none
MS Exchange 2010 - Edge Server (Empfangsconnector EHLO/HELO) - Error 12014 - Verständnisfrage RRS feed

  • Frage

  • Hallo,

    ich brauche mal kurz ein Feedback ob ich richtig denke. Bisher hatten wir ein öffentliches Zertifikat für OWA/EAS/OA mit dem CN = mail.contoso.com.

    Der mx Record für contoso.com zeigt ebenfalls auf mail.contoso.com, und daher haben wir in der neuen Konstellation mit dem MS Edge Server 2010, im Empfangsconnector auch für die Antwort auf EHLO/HELO mail.contoso.com eingetragen. Im Ereignisprotokoll erhalten wir auf dem Edge nun folgenden Fehler:

    Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen "mail.contoso.com" im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "Default internal receive connector MS-EX-EDGE" mit einem FQDN-Parameter von "mail.contoso.com" nicht unterstützt werden. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann.

    Nun ist das ja kein Problem, dass öffentliche Zert. mit privatem Schlüssel vom MS FTMG noch auf den Edge in den Zertifikatsspeicher einzupflegen und dann für den SMTP Dienst zu aktivieren, der Fehler 12014 ist dann somit behoben. Jedoch muss man anschließend ein neue EdgeSubscription erstellen. Beim Hinzufügen bzw. der Erstellung der neuen EdgeBeziehung auf dem zentralen HUB/CAS/MB Server, erhalte ich dann jedoch eine Fehlermeldung, dass es bereits für einen anderen Dienst verwendet wird, nur wenn ich auf dem Edge den SMTP Dienst wieder auf das selbstsign. Zert. des Servers umtrage und dann erneut eine EdgeSubscription erstelle, kann ich eine Beziehung zum Hauptserver erstellen, der Fehler 12014 ist dann natürlich wieder da.

    Nun die Frage, bräuchte ich nun doch zwangsweise 2 Zertifikate, einmal für SMTP (also mail.contoso.com) und ein zweites für owa.constoso.com?


    • Bearbeitet YoWoo Mittwoch, 25. April 2012 13:17
    Mittwoch, 25. April 2012 13:17

Antworten

  • Ich habe die Lösung scheinbar, auf dem HUB hat jemand das öfentliche auf SMTP gebunden, da damals ohne Edge direkt gesendet wurde. Dieses muss ich löschen und es auf dem Edge für SMTP aktivieren und dann sollte auch die EdgeSub. fkt.
    Mittwoch, 25. April 2012 14:25

Alle Antworten

  • Hi,

    du musst das selbstsignierte löschen. Dann lässt sich das andere auch zuweisen.


    Und selbst wenn: Du bräuchtest nur 1 SAN Zertifikat was beide Hostnamen inne hat.
    Mittwoch, 25. April 2012 13:21
  • Ist den auf dem Edge Server für mail.contoso.com dann der private Schlüssel erforderlich oder nicht, aber eiegntlich schon, sonst könnten die Daten ja nicht entschlüsselt werden.
    Mittwoch, 25. April 2012 13:26
  • Ohne den kannst du das cert doch gar nicht einlesen.
    Mittwoch, 25. April 2012 13:27
  • Mit dem selbstsignierten aber dann das auf dem Edge Server hoffe ich.
    Mittwoch, 25. April 2012 13:28
  • Nein, du kannst solange du ein selbstsigniertes installiert hast dem SMTP Dienst kein anderes Cert zuweisen. Selbst wenn das schon richtig installiert wurde.
    Mittwoch, 25. April 2012 13:30
  • Ich habe das jetzt nochmal so getestet und auch das selbstsignierte Zert. auf dem Edge gelöscht:

    Beim Laden der EdgeSubscription erhalte ich dann folgenden Fehler:

    Verstrichene Zeit: 00:00:00


    Edge-Abonnement
    Fehler

    Fehler:
    Fehler beim Laden aus folgendem Grund: Das Zertifikat für die direkte Vertrauensstellung des abonnierten Edge-Transport-Servers mit Fingerabdruck "xxx" ist ein Duplikat eines Hub-Transport-Servers. Für Edge- und Hub-Transport-Server kann nicht dasselbe Zertifikat verwendet werden.

    Mittwoch, 25. April 2012 14:15
  • Ich habe die Lösung scheinbar, auf dem HUB hat jemand das öfentliche auf SMTP gebunden, da damals ohne Edge direkt gesendet wurde. Dieses muss ich löschen und es auf dem Edge für SMTP aktivieren und dann sollte auch die EdgeSub. fkt.
    Mittwoch, 25. April 2012 14:25