none
Exchange 2013 - Server Availability Probe "OnPremisesInboundProxy" RRS feed

  • Allgemeine Diskussion

  • Hallo,

    durch SCOM bin ich auf einen Fehler bzgl. der Probe "OnPremisesInboundProxy" aufmerksam geworden.

    < HealthSet > FrontendTransport </ HealthSet >
      < Subject > The inbound proxy probe failed 3 times over 15 minutes. </ Subject >
      < Message > The inbound proxy probe failed 3 times over 15 minutes. Server 127.0.0.1 on port 25 did not respond with expected response (OK). The actual response was: 530 5.7.1 Client was not authenticated . Probe Exception: 'System.Exception: Server 127.0.0.1 on port 25 did not respond with expected response (OK). The actual response was: 530 5.7.1 Client was not authenticated . at Microsoft.Forefront.Monitoring.ActiveMonitoring.Smtp.Probes.SmtpConnectionProbe.AssertExpectedResponse(SmtpExpectedResponse expectedResponse) at Microsoft.Forefront.Monitoring.ActiveMonitoring.Smtp.Probes.SmtpConnectionProbe.TestConnection() at Microsoft.Forefront.Monitoring.ActiveMonitoring.Smtp.Probes.SmtpConnectionProbe.DoWork(CancellationToken cancellationToken) at Microsoft.Office.Datacenter.WorkerTaskFramework.WorkItem.Execute(CancellationToken joinedToken) at Microsoft.Office.Datacenter.WorkerTaskFramework.WorkItem.<>c__DisplayClass2.<StartExecuting>b__0() at System.Threading.Tasks.Task.Execute()' Failure Context: 'Server 127.0.0.1 on port 25 did not respond with expected response (OK). The actual response was: 530 5.7.1 Client was not authenticated .' Execution Context: '' Probe Result Name: 'OnPremisesInboundProxy' Probe Result Type: 'Failed' Monitor Total Value: '3' Monitor Total Sample Count: '3' Monitor Total Failed Count: '0' Monitor Poisoned Count: '0' Monitor First Alert Observed Time: '9/14/2014 3:40:19 PM' </ Message >
      < Monitor > OnPremisesInboundProxyMonitor </ Monitor >

    Der Test innerhalb Exchange schlägt, da die Verbindung aufgrund erforderlicher Authentifizierung vom Receive Connector "Default Frontend SRV023" nicht angenommen wird

    530 5.7.1 Client was not authenticated

    In dem SMTP Log erhalte ich alle 5 Minuten folgende Einträge:

    Ich möchte jetzt auch nicht "Anoymous" auf dem Receive Connector erlauben. Kann ich der "Probe" einen Benutzer zur Authentifizierung mit geben oder wie habt ihr das unter Betrachtung der Sicherheit gelöst?

    Details zur Probe lassen sich so abfragen:

    (Get-WinEvent -LogName Microsoft-Exchange-ActiveMonitoring/ProbeDefinition | % {[XML]$_.toXml()}).event.userData.eventXml | ?{$_.Name -like "OnPremisesInboundProxy"}

    Freitag, 10. Oktober 2014 10:13

Alle Antworten

  • Hallo markus84de,

    Fügen Sie die Loopback-IP-Adresse 127.0.0.1 in die remote-IP-Adressbereiche von Frontend-Empfangsconnector die anonyme Berechtigungen aktiviert hat. Versuchen Sie die Loop Back IP-Adresse 127.0.0.1 in remote-IP-Bereiche von Frontend Empfangsconnector hinzufügen.

    Oder

    In der Konfiguration des OnPremisesInboundProxy Probe, ändern Sie den SMTP-Server in ExtentionAttributes-Eigenschaft um es zu ermöglichen, ändern Sie den SMTP-Server in ExtentionAttributes-Eigenschaft, um das Probe erfolgreich zu aktivieren. Erstellen Sie eine lokale überschreiben, und ändern Sie den SMTP-Server in den Hostnamen statt Loopback IP address.ate eine lokale überschreiben und ändern Sie den SMTP-Server in den Hostnamen statt Loopback-IP-Adresse.

    Ich hoffe die
    Information wird Ihnen hilfreich sein.

    Gruß

    Teodora



    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Freitag, 10. Oktober 2014 13:30
    Moderator
  • Diese schlechte Übersetzung soll helfen, sorry aber das ist ein Witz... 
    Freitag, 10. Oktober 2014 14:21
  • Hallo,

    ich habe die Loopback Adresse 127.0.0.1 zu einem anderen Receive Connector hinzugefügt. Dieser erlaubt die Anonyme Authentifizierung. Der Fehler wird jetzt nicht mehr angezeigt.

    Ist es bzgl. Sicherheit ok, der Loopback Adresse den Anonymen Zugriff auf den Connector zu erlauben?

    Aktuelle Einstellungen:

    (ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient” ist für diesen Connector nicht aktiviert)




    Freitag, 10. Oktober 2014 14:23
  • Hallo Dominik,

    den ersten Artikel bzgl. Override hatte ich auch schon gelesen.

    Was ich daran jedoch noch nicht ganz verstehe:

    • Per Override setze ich den SMTP Server welcher als "Ziel" verwendet werden soll. Die Probe selber kommt aber trotzdem von der Quelle "localhost". Somit würde ich doch wieder an der Auth. des Receive Connectors scheidern. Oder sehe ich das falsch?
    • Dann habe ich derzeit zwei CAS Server welche per DNS Round Robin unter einem Namen verfügbar sind. Trage ich diese Adresse ein oder eher den Hostnamen des jeweiligen Servers. Ich würde zweiteres vermuten, damit die Probe auch beide Server prüft.

