Moin zusammen!
Ich habe mal wieder die Wildcard-Zertifikate auf unserem Exchange 2016 wechseln müssen.
Habe mich da wie immer an die Anleitung von Frank gehalten :
https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/
Bin dann auch auf die gleichen Probleme gestoßen wie in den Kommentaren hinterlegt waren aber zum Glück war dort auch ein Lösungsansatz der zum Erfolg führte und dank der Kommentare hab ich es dann letztendlich auch über die Powershell hinbekommen.
Hier noch mal zusammengefasst was ich gemacht habe (PS):
# Import des neues Zertifikates mit Befehl # Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes(‚E:\Script\ExChange2022.pfx‘)) -Password (ConvertTo-SecureString -String ******** -AsPlainText -Force) Get-ExchangeCertificate $NeuesZertifikat = „1809259D7212234095DE61A53F859D62D1D4A6AA“ $TLSCert = Get-ExchangeCertificate -Thumbprint $NeuesZertifikat $TLSCertName = „$($TLSCert.Issuer)$($TLSCert.Subject)“ Enable-ExchangeCertificate -Thumbprint $NeuesZertifikat -Service SMTP,IIS Set-ReceiveConnector „EXCHANGE2016\Default Frontend EXCHANGE2016“ -TlsCertificateName $TLSCertName Set-ReceiveConnector „EXCHANGE2016\Client Frontend EXCHANGE2016“ -TlsCertificateName $TLSCertName Set-SendConnector „To Internet“ -TlsCertificateName $TLSCertName
Jetzt wollte ich das alte Zertifikat im EAC löschen, weil ist ja eh abgelaufen.
Hier meckert er aber, weil das alte Zertifikat angeblich noch an den SendeConnector gebunden wäre.
Wie kann ich das überprüfen bzw. wie gewöhne ich es dem SendeConnector ab?
Hier steh ich gerade ein bisschen auf dem Schlauch. Vielleicht kann mir jemand weiterhelfen.
Gruß Sascha
Hier meckert er aber, weil das alte Zertifikat angeblich noch an den SendeConnector gebunden wäre.
Hast du mal die genaue Fehlermeldung? Bzw. mit deinen Befehlen oben konfigurierst du ja nur die Receiveconnectoren. WEnn er also den SendeCOnnector anmeckert, dann solltest du den ebenfalls mit dem neuen Zertifikat konfigurieren.
@norbertfe
Den SendeConnector habe ich mit dem Befehl
Set-SendConnector „To Internet“ -TlsCertificateName $TLSCertName
auch mit dem neuen Zertifikat bestückt.
Beim Löschen kommt folgende Meldung:
Das Löschen des Zertifikats ExChange2021 auf dem Server Exchange2016.coesfeld-main.de kann sich auf verschiedene Exchange-Dienste auswirken. Möchten Sie dieses Zertifikat löschen?
Im EAC wird beim alten Zertifikat noch unter Diensten "SMTP" angezeigt.
Wie kann ich das entziehen vor dem löschen?
Exportier das alte Zertifikat mit private Key und entferne es danach.
Hat soweit geklappt.
Wie kann ich jetzt noch prüfen welches Zertifikat der SendeConnector nutzt?
nur zur Vorsicht! :-)
Dankee...läuft alles !
Kleines Update.
Scheint wohl doch irgendwas schwer in die Hose gegangen zu sein.
Heute früh werde ich von User bombardiert mit Meldungen, dass Nachrichten nicht oder verzögert zugestellt werden.
Meldung sieht ungefähr so aus.
Die Zustellung an folgende Empfänger oder Gruppen verzögert sich:
Diese Nachricht wurde noch nicht zugestellt. Es wird weiterhin versucht, die Nachricht zuzustellen.
Der Server wird noch 1 Tage, 19 Stunden und 51 Minuten versuchen, die Nachricht zuzustellen. Sie erhalten eine Benachrichtigung, falls die Nachricht bis dahin nicht übermittelt werden konnte.Diagnoseinformationen für Administratoren:
Generierender Server: Exchange2016.coesfeld-main.de
xxxx@xxxxx.com
Server returned '400 4.4.7 Message delayed'Ursprüngliche Nachrichtenköpfe:
Received: from Exchange2016.coesfeld-main.de (192.168.100.5) by
Exchange2016.coesfeld-main.de (192.168.100.5) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
15.1.2507.12; Thu, 15 Sep 2022 15:05:59 +0200
Received: from Exchange2016.coesfeld-main.de ([fe80::5042:d67a:6159:7473]) by
Exchange2016.coesfeld-main.de ([fe80::5042:d67a:6159:7473%3]) with mapi id
15.01.2507.012; Thu, 15 Sep 2022 15:05:59 +0200
From: Sascha Basinski <xx>
To: "xx" <xx>
Subject: xxx
Thread-Topic: xxx
Thread-Index: AdjJA7KF8evA+FmkSVyyZhUG4w2/GQ==
Date: Thu, 15 Sep 2022 13:05:59 +0000
Message-ID: <c434c5d85fd64867bdc48d357ab5d629@coesfeld.com>
Accept-Language: de-DE, en-US
Content-Language: de-DE
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.100.80]
x-esetresult: clean, is OK
x-esetid: 37303A29EABC8D556D716B
Content-Type: multipart/alternative;
boundary="_000_c434c5d85fd64867bdc48d357ab5d629coesfeldcom_"
MIME-Version: 1.0
Kurz ein Blick in die Sende-Warteschlage auf dem Server zeigt dann etliche mails die sich aufgestaut haben.
