none
EX2007 zu 2003 Zustellung nicht funktional. 535 5.7.3 Authentication unsuccessful RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Guten Tag Microsoft Gemeinde,

    Wir haben ein Problem bei einem Kunden bei einer Migration von Exchange 2003 auf Exchange 2007.

    Fehler:

    Die E-Mails können nicht vom 2007er zum 2003er zugestellt warden.

    451 4.4.0 Primary target IP address responded with „535 5.7.3 Authentication unsuccessful..“

    Hintergrundinfo:

    Domainlevel wurde auf 2008R2 angehoben.

    (zwei alte Windows 2000 DCs wurden durch zwei Windows 2008R2 Core Server ersetzt)

    Exchange2003-Server:

    Windows 2000 SP4 Domain Mitgliedsserver.

    Exchange 2003: Version 6.5 (Build 7638.2)

    Exchange 2007 Server:

    Windows 2008 R2 Enterprise mit SP1

    Exchange 2007 Version 8.3 (Build 83.6)

    Durchgeführte Arbeiten:

    - AV auf beiden Seiten deinstalliert.

    - Neuanlegen der Routinggruppen.

    - Die Bindung des SMTP Connectors auf die direkte IP gesetzt. (beide Server haben nur eine IPv4 Addresse.

    - Neuinstallation der Transportrolle auf dem EX2007

    - Neuinstallation des IIS mit Sicherung auf dem EX2003 nach http://support.microsoft.com/kb/320202/

    Sonstiges:

    Die Zustellung per Telnet ist funktional.

    Hat jemand noch eine Idee, wie man hier weiter vorgehen kann?

    Mit freundlichen Grüßen,
    Alexander Uhde


    Freitag, 25. Mai 2012 09:19
    |

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Hi Alexander,

    hast Du auf dem Exchange 2007 evtl. mehrere Receive Connectoren und Dein Exchange 2003 fällt in den Scope eines Connectors <> dem Default Connector?

    Wenn Du auf einem 2003 den IIS neu installierst, dann musst Du auch noch eine Exchange Repair Installation durchführen und das SP2 nochmal drüberlaufen lassen. Ansonsten fehlen die SMTP Extensions: http://technet.microsoft.com/en-us/library/bb232025(v=exchg.80).aspx

    Viele Grüße

    Timo

    Freitag, 25. Mai 2012 09:40
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hi,

    hat du mal das SMTP-Logging und Diagnoselogging erhöht?

    Gibt es im Eventlog noch Fehlermeldungen? Du meinst bestimmt, dass du die Routinggruppen-Connectoren neu angelegt hast? Also vom 2007 zum 2003 kannst du per Telnet-SMTP senden, aber die eMails gehen nicht durch?

    Viele Grüße
    Christian

    Freitag, 25. Mai 2012 11:30
    |
    Moderator
  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Alexander,

    versuche folgendes:

    Navigiere im Exchange 2003 über Exchange Systemmanager auf Deinem Server in die Protokolle, dort nach SMTP. Dort rechtsclick, Eigenschaften auf den virtuellen SMTP Server, Registerkarte Zugriff, Authentifizierung.

    Überprüfe ob bei "integrierte Windows Authentifizierung" das Häkchen gesetzt ist, falls nicht, anhaken.

    Dann den virtuellen SMTP-Server mit rechtsclick stoppen und wieder starten, oder über die Kommandozeile einen "iisreset" durchführen.

    Checke dann ob die Mails zugestellt werden können.

    Grüße, Christoph


    Samstag, 26. Mai 2012 16:25
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Alex,

    Hast Du die Tipps ausprobiert? Bist Du hier inzwischen weitergekommen?

    Viele Grüße,
    Alex

    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 30. Mai 2012 07:20
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    Danke für die Antworten, leider sind wir noch nicht weiter gekommen.

    Leider geht seit der Reparatur des Exchange 2003 Server (IIS neu + Exchange und SP neu) auch das Senden vom 2003 zum 2007 nicht mehr.