    Ansonsten schonmal Danke für die Blogs! Leider findet sich derzeit sonst noch recht wenig zu dem Thema.

    Gruß

    Markus


    Montag, 13. Oktober 2014 07:21
  • Hallo Markus,

    Schau Mal hier Customizing Managed Availability

    Gruß

    Teodora


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 13. Oktober 2014 08:21
    Moderator
  • Hallo Dominik,

    den ersten Artikel bzgl. Override hatte ich auch schon gelesen.

    Was ich daran jedoch noch nicht ganz verstehe:

    • Per Override setze ich den SMTP Server welcher als "Ziel" verwendet werden soll. Die Probe selber kommt aber trotzdem von der Quelle "localhost". Somit würde ich doch wieder an der Auth. des Receive Connectors scheidern. Oder sehe ich das falsch?
    • Dann habe ich derzeit zwei CAS Server welche per DNS Round Robin unter einem Namen verfügbar sind. Trage ich diese Adresse ein oder eher den Hostnamen des jeweiligen Servers. Ich würde zweiteres vermuten, damit die Probe auch beide Server prüft.

    Ansonsten schonmal Danke für die Blogs! Leider findet sich derzeit sonst noch recht wenig zu dem Thema.

    Gruß

    Markus


    Override habe ich gesetzt, aber genau wie ich oben vermutet habe laufe ich wieder in der 530 Fehler.

    Override:

    Add-ServerMonitoringOverride -Server srv023.corp.intern -Identity FrontEndTransport\OnPremisesInboundProxy -ItemType Probe -PropertyName ExtensionAttributes -PropertyValue '<ExtensionAttributes><WorkContext><SmtpServer>srv023.corp.intern</SmtpServer><Port>25</Port><HeloDomain>InboundProxyProbe</HeloDomain><MailFrom Username="inboundproxy@contoso.com" /><MailTo Select="All" Username="HealthMailbox5b3a0572d646469e91d8b56ed7263a18@corp.intern" /><Data AddAttributions="false">X-Exchange-Probe-Drop-Message:FrontEnd-CAT-250Subject:Inbound proxy probe</Data><ExpectedConnectionLostPoint>None</ExpectedConnectionLostPoint></WorkContext></ExtensionAttributes>'

    SMTP Log:

    2014-10-13T08:17:30.153Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,0,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,+,,
    2014-10-13T08:17:30.153Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,1,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,*,None,Set Session Permissions
    2014-10-13T08:17:30.153Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,2,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,"220 SRV023.corp.intern Microsoft ESMTP MAIL Service ready at Mon, 13 Oct 2014 10:17:29 +0200",
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,3,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,<,EHLO InboundProxyProbe,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,4,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,*,None,Set Session Permissions
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,5,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,*,None,Set Session Permissions
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,6,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-SRV023.corp.intern Hello [fe80::4da7:6d3a:5e23:8d49%12],
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,7,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-SIZE 111149056,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,8,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-PIPELINING,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,9,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-DSN,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,10,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-ENHANCEDSTATUSCODES,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,11,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-STARTTLS,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,12,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-X-ANONYMOUSTLS,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,13,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-AUTH NTLM,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,14,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-X-EXPS GSSAPI NTLM,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,15,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-8BITMIME,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,16,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-BINARYMIME,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,17,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250-CHUNKING,
    2014-10-13T08:17:30.184Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,18,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,250 XRDST,
    2014-10-13T08:17:30.200Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,19,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,*,None,Set Session Permissions
    2014-10-13T08:17:30.200Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,20,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,<,MAIL FROM: inboundproxy@contoso.com,
    2014-10-13T08:17:30.200Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,21,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,*,Tarpit for '0.00:00:05',
    2014-10-13T08:17:35.216Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,22,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,>,530 5.7.1 Client was not authenticated,
    2014-10-13T08:17:35.216Z,SRV023\Default Frontend SRV023,08D1A9996B4D6017,23,[fe80::4da7:6d3a:5e23:8d49%12]:25,[fe80::4da7:6d3a:5e23:8d49%12]:42705,-,,Local


    Montag, 13. Oktober 2014 08:31
  • Hallo Markus,

    haben Sie zufällig rausgefunden, was die Lösung Ihrer Frage ist?

    Wenn Sie eine Lösung gefunden hätten bitte teilen Sie sie der Community mit, so dass auch andere davon profitieren können.

    Gruß

    Teodora



    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.



    Donnerstag, 16. Oktober 2014 06:27
    Moderator
  • Hallo,

    leider habe ich noch keine "gute" Lösung gefunden.

    Localhost auf dem Receive Connector erlauben löst zwar das Problem, aber dies finde ich fraglich bzgl. der Sicherheit.

    Der oben beschriebene Override ändert nichts an der benötigten Authentifizierung.

    Gruß Markus



    Dienstag, 28. Oktober 2014 14:01
  • Hallo Markus,

    in dieser Situation würde ich Ihnen empfehlen, dass Sie sich direkt an Microsoft Support Center  wenden.

    Tel. Deutschland: +49 (0)180 / 567 233 0*

    Tel. Österreich:  +43 (0)150 / 222 225 5

    Tel. Schweiz:     +41 (0)848 / 802 330

    Vielen Dank für Ihr Verständnis

    Mit freundlichen Grüßen

    Teodora


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.



    Dienstag, 28. Oktober 2014 15:05
    Moderator