Fragensteller
Exchange 2016 CU 15 | SMTP Service wird am Zertifikat nicht als zugewiesen angezeigt

Frage
-
Wie bereits im Titel formuliert, wird die SMTP Service Bindung nirgends (weder Shell noch WebUI) angezeigt.
Public Server Name für die Erläuterung "mail.contoso.com".1. Ich weise mit
Enable-ExchangeCertificate -Thumbprint C70B......................60114BC9 -Services SMTP
dem öffentlich signierten und importierten SAN Zertifikat (mail.contoso.com ist das primäre Subject) den Service SMTP zu.
2. Die Shell fragt wie gewohnt, ob die Bindung vom Standard Self Signed Zertifikat gelöst werden soll, Bestätigung mit A (für Alle)...
3. Kein Fehler, in der Shell, also scheinbar alles gut...
4. Prüfung der Zuweisung wie gewohnt mit
Get-ExchangeCertificate | ft Subject,Services,Thumb* -AutoSize
Aufgelistet wird Folgendes:
Subject Services Thumbprint ------- -------- ---------- CN=mail.contoso.com IMAP, POP, IIS C70BF.......................114BC9 CN=Microsoft Exchange Server Auth Certificate None 6A4546......................3676FF CN=mailserver01 IIS 28DD182......................3A17F CN=WMSvc-SHA2-mailserver01 None 194EF73....................5D10B8C
und siehe da, keinem Zertifikat ist der SMTP Service zugewiesen, also mache ich alles rückgängig und siehe da, der SMTP Service wird nun gar keinem Zertifikat mehr zugewiesen, auch nicht dem lokal selbstsignierten Zertifikat?
Sicherheitshalber Prüfung Receive Connector "Helo Name" --> mail.contoso.com (anonymisiert...)., obwohl das bisher nie einen Einfluss auf die Zertifikatszuweisung hatte.
Hat irgend jemand eine Idee dazu?
Ich würde auch zu gerne sehen, ob am Empfangs-Connector das Zertifikat evtl. sogar verwendet wird und es evtl. nur ein Anzeige Bug ist. Leider weiß ich aktuell keine Möglichkeit das zu überprüfen, da das System noch "autark" im internen Netz steht und somit ein Test via TLS Test o.ä. von extern nicht in Frage kommt.
PS: Nur zur Info, https://practical365.com/exchange-server/configuring-the-tls-certificate-name-for-exchange-server-receive-connectors/ hab ich auch schon durch, ohne Erfolg...
- Bearbeitet _-Troubleshooter-_ Dienstag, 28. Januar 2020 16:56
Alle Antworten
-
Hi Troubleshooter...
als erstes mal kurz zum Testen von SMTP über TLS... das kannst du Intern über openSSL machen. Da gibt es auch gute Anleitungen dazu wie man das macht... zuerst mal mit openSSL eine Verbindung herstellen:
Als erstes erzeugst Du dir einen Hash Logon mit:
echo -ne '\0user@example.com\0password' | base64
Dann verbindest Du dich mit dem SMTP Server auf dem entsprechenden Port (im Beispiel 587)
openssl s_client -starttls smtp -connect example.com:587
Dann Sagst Du guten Tag:
ehlo example.com
Und meldest dich mit dem String den Du mit Echo zu Begin erzeugt hast an:
AUTH PLAIN AGFkbWluQGV4YW1wbGUuY29tAHBhc3N3b3Jk
Dann noch der normale Test:
mail from: user@example.com
rcpt to: otheruser@example.com
data
12345
quitWas dein Zertifikat angeht:
Hast Du schon mal versucht, das auf dem Connector zu setzen:
Set-ReceiveConnector "EXCHANGE\Default Frontend EXCHANGE" -TlsCertificateName $TLSCertificateName
set-ReceiveConnector "EXCHANGE\Client Frontend EXCHANGE" -TlsCertificateName $TLSCertificateName
Get-SendConnector | Set-SendConnector -TlsCertificateName $TLSCertificateNameFrank Zöchling hat in seinem Blog (frankysweb punkt de) eine echt prima Erklärung zum Thema Zertifikate geschrieben: exchange-2016-zertifikate-konfigurieren
Viel Erfolg
Liebe Grüße
Martin
- Als Antwort vorgeschlagen Martin Schroedl Mittwoch, 29. Januar 2020 07:05
- Nicht als Antwort vorgeschlagen _-Troubleshooter-_ Montag, 3. Februar 2020 22:12
-
-
Prima... Hast das Zertifikat inzwischen eingebunden bekommen oder verweigert er es weiterhin? Hast mal geschaut ob das Zertifikat:
- nen Privaten Schlüssel hat
- Client und Server ist
- die entsprechenden Ciphers unterstützt....
Du hast ja das wenn ich das richtig in Erinnerung habe bei einer offiziellen Stelle geholt... nicht das dein Zertifikat nur SSL und kein TLS kann...
Liebe Grüße
Martin
-
Ergänzend - wann war der letzte Reboot?
Welchen Stand hat der Exchange?
https://www.msxforum.de/blog/index.php?entry/41-build-nummern-tabellarisch/Gruß Norbert
-
Das Zertifikat ist ein UCC (3 SANs) public signed von Commodo, wie ich es schon wirklich oft eingesetzt habe. Ja, der private Schlüssel ist nachdem der CSR auf dem Exchange erstellt wurde, auch vorhanden und auch exportierbar.
Also irgendwas passt da nicht und das generell... Ich habe heute die nächste Integration mit 4 x Exchange Server 2016 CU5 und ich bekomm den SMTP Service nur beim ersten Server sauber eingebunden. Die anderen zeigen mir die SMTP Bindung weder in der GUI, noch auf der Shell an. Das gibts doch nicht? Ich hab das doch seit Exchange 2010 schon zig mal gemacht. Hat sich denn generell irgendwas bei der Dienstzuweisung geändert?
Ich verwende immer das Exchange Prerequisites Script, damit alle meine Server gleich vorbereitet sind. Auch die Konnektoren werden am ersten Server erstellt, dann via PowerShell auf die anderen übertragen, hier kann es also keine Unterschiede geben, zumindest nach meiner Auffassung?
Ich hab echt keine Idee...
-
Ergänzend - wann war der letzte Reboot?
30 Minuten vor meinem Thread
Welchen Stand hat der Exchange?
Es sind allesamt Exchange Server 2016 CU15, also Build 15.01.1913.005
(mittlerweile habe ich 4 weitere deloyed, bei denen ich nur am ersten SMTP an das Zertifikat binden kann)Ich glaub ich bin zu alt für den Sch... :-)