum testen gekommen.

    Ich habe die Root-CA Zertifikat nun jeweils unter dem Computerkonto der Exchange Server importiert.

    Beim erneuten Test kam im Log (unter SmtpSend) nun kein Zertifikatsfehler sondern die folgende Meldung:

    530 Authentication required

    Ich vermute mal, dass ich einen Schritt weiter bin.

    Gruß

    Björn

    Donnerstag, 4. Oktober 2012 08:19
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi Bjoern8814,

    530 Authentication required

    ja das sieht schon besser aus. Jetzt ist die Frage, wie der Empfangsconnector konfiguriert ist. Evtl. lässt er keinen anonymen Zugriff zu.

    Viele Grüße
    Christian

    Donnerstag, 4. Oktober 2012 18:53
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hi Christian,
    doch "Anonyme Benutzer" ist gesetzt, dass hatte ich schon geprüft aber ich habe den Verdacht, dass die Zertifikate auf dem einen Server (SBS 2008, Exchange 2007) nicht korrekt konfiguriert sind. Deshalb habe ich jetzt zum Test einen 2008 R2 Exchange 2010 und einen 2008 Exchange 2007 Server und habe das gleiche dort eingerichtet. Aber dort bekomme ich in der Warteschlange auf beiden Servern den folgenden Fehler:
    451.4.4.0 Primary target IP address responded with: 451.5.7.3 Regquire STARTTLS to do basic authentication...
    Ich bin kurz vorm verzweifeln ist denn das so schwer oder liegt es an mir?
    Gruß
    Björn

    • Bearbeitet Bjoern8814 Freitag, 5. Oktober 2012 08:07
    Freitag, 5. Oktober 2012 08:06
    |