none
Exchange 2016 CU 15 | SMTP Service wird am Zertifikat nicht als zugewiesen angezeigt RRS feed

  • Frage

  • Wie bereits im Titel formuliert, wird die SMTP Service Bindung nirgends (weder Shell noch WebUI) angezeigt.
    Public Server Name für die Erläuterung "mail.contoso.com".

    1. Ich weise mit

    Enable-ExchangeCertificate -Thumbprint C70B......................60114BC9 -Services SMTP 

    dem öffentlich signierten und importierten SAN Zertifikat (mail.contoso.com ist das primäre Subject) den Service SMTP zu.

    2. Die Shell fragt wie gewohnt, ob die Bindung vom Standard Self Signed Zertifikat gelöst werden soll, Bestätigung mit A (für Alle)...

    3. Kein Fehler, in der Shell, also scheinbar alles gut...

    4. Prüfung der Zuweisung wie gewohnt mit

    Get-ExchangeCertificate | ft Subject,Services,Thumb* -AutoSize

    Aufgelistet wird Folgendes:

    Subject                                             Services          Thumbprint
    -------                                             --------          ----------
    CN=mail.contoso.com                                 IMAP, POP, IIS    C70BF.......................114BC9
    CN=Microsoft Exchange Server Auth Certificate       None              6A4546......................3676FF
    CN=mailserver01                                     IIS               28DD182......................3A17F
    CN=WMSvc-SHA2-mailserver01                          None              194EF73....................5D10B8C

    und siehe da, keinem Zertifikat ist der SMTP Service zugewiesen, also mache ich alles rückgängig und siehe da, der SMTP Service wird nun gar keinem Zertifikat mehr zugewiesen, auch nicht dem lokal selbstsignierten Zertifikat?

    Sicherheitshalber Prüfung Receive Connector "Helo Name" --> mail.contoso.com (anonymisiert...)., obwohl das bisher nie einen Einfluss auf die Zertifikatszuweisung hatte.

    Hat irgend jemand eine Idee dazu?

    Ich würde auch zu gerne sehen, ob am Empfangs-Connector das Zertifikat evtl. sogar verwendet wird und es evtl. nur ein Anzeige Bug ist. Leider weiß ich aktuell keine Möglichkeit das zu überprüfen, da das System noch "autark" im internen Netz steht und somit ein Test via TLS Test o.ä. von extern nicht in Frage kommt.

    PS: Nur zur Info, https://practical365.com/exchange-server/configuring-the-tls-certificate-name-for-exchange-server-receive-connectors/ hab ich auch schon durch, ohne Erfolg...

    Dienstag, 28. Januar 2020 16:54

Alle Antworten

  • Hi Troubleshooter...

    als erstes mal kurz zum Testen von SMTP über TLS... das kannst du Intern über openSSL machen. Da gibt es auch gute Anleitungen dazu wie man das macht... zuerst mal mit openSSL eine Verbindung herstellen:

    Als erstes erzeugst Du dir einen Hash Logon mit:
    echo -ne '\0user@example.com\0password' | base64

    Dann verbindest Du dich mit dem SMTP Server auf dem entsprechenden Port (im Beispiel 587)
    openssl s_client -starttls smtp -connect example.com:587

    Dann Sagst Du guten Tag:
    ehlo example.com

    Und meldest dich mit dem String den Du mit Echo zu Begin erzeugt hast an:
    AUTH PLAIN AGFkbWluQGV4YW1wbGUuY29tAHBhc3N3b3Jk

    Dann noch der normale Test:
    mail from: user@example.com
    rcpt to: otheruser@example.com
    data
    12345
    quit

    Was dein Zertifikat angeht:

    Hast Du schon mal versucht, das auf dem Connector zu setzen:

    Set-ReceiveConnector "EXCHANGE\Default Frontend EXCHANGE" -TlsCertificateName $TLSCertificateName
    set-ReceiveConnector "EXCHANGE\Client Frontend EXCHANGE" -TlsCertificateName $TLSCertificateName
    Get-SendConnector | Set-SendConnector -TlsCertificateName $TLSCertificateName

    Frank Zöchling hat in seinem Blog (frankysweb punkt de) eine echt prima Erklärung zum Thema Zertifikate geschrieben: exchange-2016-zertifikate-konfigurieren 

    Viel Erfolg

    Liebe Grüße

    Martin

    Mittwoch, 29. Januar 2020 06:08
  • Also die OpenSSL Geschichte werde ich gleich mal testen, danke für die Anleitung!

    Ja, den "-TlsCertificateName" Parameter habe ich bereits auf den Connectoren gesetzt, war auch so meine Hoffnung, aber nichts. Selbes Verhalten wie vorher....

    Mittwoch, 29. Januar 2020 11:29
  • Also nach dem Test stellt sich heraus, dass der Exchange immer das selbstsignierte lokale Zertifikat verwendet.
    Mittwoch, 29. Januar 2020 11:58
  • Prima... Hast das Zertifikat inzwischen eingebunden bekommen oder verweigert er es weiterhin? Hast mal geschaut ob das Zertifikat:

    - nen Privaten Schlüssel hat

    - Client und Server ist

    - die entsprechenden Ciphers unterstützt....

    Du hast ja das wenn ich das richtig in Erinnerung habe bei einer offiziellen Stelle geholt... nicht das dein Zertifikat nur SSL und kein TLS kann...

    Liebe Grüße

    Martin

    Donnerstag, 30. Januar 2020 06:48
  • Ergänzend - wann war der letzte Reboot?

    Welchen Stand hat der Exchange?
    https://www.msxforum.de/blog/index.php?entry/41-build-nummern-tabellarisch/

    ;)


    Gruß Norbert

    Donnerstag, 30. Januar 2020 06:58
    Moderator
  • Das Zertifikat ist ein UCC (3 SANs) public signed von Commodo, wie ich es schon wirklich oft eingesetzt habe. Ja, der private Schlüssel ist nachdem der CSR auf dem Exchange erstellt wurde, auch vorhanden und auch exportierbar.

    Also irgendwas passt da nicht und das generell... Ich habe heute die nächste Integration mit 4 x Exchange Server 2016 CU5 und ich bekomm den SMTP Service nur beim ersten Server sauber eingebunden. Die anderen zeigen mir die SMTP Bindung weder in der GUI, noch auf der Shell an. Das gibts doch nicht? Ich hab das doch seit Exchange 2010 schon zig mal gemacht. Hat sich denn generell irgendwas bei der Dienstzuweisung geändert?

    Ich verwende immer das Exchange Prerequisites Script, damit alle meine Server gleich vorbereitet sind. Auch die Konnektoren werden am ersten Server erstellt, dann via PowerShell auf die anderen übertragen, hier kann es also keine Unterschiede geben, zumindest nach meiner Auffassung?

    Ich hab echt keine Idee...

    Montag, 3. Februar 2020 21:54
  • Ergänzend - wann war der letzte Reboot?

    30 Minuten vor meinem Thread

    Welchen Stand hat der Exchange?

    Es sind allesamt Exchange Server 2016 CU15, also Build 15.01.1913.005
    (mittlerweile habe ich 4 weitere deloyed, bei denen ich nur am ersten SMTP an das Zertifikat binden kann)

    Ich glaub ich bin zu alt für den Sch... :-)

    Montag, 3. Februar 2020 22:02
  • Mal ne ganz dumme Frage...

    Hast Du mit Sicherheit schon gecheckt, aber nur der Sicherheit mal halber... sind die Server im Bereich überall als Quellserver angegeben???

    Liebe Grüße

    Martin

    Sonntag, 16. Februar 2020 14:44