Fehlermeldung bekomme ich gerade nicht mehr ganz zusammen, aber da stand etwas mit angegebenen Zertifkat im SendeConnector konnte nicht gefunden werden.
Scheint also doch nicht so geklappt zu haben.
Ich habe mir jetzt erst mal beholfen indem ich einen neuen SendeConnector angelegt habe und den alten deaktiviert.
ZACK--Emails raus..
Nochmal meine Frage von gestern. Kann man irgendwo überprüfen welches Zertifikat vom SendeConnector genutzt wird?
Da ich ja jetzt ein neuen Angelegt habe und diesem nicht explizit über die Shell ein Zertifikat zugewiesen habe würde ich gern sehen welches er nutzt.
TLSCheck scheint auch ok zu sein:
seconds lookup result
[000.000] DNS LOOKUPS
[000.010] SEARCHLIST 104.131.108.216,134.209.169.224,1.1.1.1,8.8.8.8,67.207.67.3
[000.013] MX (10) webmail.coesfeld.com
[000.015] MX:A-->webmail.coesfeld.com 80.151.64.154
seconds test stage and result
[000.000] Trying TLS on webmail.coesfeld.com[80.151.64.154:25] (10)
[000.095] Server answered
[000.190] <‑‑ 220 Exchange2016.coesfeld-main.de Microsoft ESMTP MAIL Service ready at Fri, 16 Sep 2022 08:52:57 +0200
[000.190] We are allowed to connect
[000.190] ‑‑> EHLO www11-do.CheckTLS.com
[000.285] <‑‑ 250-Exchange2016.coesfeld-main.de Hello [167.71.160.115]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XRDST
[000.285] We can use this server
[000.285] TLS is an option on this server
[000.285] ‑‑> STARTTLS
[000.380] <‑‑ 220 2.0.0 SMTP server ready
[000.380] STARTTLS command works on this server
[000.590] Connection converted to SSL
SSLVersion in use: TLSv1_2
Cipher in use: ECDHE-RSA-AES128-GCM-SHA256
Perfect Forward Secrecy: yes
Session Algorithm in use: Curve P-256 DHE(256 bits)
Certificate #1 of 3 (sent by MX):
Cert VALIDATED: ok
Cert Hostname VERIFIED (webmail.coesfeld.com = *.coesfeld.com | DNS:*.coesfeld.com | DNS:coesfeld.com)
Not Valid Before: Sep 6 00:00:00 2022 GMT
Not Valid After: Sep 16 23:59:59 2023 GMT
subject: /CN=*.coesfeld.com
issuer: /C=US/O=DigiCert, Inc./CN=RapidSSL Global TLS RSA4096 SHA256 2022 CA1
Certificate #2 of 3 (sent by MX):
Cert VALIDATED: ok
Not Valid Before: May 4 00:00:00 2022 GMT
Not Valid After: Nov 9 23:59:59 2031 GMT
subject: /C=US/O=DigiCert, Inc./CN=RapidSSL Global TLS RSA4096 SHA256 2022 CA1
issuer: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
Certificate #3 of 3 (added from CA Root Store):
Cert VALIDATED: ok
Not Valid Before: Nov 10 00:00:00 2006 GMT
Not Valid After: Nov 10 00:00:00 2031 GMT
subject: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
issuer: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
[000.805] ~~> EHLO www11-do.CheckTLS.com
[000.901] <~~ 250-Exchange2016.coesfeld-main.de Hello [167.71.160.115]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-AUTH NTLM LOGIN
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XRDST
[000.901] TLS successfully started on this server
[000.901] ~~> MAIL FROM:<test@checktls.com>
[000.997] <~~ 250 2.1.0 Sender OK
[000.997] Sender is OK
[000.997] ~~> QUIT
[001.092] <~~ 221 2.0.0 Service closing transmission channel
Fehlermeldung bekomme ich gerade nicht mehr ganz zusammen, aber da stand etwas mit angegebenen Zertifkat im SendeConnector konnte nicht gefunden werden.
Das hätte man dann aber afair auch im Eventlog sehen können/müssen. Meiner Meinung nach hast du den Wechsel korrekt vorgenommen. Aber wenns jetzt funktioniert ist ja ok.
Nochmal meine Frage von gestern. Kann man irgendwo überprüfen welches Zertifikat vom SendeConnector genutzt wird?
Die Antwort lautet immer noch checktls. :/
https://www.checktls.com/TestSender
