none
EX2016 - Zertifikat binden an IIS OK, an SMTP scheinbar nicht RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden
    Hallo Forengemeinde!

    Gegeben ist ein seit Jahren laufender EX2010, dem nun ein EX2016 zur Seite gestellt wurde, der den EX2010 ablösen soll. EX2016 ist ohne (durch mich erkennbare) Fehler installiert und konfiguriert. U.a. habe ich auch das vorhandene Wildcard-Zertifikat ("*.domäne.de") vom EX2010 exportiert und am EX2016 wieder importiert. Hier habe ich es in der GUI an die Dienste IIS und SMTP binden wollen. Bei diesem Vorgang gibt es keine Fehlermeldungen, im Anschluss sehe ich in der GUI aber nur "gebunden an IIS". Erwarten würde ich aber "Gebunden an IIS, SMTP"). Abfrage über die EX-Powershell bringt gleiches Ergebnis, auf dem EX2016 ist scheinbar keine des Zertifikate an SMTP gebunden, auch nicht mein Wildcard-Zertifikat.

    Woran kann das denn bitte liegen? Hat das mit dem noch existierenden EX2010 mit demselben Zertifikat zu tun und ist ganz normal? Oder muss ich an den Konnektoren auf dem EX2016 noch was machen? Oder habe ich ein größeres Problem?

    Vielen Dank im Voraus!

    TJ
    Dienstag, 28. März 2017 15:47
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo TJ,

    ich vermute, dass hat mit den Empfangsconnectoren zu tun.

    Hast Du Split DNS (sprich interne AD DNS Domain = externe DNS Domain)?

    Wenn nein, dann möchte Exchange gerne seinen eigenen FQDN in einem Zertifikat haben. Das dient der internen Kommunikation der Exchange Server untereinander. Das SMTP Banner der Default Connectoren zu ändern birgt einige Gefahren, habe ich bisher noch nicht gemacht.

    Das Du das Zertifikat auf mehreren Servern verwendest ist nicht die Ursache.

    https://technet.microsoft.com/de-de/library/dd351257(v=exchg.160).aspx

    Gruß Malte

    Dienstag, 28. März 2017 17:14
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Hallo Malte!

    Vielen Dank!

    Ja, Split-DNS, genauer:
    Meine AD-Domain ist DOMÄNE.local, draußen gibt es natürlich DOMÄNE.de. Im lokalen DNS gibt es EX.DOMÄNE.de und AUTODISCOVER.DOMÄNE.de (zeigen beide auf die IP des EX2010). Alle EX-URL´s beider EX-Server zeigen auf EX.DOMÄNE.de/... . Zertifikat ist wie gesagt Wildcard, also *.DOMÄNE.de.

    TJ



    Dienstag, 28. März 2017 17:36
    |
  • Discussion
    Anmelden
    0
    Anmelden

    P.S.:

    Was meinst Du mit "SMTP Banner"?
    Den FQDN-Eintrag, den ich in den Bereichsdefinitionen der einzelnen Empfangskonnektoren angeben kann?

    Da habe bei meinem EX2010 "ex.domäne.de" drinstehen, bei meinem EX2016 steht da noch "ex2016.domäne.local" drin.

    War mir bisher entgangen, würde ich jetzt eigentlich ändern, Du hast aber was von "birgt Gefahren" geschrieben, weshalb ich jetzt zögere.
    Außerdem zeigt "ex.domäne.de" noch auf die IP des EX2010. Oder ist das hier im Moment nicht wichtig, Hauptsache hier steht was, was im Zertifikat ist? (das ist ja jetzt mit "ex2016.domäne.local" nicht der Fall...)

    Die IP des EX2016 werde ich übrigens ändern, sobald der EX2010 weg ist.
    Dann bekommt der EX2016 die IP, die der EX2010 bislang hat.

    DANKE!

    TJ

    Dienstag, 28. März 2017 17:52
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo TJ,

    also KEIN Split DNS, denn Du verwendest intern eine andere DNS Zone als extern.
    Dein AD hat den DNS Bereich Domain.local.
    In der großen weiten Welt bist Du über Domain.de erreichbar. Das Du zusätzlich im internen DNS autodiscover.domain.de und ex.domain.de bereitstellst und auf Deine Exchange Server zeigen lässt ist hilfreich für alle nicht Domainmember, denn diese können den SCP im AD nicht abrufen und gehen daher auf DNS Ermittlung. (Damit hast Du alle MACs und mobilen Geräte eingefangen).

    Mit Split DNS meinte ich, das der intern verwendete AD DNS Namespace mit deinem externen öffentliche DNS Namespace übereinstimmt. Da war ich etwas ungenau.

