none
Cannot achieve Exchange Server authentication RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo und guten Abend zusammen.

    Habe hier ein recht großes Problem.

    Wir sind momentan bei der Migration von Exchange 2007 auf 2010. Die beiden Exchange Server koexistieren schon eine Weile ohne Probleme und die Mailboxen sind auch schon auf dem 2010 verschoben.

    Nun bin ich dabei den Edge 2007 durch einen 2010 zu ersetzen. Habe diesen installiert und Connectivity über die benötigten Ports getestet. Die Edge Subscritption steht ebenfalls.

    Nun zum Problem:

    Die Mails bleiben alle in der Queue im Edge Transport Server hängen. Als Fehlermeldung bekomme ich

    451 4.4.0 Primary target IP address respond with: "451 5.7.3 Cannot achieve Exchange Server authentication"...

    Hat jemand eine Idee wo das Problem liegen kann? Ist wirklich verdammt dringend.

    Bin für jede Hilfe dankbar.

    Gruß

    Stefan

    Montag, 7. Mai 2012 19:10
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    hast Du im receive Connector Exchange Server authentifizierung eingeschaltet? Normalerweise ist ein Edge Transport Server nicht mitglied der Domaine und daher kann er sich auch nicht authentifizieren.

    Du musst noch im Receive Connector die IP-Adresse des Edge Transport Server im Netzwerk Tab einstellen sowioe bei der Authentifizierung Anonymous.

    viele Gruesse

     Thomas

    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com

    Montag, 7. Mai 2012 19:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Thomas,

    danke für die schnelle Antwort.

    Im Default Receive Connector auf dem Exchange habe ich unter Netzwerk alle verfügbaren IPv6 sowie IPv4 Adressen und alle Adressen von 0.0.0.0-255.255.255.255 und das Gleiche für IPv6, also Standard Einstellung.

    Unter Authentifizierung habe ich aktiviert

    Transport Layer Security

    Standard Authentifizierung

    Starndardauthentifizierung nur nach dem Starten von TLS anbieten

    Exchange Server-Authentifizerunng

    Integrierte Windows-Authentifizierung

    Berechtigungsgruppen sind

    Anonyme Benutzer

    Exchange-Server Vorversionen von Exchange Server

    aktiviert.

    Montag, 7. Mai 2012 19:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Stefan,

    hast Du evtl. noch einen zusätzlichen Empfangs-Konnektor auf dem Hub Transport erzeugt, der im Remote IP Bereich, die Adresse des EDGE Servers mit einschließt?

    Viele Grüße

    Timo

    Montag, 7. Mai 2012 19:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Timo,

    ja da gibt es noch zwei weitere. Diese hatte ich testweise jedoch auch einmal deaktiviert. Hat aber auch nichts gebracht.

    Meinst du hier könnte der Fehler liegen?

    Gruß

    Stefan

    edit:

    Habe eben nochmal nachgeschaut. Die IP ist in keinem der zusätzlichen Connectoren mit eingeschlossen.

    • Bearbeitet Stefan Ik Montag, 7. Mai 2012 19:48
    Montag, 7. Mai 2012 19:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Stefan,

    das Aufnehmen der IP des Edge Transport Serfvers ist aber genau Voraussetzung fuer das errfolgreiche Empfangen der Mails siehe auch meinen ersten post.

    Viele Gruesse

     Thomas

    regards Thomas Paetzold visit my blog on: http://sus42.wordpress.com

    Montag, 7. Mai 2012 19:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Ist diese denn nicht mit dem Bereich 0.0.0.0-255.255.255.255 eingeschlossen?

    Habe die IP nochmals zusätzlich hinzugefügt. Tut sich leider nichts :(

    Montag, 7. Mai 2012 20:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Stefan,

    angenommen einer dieser zusätzlich Konnektoren beinhaltet den IP Bereich, aus dem auch Dein EDGE Server kommt, dann wird dieser hergenommen, sofern Du die IP des EDGE nicht auf dem Default Konnektor hinzugefügt hast. Die Settings von Deinem Default Receive Konnektor klingen erstmal (ich hoffe ich habe da nichts übersehen) ganz gut.

    Hast Du mal den Transport Service auf dem EDGE durchgestartet? Poste bitte mal den Output von "Get-ReceiveConnector Default* | FL".

    Viele Grüße
    Timo


    Montag, 7. Mai 2012 20:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Einen kleinen Fortschritt habe ich nun erreicht.

    Der Edge hat eine Netzwerkschnittstelle, mit einer IP aus einem anderen Netz als der Exchange, klar steht ja in der DMZ.

    Habe nun eine zweite Schnittstelle hinzugefügt, die sich im internen Netz befindet.

    Bisher waren alle Mails in der Queue  unter exchange1,exchange (beide ExchangeServer) als Nächste Hopdomäne mit Zustellungstyp SmartHostConnectorDelivery gehangen.

    Nachdem ich die zweite Schnittstelle hinzugefügt habe, gab es den Zustellungstyp Shadow-Redundanz mit nur "Exchange" als Nächste Hopdomäne. Die Mails sind nach und nach zugestellt worden.

    Bin mir jetzt nicht sicher ob das immer so war, aber wenn ich eine Telnet Session vom Edge auf den Exchange auf Port 25 öffne, habe ich mit nur einer Schnittstelle 220********** angezeigt bekommen.

    Mit der zweiten Schnittstelle seh ich nun 220 exchange.domäne etc.

    Ist das das Problem?