    @Timo:

    • Wir hatten 2 Empfangs-Connectoren (Client und Default). Wir haben dann noch zum Testen einen nur für den EX2003 hinzugefügt und haben den Port des Default Connectors auf 26 geändert. Dies hat aber auch keine Verbesserung gebracht.
    • Ein Sende-Connector ist aktuell nicht vorhanden, da im Moment direkt über DNS gesendet wird.
    • Bei der Neuinstallation des IIS haben wir danach auch Exchange 2003 und das Service Pack neu installiert

    @Christian

    • Logging wurde erhöht. (ES = Ex2003 Server, EX7 = Ex2007 Server)
      EX 2003 SMTP LOG:
      #Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)
      2012-06-04 11:52:01 192.168.10.72 OutboundConnectionResponse SMTPSVC1 ES - 25 - - 220+EX7.corp.domain.de+Microsoft+ESMTP+MAIL+Service+ready+at+Mon,+4+Jun+2012+13:52:00++0200 0 0 99 0 62 SMTP - - - -
      2012-06-04 11:52:01 192.168.10.72 OutboundConnectionCommand SMTPSVC1 ES - 25 EHLO - es.corp.domain.de 0 0 4 0 62 SMTP - - - -
      2012-06-04 11:52:01 192.168.10.72 OutboundConnectionResponse SMTPSVC1 ES - 25 - - 250-EX7.corp.domain.de+Hello+[192.168.10.11] 0 0 52 0 62 SMTP - - - -
      2012-06-04 11:52:01 192.168.10.72 OutboundConnectionResponse SMTPSVC1 ES - 25 - - 334+ 0 0 4 0 62 SMTP - - - -
      2012-06-04 11:52:06 192.168.10.72 OutboundConnectionResponse SMTPSVC1 ES - 25 - - 454+4.7.0+Temporary+authentication+failure 0 0 42 0 5078 SMTP - - - -
      2012-06-04 11:52:06 192.168.10.72 OutboundConnectionCommand SMTPSVC1 ES - 25 MAIL - FROM:<ES-IS@domain.de>+SIZE=3127 0 0 4 0 5078 SMTP - - - -
    • EX2007 SMTP LOG: (auf dem Empfangs-connector ES)
      2012-06-04T11:52:01.476Z,EX7\ES,08CF1054AB243CA3,0,192.168.10.72:25,192.168.10.11:5286,+,,
      2012-06-04T11:52:01.476Z,EX7\ES,08CF1054AB243CA3,1,192.168.10.72:25,192.168.10.11:5286,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
      2012-06-04T11:52:01.476Z,EX7\ES,08CF1054AB243CA3,2,192.168.10.72:25,192.168.10.11:5286,>,"220 EX7.corp.domain.de Microsoft ESMTP MAIL Service ready at Mon, 4 Jun 2012 13:52:00 +0200",
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,3,192.168.10.72:25,192.168.10.11:5286,<,EHLO es.corp.domain.de,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,4,192.168.10.72:25,192.168.10.11:5286,>,250-EX7.corp.domain.de Hello [192.168.10.11],
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,5,192.168.10.72:25,192.168.10.11:5286,>,250-SIZE 10485760,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,6,192.168.10.72:25,192.168.10.11:5286,>,250-PIPELINING,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,7,192.168.10.72:25,192.168.10.11:5286,>,250-DSN,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,8,192.168.10.72:25,192.168.10.11:5286,>,250-ENHANCEDSTATUSCODES,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,9,192.168.10.72:25,192.168.10.11:5286,>,250-STARTTLS,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,10,192.168.10.72:25,192.168.10.11:5286,>,250-X-ANONYMOUSTLS,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,11,192.168.10.72:25,192.168.10.11:5286,>,250-AUTH NTLM,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,12,192.168.10.72:25,192.168.10.11:5286,>,250-X-EXPS GSSAPI NTLM,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,13,192.168.10.72:25,192.168.10.11:5286,>,250-8BITMIME,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,14,192.168.10.72:25,192.168.10.11:5286,>,250-BINARYMIME,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,15,192.168.10.72:25,192.168.10.11:5286,>,250-CHUNKING,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,16,192.168.10.72:25,192.168.10.11:5286,>,250-XEXCH50,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,17,192.168.10.72:25,192.168.10.11:5286,>,250 XRDST,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,18,192.168.10.72:25,192.168.10.11:5286,<,X-EXPS GSSAPI,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,19,192.168.10.72:25,192.168.10.11:5286,>,334 <authentication response>,
      2012-06-04T11:52:01.538Z,EX7\ES,08CF1054AB243CA3,20,192.168.10.72:25,192.168.10.11:5286,*,,Inbound Negotiate failed because of LogonDenied
      2012-06-04T11:52:06.554Z,EX7\ES,08CF1054AB243CA3,21,192.168.10.72:25,192.168.10.11:5286,>,454 4.7.0 Temporary authentication failure,
      2012-06-04T11:52:06.554Z,EX7\ES,08CF1054AB243CA3,22,192.168.10.72:25,192.168.10.11:5286,-,,Local
    • Ja ich meinte den Routinggruppen Connector, dieser wurde neu angelegt. (das war allerdings vor der Neuinstallation des IIS)
    • Ja, per Telnet kann ich E-Mails zustellen, aber E-Mails die über den Exchange gesendet werden können nicht zugestellt werden

