none
Nach Migration auf Exchange 2013 Event 36887 Code 46 RRS feed

  • Frage

  • Hallo,

    nach der bislang erfolgreichen Migration von Exchange 2007 auf 2013 bekomme ich im Eventlog des Exchange 2013 im Sekundentakt eine Fehlermeldung:

    Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 46.

    Quelle: Schannel

    Ich habe sämtliche Zertifikate geprüft, konnte aber keine Fehler entdecken. Wie kann ich dem Fehler auf die Spur kommen bzw. sehen, welches Zertifikat problematisch ist?  Eine eigene PKI ist vorhanden, das Zertifikat für mail.domaene.de, autodiscover.domaene.de und legacy.domaene.de habe ich über Comodo bezogen und installiert.

    Der Exchange 2007 läuft noch in Koexistenz, es sind allerdings schon alle Postfächer migriert, aktuell ist der 2007 ausgeschaltet, damit ich sehen kann, ob es noch zu Fehlern kommt. Der beschriebene Fehler taucht allerdings auch mit eingeschaltetem 2007 auf.

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Donnerstag, 28. Januar 2016 14:58

Antworten

  • Moin,

    Schannel ist der "Secure Chanel" und steht für die Windows Komponente (nicht Exchange), die sich um Verschlüsselung kümmert. Troubleshooting das ist leider extrem aufwendig, weil es so gut vie keine Logs gibt.

    Eine Fehlerquelle kann zum Beispiel ein Client sein, der falsche Verschlüsselungsmethoden verwendet. Bei uns tauchen da immer SMTP-Geräte auf, die für den unverschlüsselt Connector nicht freigeschaltet sind, weil auf Port 25 nur Verschlüsselung erlaubt ist.

    Auf welchem Betriebssystem läuft der Exchange?

    Welchen Patchstand hat der Exchange?

    Hast Du irgendwas an SSL/TLS eingestellt und z.B. TLS 1.0/1.1 deaktiviert (letztes geht bei Exchange 2013 IMHO noch nicht)?


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 28. Januar 2016 15:53
  • Moin,

    Du musst die Antwort schon lesen, ich habe geschrieben, dass das eine WINDOWS Einstellung ist, keine Exchange-Einstellung.

    SSL V2, V3, TLS 1.0, 1.1, Cipher Suites usw. usf. konfiguriert man via Regkeys mit Server-Reboot in Windows Systemweit für alle Applikationen darauf.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 29. Januar 2016 07:53
  • Morgen

    Ich gebe hier nur ein paar weitere Hintergrundinfos bekannt, da das Thema spannend und auch nicht sehr einfach ist. Die Codes werden hier erläutert:

    http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx

    Das wäre dann bei dir:
    certificate_unknown
    An unspecified issue took place while processing the certificate that made it unacceptable.

    Hast du Self Signed Zertifikate auf den Exchange Servern?

    Hier gibt es gute Hintergrundinformationen zum Schannel Hardening und es ist auch zu lesen dass bei Server 2012 SSL 2.0 per Default deaktiviert ist.
    http://blogs.technet.com/b/askds/archive/2015/12/08/speaking-in-ciphers-and-other-enigmatic-tongues-update.aspx

    Ich kann nur sagen: solange bei den Clients die zu Exchange verbinden keine Verbindungsunterbrüche entstehen kann der Event ignoriert und wenn es nervt das Logging deaktiviert werden:
    https://support.microsoft.com/en-us/kb/260729

    Ich empfehle dir auch mal einen Test per SSLlabs zu tätigen, damit du siehst was von der Serverseite supoortet wird:
    https://www.ssllabs.com/ssltest/

    Du wirst nach dem Test merken, das einige 36887er Eventlogs geschmissen werden, da SSLlabs mit Ciphers und Protokollen versucht, welche von deiner Servereite nicht supportet werden.


    Georg



    • Bearbeitet fgeo-ch Mittwoch, 3. Februar 2016 07:26
    • Als Antwort markiert Coreknabe Dienstag, 16. Februar 2016 15:26
    Mittwoch, 3. Februar 2016 07:20

Alle Antworten

  • Moin,

    Schannel ist der "Secure Chanel" und steht für die Windows Komponente (nicht Exchange), die sich um Verschlüsselung kümmert. Troubleshooting das ist leider extrem aufwendig, weil es so gut vie keine Logs gibt.

    Eine Fehlerquelle kann zum Beispiel ein Client sein, der falsche Verschlüsselungsmethoden verwendet. Bei uns tauchen da immer SMTP-Geräte auf, die für den unverschlüsselt Connector nicht freigeschaltet sind, weil auf Port 25 nur Verschlüsselung erlaubt ist.