    Montag, 7. Mai 2012 20:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Hast Du zufällig eine PIX zwischen EDGE und HUB? Wenn ja, schau mal hier: http://support.microsoft.com/kb/320027/en-us

    • Als Antwort markiert Stefan Ik Freitag, 11. Mai 2012 09:09
    Montag, 7. Mai 2012 20:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Über den Artikel bin ich eben auch gestoßen.

    Habe eine ASA dazwischen. Bei dieser wurde vor etwa 3 Wochen die Firmware aktualisiert. Seit dem gab es jedoch keinerlei Probleme in der Hinsicht. Eventuell lief alles normal weiter, bis eben die Edge Subscription entfernt wurde?!

    Montag, 7. Mai 2012 20:41
    |
  • Question
    Anmelden
    0
    Anmelden
    Ich weiß nicht, ob man dieses Feature nur global deaktivieren kann. Es haben sich aber vermutich ja die IP Adressen Deiner EDGE Server geändert oder? Vielleicht hat das damit was zu tun.
    Montag, 7. Mai 2012 20:46
    |
  • Question
    Anmelden
    0
    Anmelden
    Die IP des neuen hat sich geändert, ja. Habe jedoch auch versucht mit dem alten wieder eine Subscription einzurichten. Dort hatte ich den gleichen Fehler, bzw. über diesen bekomme ich per Telnet das gleiche angezeigt. Muss mir das morgen dann nochmal genauer anschauen. Momentan läuft es ja (sieht zumindest danach aus :) ) Auch wenns natürlich keine wirkliche Lösung ist.
    Montag, 7. Mai 2012 20:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe genau dasseble Problem und komme einfach nicht weiter.

    Aufbau:

    TMG + Edge Rolle (im AD)

    Hub Server und 1 Postfachserver

    1. Konfiguration TMG :

    a. External_Mail_Servers

    Routing: Externe Mailserver DNS=MX

    Listener: TLS

    b. Internal_Mail_Servers

    Routing : Interne Mailserver  Erweitert: ExchangeServerAuth

    Listener: momentan keine FQDN eingetragen, Erweiter: Extern gesichert

    2. Konfiguration HUB:

    a. EdgeSync - Inbound to ORG  kein FQDn eingetragen, ExchangeServerAuth

    b. EdgeSync - Org to Internet kein FQDN eingetragen, MX-Datensätze DNS

    c. Empfangskonnektor : TLS, ExchangeServer mit Anonym, Exchangeserver, Vorversion EXS, Partner

    ich hoffe ich hab nichts vergessen ;)

    TMG nimmt die Mail von extern an und reiht sie dann in eine Warteschlange (smarthostconnectiondelivery) ein. Nur werden die Mails dann  wegen 451 5.7.3 "Cannot achieve Exchange Server Auth" nicht weitergeleitet.

    Hat jemand ne Idee woran das liegen kann ? Über jede Hilfe wäre ich sehr dankbar.

    Viele Grüße

    Dienstag, 8. Mai 2012 08:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Dirk_FU,

    hast Du Dinge die wir hier schon geschrieben haben überprüft? Evtl. zusätzliche Konnektoren, oder wie bei Stefan ne ASA bzw. PIX dazwischen?

    Viele Grüße

    Timo

    Dienstag, 8. Mai 2012 20:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Stefan,

    Hast Du eigentlich Dein Problem gelöst ?
    Funktioniert jetzt alles? Wenn ja - bitte markiere die entsprechenden Beiträge "als Antwort".

    Viele Grüße,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 11. Mai 2012 07:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Dirk_FU,

    hast Du Dinge die wir hier schon geschrieben haben überprüft? Evtl. zusätzliche Konnektoren, oder wie bei Stefan ne ASA bzw. PIX dazwischen?

    Viele Grüße

    Timo

    Hallo Timo,

    nein keine Pix oder ähnliches. Habe das Problem jetzt anders gelöst. Bei dem automatisch erstellten Connector "EdgeSync - Inbound to Org" war als smarthost "--" eingetragen. Dass soll wohl auch so sein (meine ich gelesen zu haben). Aber mit der Einstellung versucht Edge Server die EMails über DNS (externe Auflösung, deswegen der Fehler Cannot archieve Exchange ....) weiterzuleiten. Ob das jetzt von Micosoft so gewollt ist oder ob da eine irgendeine Autht. nicht klappt weiss ich nicht.  Da wir intern keine MX Einträge für unsere Dömainen haben, habe ich den Hub als smarthost eingtragen und siehe da, alles läuft einwandfrei.

    Viele Grüße und vielen Dank für ihre Aufmerksamkeit :)

    Dirk


    • Bearbeitet Dirk_FU Freitag, 11. Mai 2012 07:50
    Freitag, 11. Mai 2012 07:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Alex,

    bisher läuft der Edge noch mit der zusätzlichen internen Schnittstelle. Werde da am Wochenende an der ASA die Konfiguration vornehmen.

    Denke aber, dass da das Problem lag/liegt.

    Von daher, danke nochmal an alle für die Hilfe.

    Gruß Stefan

    Freitag, 11. Mai 2012 09:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Stefan,

    danke Dir für die Rückmeldung. Bitte halt uns auf dem Laufenden, wenn Du Zeit hast :)

    Gruss,

    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip„IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Freitag, 11. Mai 2012 09:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo nochmals und sorry für die lange Wartezeit.

    Mailguard wurde in der ASA deaktiviert, seit dem läuft alles einwandfrei :)

    Danke nochmals.

    Gruß Stefan

    Freitag, 3. August 2012 06:02
    |