    Deine Exchange Server wollen intern mit anderen über ex1.domain.local und ex2.domain.local kommunizieren und davon lassen sie sich nicht abbringen (Nach meinem Kenntnisstand). Genau diese FQDNs sind in Deinem Wildcard-Zertifikat nicht enthalten. Jetzt sollte man aber nicht einfach in den Default Connectoren den Servernamen ändern, denn die Exchange Server prüfen intern sehr genau, was im Zertifikat steht.

    Gruß Malte

    Dienstag, 28. März 2017 20:40
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo TJ,

    "Was meinst Du mit "SMTP Banner"?
    Den FQDN-Eintrag, den ich in den Bereichsdefinitionen der einzelnen Empfangskonnektoren angeben kann?"

    JA - genau das

    "Außerdem zeigt "ex.domäne.de" noch auf die IP des EX2010"

    Du stehst also vor einer Migration von 2010 auf 2016. Dann solltest Du Dich über die Abhängigkeiten von Autodiscover, Client Access Proxy Zugriff informieren.

    Erster Clientzugriffspunkt sollte immer die höhere Anwendungsversion sein.

    Z.B. hier: https://blogs.technet.microsoft.com/exchange/2015/10/26/client-connectivity-in-an-exchange-2016-coexistence-environment-with-exchange-2010/

    Ich hoffe, dass war jetzt klugsch...end und hilft Dir.

    Gruß Malte

    Dienstag, 28. März 2017 20:47
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Malte!

    Danke!

    Ich halte mich bei der Migration an die Anleitung von "Franky":
    https://www.frankysweb.de/howto-migration-von-exchange-2010-zu-exchange-2016/

    Diese Anleitung deckt m.E. alles ab, oder siehst Du da Lücken?

    Im Moment bereite ich also meinen EX2016 vor, um dann mit der Migration der Postfächer beginnen zu können. Das wollte ich, wie in der Anleitung beschrieben, zunächst mit einigen wenigen Postfächern testen, dabei die IP-Ziele nur für meine Test-Clients mit Hilfe der HOSTS-Datei "umbiegen". Erst wenn es dann klappt will ich die Umstellung im DNS für alle machen Clients. EX2016 ist dann Proxy für EX2010 UND "Erster Clientzugriffpunkt". Dann wäre es ja auch so wie Du es "gefordert" hast.

    Aber an diesem Punkt bin ich in meiner Migration noch nicht.

    Um Deine Frage "Ich hoffe, dass war jetzt klugsch...end und hilft Dir." zu beantworten:
    Nein, leider nicht wirklich, ich weiß nach wie vor nicht wo ich den Fehler suchen sollte, außer er liegt doch im noch nicht zum Zertifikat passenden SMTP-Banner...  :-(

    TJ




    • Bearbeitet T.J. Hooker Mittwoch, 29. März 2017 05:59
    Mittwoch, 29. März 2017 05:56
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Moin,

    die Anleitung von Franky ist im wesentlichen schon komplett und richtig.

    Hast du denn am 2016 einen Request erstellt oder wie hast du dein vorhandenes Cert eingebunden?

    http://www.mustbegeek.com/install-ssl-certificate-in-exchange-2016/

    Und sobald das Cert passt und aktiv ist, würde ich den 2016 Proxy machen lassen.

    Der "Test" mit der Hosts - Datei ist unzuverlässig.

    Was noch keiner gefragt hat - mit was hast du den 2016 installiert, sprich, welches CU hat der?

    http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

    ;)

    Gruß Norbert

    Mittwoch, 29. März 2017 06:54
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden
    Hallo Norbert!

    Danke!

    Ich habe das Cert von meinem EX2010 ex- und in meinen EX2016 importiert.
    Dort habe ich es an den IIS gebunden, was auch funktioniert hat. Nur eben SMTP nicht.

    Installiert ist CU4.

    Den EX2016 schon "nach vorne stellen" wollte ich im Moment ungerne, weil ja wegen SMTP und Zertifikat noch Unklarheiten bestehen.

    Oder kann das mit der Zertifikatsbindung an dem SMTP-Dienst in meiner jetzigen Konstellation etwa gar nicht klappen?

    Oder liegt es doch nur am noch nicht angepassten SMTP-Banner?

    Letzteres erscheint mir immer sinnvoller, da dort ja noch "SRV.DOMÄNE.local" drinsteht, und das ist nicht Bestandteil meines Zertifikats das ich binden möchte....

    TJ



    Mittwoch, 29. März 2017 07:47
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Moin,

    ich muss jetzt noch mal nachfragen - den Import und die Bindung hast du über das ECP und hoffentlich nicht über der IIS gemacht?