    Auf welchem Betriebssystem läuft der Exchange?

    Welchen Patchstand hat der Exchange?

    Hast Du irgendwas an SSL/TLS eingestellt und z.B. TLS 1.0/1.1 deaktiviert (letztes geht bei Exchange 2013 IMHO noch nicht)?


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 28. Januar 2016 15:53
  • Hi Robert,

    danke für die schnelle Antwort!

    >> Eine Fehlerquelle kann zum Beispiel ein Client sein, der falsche Verschlüsselungsmethoden verwendet. Bei uns tauchen da immer SMTP-Geräte auf, die für den unverschlüsselt Connector nicht freigeschaltet sind, weil auf Port 25 nur Verschlüsselung erlaubt ist.

    Einen Mitarbeiter schließe ich da mal aus, weil der Fehler quasi 24/7 geloggt wird. Bleiben Geräte, die Nachrichten versenden? Aber dürfte der Fehler dann nicht nur beim Verbindungsversuch auftauchen? Oder verstehe ich das falsch (was ich mal annehme)?

    Betriebssystem ist 2012R2 in einer HyperV-VM.

    Ups, Patchstand ist SP1... Ich installiere heute Abend mal CU11.

    >> Hast Du irgendwas an SSL/TLS eingestellt und z.B. TLS 1.0/1.1 deaktiviert (letztes geht bei Exchange 2013 IMHO noch nicht)?

    Für die Empfangsconnectoren ist TLS aktiviert, habe ich so vom 2007 übernommen.

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Donnerstag, 28. Januar 2016 18:06
  • Hi nochmal,

    Update auf CU11 hat leider nichts verändert.

    Ideen und Ansätze sind sehr willkommen...

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Freitag, 29. Januar 2016 00:10
  • Moin,

    Du musst die Antwort schon lesen, ich habe geschrieben, dass das eine WINDOWS Einstellung ist, keine Exchange-Einstellung.

    SSL V2, V3, TLS 1.0, 1.1, Cipher Suites usw. usf. konfiguriert man via Regkeys mit Server-Reboot in Windows Systemweit für alle Applikationen darauf.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 29. Januar 2016 07:53
  • Moin,

    OK und danke. Aber ich habe immer noch nicht ganz verstanden, wo ich jetzt ansetzen kann. Vielleicht kannst Du mir noch mal einen Schubser geben?

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Montag, 1. Februar 2016 15:08
  • Morgen

    Ich gebe hier nur ein paar weitere Hintergrundinfos bekannt, da das Thema spannend und auch nicht sehr einfach ist. Die Codes werden hier erläutert:

    http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx

    Das wäre dann bei dir:
    certificate_unknown
    An unspecified issue took place while processing the certificate that made it unacceptable.

    Hast du Self Signed Zertifikate auf den Exchange Servern?

    Hier gibt es gute Hintergrundinformationen zum Schannel Hardening und es ist auch zu lesen dass bei Server 2012 SSL 2.0 per Default deaktiviert ist.
    http://blogs.technet.com/b/askds/archive/2015/12/08/speaking-in-ciphers-and-other-enigmatic-tongues-update.aspx

    Ich kann nur sagen: solange bei den Clients die zu Exchange verbinden keine Verbindungsunterbrüche entstehen kann der Event ignoriert und wenn es nervt das Logging deaktiviert werden:
    https://support.microsoft.com/en-us/kb/260729

    Ich empfehle dir auch mal einen Test per SSLlabs zu tätigen, damit du siehst was von der Serverseite supoortet wird:
    https://www.ssllabs.com/ssltest/

    Du wirst nach dem Test merken, das einige 36887er Eventlogs geschmissen werden, da SSLlabs mit Ciphers und Protokollen versucht, welche von deiner Servereite nicht supportet werden.


    Georg



    • Bearbeitet fgeo-ch Mittwoch, 3. Februar 2016 07:26
    • Als Antwort markiert Coreknabe Dienstag, 16. Februar 2016 15:26
    Mittwoch, 3. Februar 2016 07:20
  • Hi Georg,

    sorry für die späte Antwort, bin gerade aus dem Urlaub zurück.

    Auf dem Server ist ein selbstsigniertes Zertifikat: WMSVC.

    Ich habe jetzt nach einigen Recherchen einfach das Logging deaktiviert, da mir Zeit und Verständnis fehlen, ewig lange nach der eigentlichen Ursache zu forschen...

    Vielen Dank für Deine Links!

    Gruß


    MCITP Server Administrator MCTS 2008R2 Server Virtualization

    Dienstag, 16. Februar 2016 15:30