    @ Christoph:

    • die "integrierte Windows Authentifizierung" ist aktiviert und war auch bereits aktiviert. Auf beiden SMTP Empfangs-Connectoren (auf dem 2003 und auf dem 2007) In dem Feld da drüber "Standarddomäne" steht die Domäne des Kunden. Ich denke jedoch das dieses Feld nur für TLS genutzt wird oder?

    Hat noch jemand eine Idee, was wir noch machen können?

    Mit freundlichen Grüßen,

    AlexUhde

    Montag, 4. Juni 2012 12:10
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi AlexUhde,

    Hallo,

    Danke für die Antworten, leider sind wir noch nicht weiter gekommen.

    Leider geht seit der Reparatur des Exchange 2003 Server (IIS neu + Exchange und SP neu) auch das Senden vom 2003 zum 2007 nicht mehr.

    @Timo:

    * Wir hatten 2 Empfangs-Connectoren (Client und Default). Wir haben dann   noch zum Testen einen nur für den EX2003 hinzugefügt und haben den Port   des Default Connectors auf 26 geändert. Dies hat aber auch keine   Verbesserung gebracht.
    * Ein Sende-Connector ist aktuell nicht vorhanden, da im Moment direkt über   DNS gesendet wird.
    * Bei der Neuinstallation des IIS haben wir danach auch Exchange 2003 und   das Service Pack neu installiert

    @Christian

    * Logging wurde erhöht. (ES = Ex2003 Server, EX7 = Ex2007 Server)
      EX 2003 SMTP LOG:
      ES - 25 - - 454+4.7.0+Temporary+authentication+failure 0 0 42 0 5078 SMTP

    Das ist doch das Log vom Ex03 zum Ex07 und das sollte doch laufen, oder?

    * EX2007 SMTP LOG: (auf dem Empfangs-connector ES)> 4.7.0 Temporary authentication failure,    2012-06-04T11:52:06.554Z,EX7\ES,08CF1054AB243CA3,22,192.168.10.72:25,192.168.10.11:5286,-,,Local

    Was funktioniert jetzt nicht? Poste auch mal get Routinggroup-Connector.

    Prüf ach mal die Einstellungen, wie hier beschrieben:
    http://social.technet.microsoft.com/Forums/nl/exchangesvrdeploy/thread/599ea721-50b1-40e8-88a3-7207e8cd5437

    Viele Grüße
    Christian

    Dienstag, 5. Juni 2012 08:10
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hi,

    schau auch mal hier:
    http://support.microsoft.com/kb/979174/en-us

    Viele Grüße
    Christian

    Dienstag, 5. Juni 2012 08:18
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Christian,

    Danke für die Antwort.

    Beim EX2007 sind alle vier SPN Einträge mit SMTP und SMTPSVC vorhanden. (mit und ohne FQDN)

    Beim EX2003 sind nur die SMTPSVC Einträge vorhanden. Hier bin ich mir nicht sicher, ob die SMTP hinzugefügt werden müssen oder nicht, da der Artikel nur für EX2007 und EX2010 gilt.