    ;)

    Gruß Norbert

    Mittwoch, 29. März 2017 08:34
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden
    Importiert habe ich das Zertifikat über die MMC (Zertifikate) in das Computerkonto unter "Eigene Zertifikate".
    Gebunden (bzw. versucht zu binden, hat ja nur für IIS geklappt) habe ich über ECP.
    • Bearbeitet T.J. Hooker Mittwoch, 29. März 2017 08:41
    Mittwoch, 29. März 2017 08:40
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Ich vermute so langsam, ich habe da ein größeres Problem...

    Ich wollte mein Wildcard-Zertifikat eben im ECP löschen, das funktionerte aber erst mal nicht, weil es das Standard-Transport-Zertifikat sei. Ich habe daraufhin SMTP und IIS wieder an das bei der Installation selbst erstellte Zertifikat "Microsoft Exchange" gebunden. Danach konnte ich mein Wildcard dann auch löschen.

    Dabei ist mir schon aufgefallen,

    - dass ich bei der Bindnung des selbst erstellen Zertifikats an SMTP gefragt wurde, ob ich damit das jetzt vorhandene SMTP-Zertifikat ersetzen will. Hier wurde mir der Thumbprint meines Wildcard-Zertifkats angezeigt. War es also doch gebunden?

    - dass bei der Bindung des selbst erstellten Zertifikats an IIS und SMTP kein Fehler ausgegeben wurde, im ECP aber nur IIS als gebunden angezeigt wird, nicht SMTP.

    Hmmm...  Erst mal einen Neustart des Servers machen.

    Danach wollte ich das ECP aufrufen, ging aber nicht. Statt dessen eine IE Seite mit "Bitte aktivieren Sie TLS...". In der EMS habe ich das selbst erstellte Zertifikat dann (noch mal) an IIS und SMTP gebunden. Danach konnte ich das EMC wieder aufrufen.

    Bei Eingabe von "Get-ExchangeCertificate" wird mir für das selbst erstellte Zertifikat auch in der EMS übrigens nur "W" angezeigt...

    <etwas ratlos aktuell>

    TJ



    • Bearbeitet T.J. Hooker Mittwoch, 29. März 2017 09:59
    Mittwoch, 29. März 2017 09:57
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo zusammen!

    Wie ich höre ist verschiedentlich der Eindruck aufgekommen, ich möchte hier unter Umständen nur Wissen absaugen, mich selbst möglichst wenig mit der Materie beschäftigen und die Community so kostenlos meine Migration erledigen lassen.

    Diesem Eindruck möchte ich deutlich entgegentreten, dem ist nicht so!

    Als Einzelkämper in (m)einer kleinen Umgebung möchte ich aber möglichst viel selbst erledigen.

    Jenseits des hiesigen IT-Budgets bin ich persönlich der Meinung, dass, wenn sich mein Arbeitgeber jemanden wie mich "leistet",  meine Aufgabe mehr umfassen muss, als nur" die Beauftragung von Dienstleistern und Consultants.

    Ich versuche mir also mit Büchern, Video-Schulungen, Google-Suchen usw. so gut es geht selbst zu helfen. Das habe ich übrigens auch vor jeder Frage, die ich hier in den letzten Wochen gepostet habe, getan.

    Da ich nur alle paar Jahre mal mit der Installation/Migration von Exchange zu tun habe, stoße ich hier aber sicherlich vergleichsweise früh an meine Grenzen und dies ist dann der Zeitpunkt, zu dem ich hier Hilfe suche.

    Jenseits dessen kann ich aber gut verstehen, dass mindestens diejenigen unter euch, die mit Leuten wie mir ihr Geld verdienen, Ihre Dienstleistung hier nicht dauerhaft und umfänglich kostenlos anbieten können.
    Ich war auch schon auf der anderen Seite.

    Um hier nun nicht vollkommen in Ungnade zu fallen werde ich meine letzten Threads als "Beantwortet" kennzeichnen und mir nun doch ernsthaft Gedanken zu kostpflichtiger, externer Hilfe machen.

    VG

    TJ

    Dienstag, 25. April 2017 13:33
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Zusammen!

    Für den Fall, dass es jemandem hilft:
    Das Problem lag offenbar darin, dass ich ein Wildcard-Zertifikat verwendet habe bzw. verwenden wollte.

    Ich habe nun ein extern signiertes Zertifikat erworben und installiert, in dem als einzige URL diejenige enthalten ist, die ich für den SMTP-Dienst nutze. Dieses Zertifikat kann ich problemlos an dem SMTP-Dienst binden.

    Mein o.g. Wildcard-Zertifikat nutze ich weiterhin parallel zu dem o.g. Zertifikat für die IIS-Bindung, wo es auch einwandfrei funktioniert.

    TJ

    Dienstag, 23. Mai 2017 11:29
    |