none
Exchange Zertifikat wird nicht übermittelt? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    bis vor kurzem lief mein Exchange wunderbar. Gestern habe ich dann den Server neugestartet und somit auch einige Updates installiert. Seit diesem Zeitpunkt kann ich aber nicht mehr auf IMAP mit SSL Verbinden. Es kommt immer diese Meldung:

    openssl s_client -connect mail.tim-bpm.de:993
    CONNECTED(00000003)
    write:errno=104
    ---
    no peer certificate available
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 0 bytes and written 320 bytes
    ---
    New, (NONE), Cipher is (NONE)
    Secure Renegotiation IS NOT supported
    Compression: NONE
    Expansion: NONE
    ---

    Ich habe bereits ein neues Zertifikat erstellt und an alle Dienste (IMAP, POP, SMTP usw gebunden) aber trotzdem kommt noch weiterhin diese Meldung. Auch eine Verbindung via Telnet ist nicht mehr möglich:

    telnet mail.tim-bpm.de 993
    Trying 188.174.235.170...
    Connected to mail.tim-bpm.de.
    Escape character is '^]'.
    Connection closed by foreign host.

    Hat jemand eine Idee was ich machen kann? In den Logs habe ich nichts gefunden, weiss aber auch nicht wo ich genau suchen muss. IMAP Logging ist aktiviert, zeigt aber nichts interessantes.

    Danke im Voraus! Gruß

    Stefan

    Donnerstag, 23. Juli 2015 05:55
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Stefan,

    schau mal hier, vielleicht hilft das?

    http://www.geekhouse.de/2015/02/18/exchange-pop-imap-problems/

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 23. Juli 2015 09:39
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Stefan,

    was gibt denn der Befehl aus? 

    Get-ImapSettings

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 23. Juli 2015 06:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ergänzend zu Ben:

     - ist das Zertifikat ein Wildcard Zertifikat?

     - was gibt "Get-ExchangeCertificate" aus?

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 23. Juli 2015 06:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    hier die Antworten auf eure Fragen:

    [PS] C:\Windows\system32>Get-ImapSettings

UnencryptedOrTLSBindings  SSLBindings                       LoginType                         X509CertificateName
------------------------  -----------                       ---------                         -------------------
{0.0.0.0:143}             {0.0.0.0:993}                     SecureLogin                       server
    [PS] C:\Windows\system32>Get-ExchangeCertificate

Thumbprint                                Services   Subject
----------                                --------   -------
D5CE084DEF45C8E3CF7C503751068BC00734C213  IP.WS..    CN=server.fqdn

    Wie finde ich denn raus ob es ein Wildcard Zertifikat ist? Ich habe mich damit leider noch nicht so viel beschäftigt, sorry :)

    Danke und Gruß

    Stefan


    Donnerstag, 23. Juli 2015 08:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wer hat denn das Zertifikat ausgestellt?

    Ist es denn noch gültig?

    Hast du aus den KB3067505 installiert?

    ;)

    Gruß Norbert

    Donnerstag, 23. Juli 2015 08:25
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Du Du den echten Namen nicht aus Deiner Antwort genommen hast (solltest Du noch korrigieren), können wir sehen, dass Du kein Wildcard-Zertifikat hast.

    Allerdings würde ich sagen, dass trotzdem der komplette FQDN in den Imapsettings auftauchen muss:

    Set-ImapSettings -X509CertificateName FQDN

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 23. Juli 2015 08:26
    |
  • Question
    Anmelden
    0
    Anmelden

    KB3067505 verstehe ich nicht ganz? Das ist doch ein Windows 2003 Update? Das Zertifikat wurde von mir ausgestellt. Habe es heute noch mal neu über Server -> Zertifikate angelegt ist und bis 2020 gültig. 

    Name habe ich jetzt ausgetauscht, aber openssl gibt mir noch immer keine Antwort zurück.

    Donnerstag, 23. Juli 2015 08:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Stefan,

    schau mal hier, vielleicht hilft das?

    http://www.geekhouse.de/2015/02/18/exchange-pop-imap-problems/

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 23. Juli 2015 09:39
    |
  • Question
    Anmelden
    0
    Anmelden

    @Stefan - wie kommst du drauf, das es ein 2003er Update ist?

    ALLE OS bis 2012R2 sind betroffen, scroll mal weiter runter:

    https://support.microsoft.com/en-us/kb/3067505

    Dann wäre eine weitere Frage, ob das Cert von der internen Root-CA kommt.

    Bis 2020 ist ungewöhnlich lange...

    ;)

    Gruß Norbert

    Donnerstag, 23. Juli 2015 10:39
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Ben seine Antwort war das was ich gesucht habe. ImapProxy und OwaProxy waren auf inaktive, wobei ich nicht weiss warum das so ist?

    Bzgl des Updates habe ich wohl wirklich nicht gut genug geschaut, sorry. Ist aber auf jeden Fall bereits installiert, danke :)

    Freitag, 24. Juli 2015 08:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Leider ist die Anwort nicht als Antwort zu gebrauchen, da der schon von weitem nach unzuverlaessig riechende Link sich als solcher auch herausstellt. Und andere nach Loesung suchende Leute wieder ohne Loesung zuruecklassen.

    Geholfen hat mir nach Stunden weiterer Suche dann folgendes (was wahrscheinlich hinter dem geekhome Link steckte):

    a) Test-ImapConnectivity -ClientAccessServer:<yourExchange> -MailboxCredential:(Get-Credential yourDomain\yourUser) |fl

    das foerderte folgende Fehlermeldung hinter "Error" zu Tage:

    Microsoft.Exchange.Monitoring.ProtocolException: Authentication failed. The connection
    is being closed.
    Unable to read data from the transport connection: An established connection was aborted
    by the software in your host machine.Server response while making connection:[]. --->
    System.IO.IOException: Unable to read data from the transport connection: An established
    connection was aborted by the software in your host machine. --->
    System.Net.Sockets.SocketException: An established connection was aborted by the
    software in your host machine

    b) mit dem googling dieser Fehlermeldung kam ich auf :

    https://support.microsoft.com/en-us/help/3025138/users-cannot-connect-to-pop3-or-imap4-on-exchange-server-2013-or-exchange-server-2016

    c) mit dem cmdlets

    Get-ServerComponentState -Identity <yourExchangehost>
    Set-ServerComponentState -Identity <yourExchangehost> -component ImapProxy -state Active -requester HealthAPI

    konnte ich das Problem dann beheben.

    Gruesse A.


    Sonntag, 14. Mai 2017 06:38
    |