    Wir haben auch das Kerberos Logging aktiviert, danach wurde nun folgender Eintrag erstellt:

    Eine Kerberos-Fehlermeldung wurde auf
     Anmeldesitzung CORP.DOMAIN.DE\ex7$ empfangen:
     Clientzeit:
     Serverzeit: 15:2:36.0000 6/5/2012 Z
     Fehlercode: 0x19 KDC_ERR_PREAUTH_REQUIRED
     Erweiterter Fehler:
     Clientbereich:
     Clientname:
     Serverbereich: CORP.DOMAIN.DE
     Servername: krbtgt/CORP.DOMAIN.DE
     Zielname: krbtgt/CORP.DOMAIN.DE@CORP.DOMAIN.DE
     Fehlertext:
     Datei: e
     Zeile: 9fe
     Die Fehlerdaten stehen in den Berichtdaten.

    Wobei ich mir nicht sicher bin, ob dies nicht auch durch die RDP Anmeldung verursacht wird...

    Gruß,

    AlexUhde


    • Bearbeitet AlexUhde Dienstag, 5. Juni 2012 15:16 Satz eingefügt.
    Dienstag, 5. Juni 2012 15:15
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi AlexUhde,

    du solltest dir einen DL deines vertrauen suchen oder einen Call bei MS aufmachen, denn über's Forum werden wir nicht weiter kommen...

    Viele Grüße
    Christian

    Dienstag, 5. Juni 2012 16:31
    |
    Moderator
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    Nach ein paar weiteren Sichtungen des Systems haben wir folgende Erkenntnisse gesammelt.

    Nach dem auf dem EX7 Default Empfangsconnector alle Authentication deaktiviert worden sind (das System ist nur intern erreichbar, extern gibt es ein Mailrelay). Nun ist die Zustellung vom 2k3 zu 2k7 funktional.

     

    Auf dem ES (EX2k3) haben wir testweise auch die Authentifizierung des virtuellen SMTP-Servers deaktiviert. Hier hat das Deaktivieren keinen Erfolg gebracht, da der 2k7 Authentifizierung benötigt.

     

    Im Log des 2003er sind folgende Anmeldeversuche sichtbar:

    2012-06-20 16:47:39 192.168.10.72 EX7.corp.domain.de SMTPSVC1 ES 192.168.10.11 0 EHLO - +EX7.corp.domain.de 250 0 328 31 0 SMTP - - - -

    2012-06-20 16:47:39 192.168.10.72 EX7.corp.domain.de SMTPSVC1 ES 192.168.10.11 0 x-exps - +GSSAPI 0 0 22 13 0 SMTP - - - -

    2012-06-20 16:47:39 192.168.10.72 EX7.corp.domain.de SMTPSVC1 ES 192.168.10.11 0 QUIT - EX7.corp.domain.de 240 0 74 4 0 SMTP - - - -

    2012-06-20 16:48:39 192.168.10.72 EX7.corp.domain.de SMTPSVC1 ES 192.168.10.11 0 EHLO - +EX7.corp.domain.de 250 0 328 31 0 SMTP - - - -

    2012-06-20 16:48:39 192.168.10.72 EX7.corp.domain.de SMTPSVC1 ES 192.168.10.11 0 x-exps - +GSSAPI 0 0 22 13 0 SMTP - - - -

    2012-06-20 16:48:39 192.168.10.72 EX7.corp.domain.de SMTPSVC1 ES 192.168.10.11 0 QUIT - EX7.corp.domain.de 240 0 74 4 0 SMTP - - - -

     

    Soweit wir nun festgestellt haben, unterstützt der IIS6 kein GSSAPI.

    Alle Befehle die ich gefunden habe sind aber immer für Empfangsconnectoren gewesen. Des Weiteren hat der EX7 keinen Sendeconnector, da der Interne E-Mail Austausch auch ohne geht. Selbst das Testweise erstellen eines Sendeconnectors hat keinen Erfolg gebracht.

     

    Kann mir jemand sagen, wie ich den Exchange 2007 überzeuge Intern nur per NTLM zu senden?

     

    Mit freundlichen Grüßen,

    Alexander Uhde

    Mittwoch, 20. Juni 2012 17:01
    |