Veröffentlicht von: @reinhard

Solange ich dem 2016 nicht dem SMTP-Dienst zuordnen kann habe ich Angst den
2013 raus zunehmen.

Das läßt sich doch ziemlich schnell rausfinden, ob SMTP TLS auf dem 2016 gesprochen wird. Standardmässig ja zumindest mit dem selfsigned Zertifikate. Ansonsten kann man das zusätzliche Zertifikat auch einfach dem neuen Receive Connector zuweisen. Aber Angst haben ist an der STelle eher kontraproduktiv. ;)

Veröffentlicht von: @reinhard

Bisherige hier gefundene Ansätze, das Zertifikat komplett löschen und neu importieren hat nichts gebracht.

Wie hast du es importiert? Per Exchange EAC oder Powershell? Oder per MMC?

Bye

Norbert

Port 587 ist auf beiden Exchange dem receive connector zugewiesen.

Ich habe nachdem ich SMTP dem Zertifikat nicht zuweisen konnte es auf dem EX2016 per MMC gelöscht.

Dann habe ich es auf dem EX2013 exportiert und im EX2016 importiert und versucht den Dienst SMTP zuzuweisen was ohne Fehlermeldung akzeptiert

wurde aber keine Änderung brachte.  Die thumbprints sind auf beiden exchange server die gleichen.

Ich verwende split-DNS die interne und externe domain ist dadurch die gleiche.

nachfolgend meine Zertifikate auf dem EX2016:

hier das selfsigned:

Certificate:
FriendlyName: remote..de
Thumbprint: FD41298622D03F64CE0636041312BF8A5E955B77
Lifetime in days: 723
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: IMAP, POP, SMTP
Current Auth Certificate: False
SAN Certificate: True
Namespaces:
remote..de
Autodiscover..local
Autodiscover..de
exchange-server..local
Exchange-Server
.local
.de
exchangeserver2
exchangeserver2..local

Certificate:
FriendlyName: Microsoft Exchange
Thumbprint: 2CE4A87965A48EB8E355917474D126304B49BA07
Lifetime in days: 1809
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: IIS
Current Auth Certificate: False
SAN Certificate: True
Namespaces:
ExchangeServer2
ExchangeServer2..local

Certificate:
FriendlyName: WMSVC-SHA2
Thumbprint: B31012922ED2D50AB7839294D00D0960E8C40755
Lifetime in days: 3633
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: None
Current Auth Certificate: False
SAN Certificate: False
Namespaces:
WMSvc-SHA2-EXCHANGESERVER2

von Zertifizierungsstelle signiertes Zertifikat

Certificate:
FriendlyName: .de
Thumbprint: 07FBA23AB9D5EF74F74CC15063EC6632C17935BD
Lifetime in days: 109
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: IMAP, POP, IIS
Current Auth Certificate: False
SAN Certificate: True
Namespaces:
.de
remote..de
autodiscover..de

Certificate:
FriendlyName: Microsoft Exchange Server Auth Certificate
Thumbprint: 4DBA9A5D0F8CB41B26C688A8A121F9D80E81F0B8
Lifetime in days: 267
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha1RSA
Signature Hash Algorithm: sha1
It's recommended to use a hash algorithm from the SHA-2 family
More information: https://aka.ms/HC-SSLBP
Bound to services: SMTP
Current Auth Certificate: True
SAN Certificate: False
Namespaces:
Microsoft Exchange Server Auth Certificate
Valid Auth Certificate Found On Server: True

Signature Algorithm: sha1RSA
Signature Hash Algorithm: sha1
It's recommended to use a hash algorithm from the SHA-2 family

kann es sein, dass sich der EX2016 an deiner CA Infrastruktur stört? 

Gruß,
Ralf

Es geht um:

von Zertifizierungsstelle signiertes Zertifikat

Certificate:
FriendlyName: .de
Thumbprint: 07FBA23AB9D5EF74F74CC15063EC6632C17935BD
Lifetime in days: 109
Certificate has expired: False
Certificate status: Valid
Key size: 2048
Signature Algorithm: sha256RSA
Signature Hash Algorithm: sha256
Bound to services: IMAP, POP, IIS

Hier fehlt der SMTP-Dienst der bei der Dienstezuteilung nicht akzeptiert wird und keine Fehlermeldung bei der Zuordnung macht, auf dem EX2013 ist er vorhanden.

Warum sollte es ein Problem mit der CA Infrastruktur haben, auf dem EX 2013 lauft es ohne Porbleme auch jetzt noch wo beide parallel laufen?

Veröffentlicht von: @reinhard

Warum sollte es ein Problem mit der CA Infrastruktur haben

Steht doch da. ;)

Veröffentlicht von: @reinhard

auf dem EX 2013 lauft es ohne Porbleme

Der ist ja auch älter.

Veröffentlicht von: @reinhard

Dann habe ich es auf dem EX2013 exportiert und im EX2016 importiert und versucht den Dienst SMTP zuzuweisen was ohne Fehlermeldung akzeptiert

Du hast es per EAC importiert oder per MMC? Zeig doch mal ein get-receiveconnector. Evtl ist dort ja ein Zertifikat zugewiesen.

@norbertfe 

Wo steht das? Das bezieht sich nicht auf das von der Zertifizierungsstelle signiertes Zertifikat

erstelltem Zertifikat, wo kein SMTP-Dienst ist.

Das "Microsoft Exchange Server Auth Certificate" wurde während der Installation automatisch erstellt, mir ist

nicht bekannt wie ich das ändern kann.

Hier von den beiden Server (EXCHANGE-SERVER ist der 2013, EXCHANGESERVER2 ist der 2016):

EXCHANGE-SERVER\Default EXCHANGE-SERVER {0.0.0.0:2525, [::]:2525} True
EXCHANGE-SERVER\Client Proxy EXCHANGE-SERVER {[::]:465, 0.0.0.0:465} True
EXCHANGE-SERVER\Default Frontend EXCHANGE-SERVER {[::]:25, 0.0.0.0:25} True
EXCHANGE-SERVER\Outbound Proxy Frontend EXCHANGE-SERVER {[::]:717, 0.0.0.0:717} True
EXCHANGE-SERVER\Client Frontend EXCHANGE-SERVER {[::]:587, 0.0.0.0:587} True
EXCHANGESERVER2\Default EXCHANGESERVER2 {0.0.0.0:2525, [::]:2525} True
EXCHANGESERVER2\Client Proxy EXCHANGESERVER2 {[::]:465, 0.0.0.0:465} True
EXCHANGESERVER2\Default Frontend EXCHANGESERVER2 {[::]:25, 0.0.0.0:25} True
EXCHANGESERVER2\Outbound Proxy Frontend EXCHANGESERVER2 {[::]:717, 0.0.0.0:717} True
EXCHANGESERVER2\Client Frontend EXCHANGESERVER2 {[::]:587, 0.0.0.0:587} True

Wie man oben sehen kann habe ich den EXCHANGESERVER2 dem Empfangsconnector hinzugefügt.

Ich habe es per EAC vom EXCHANGE-SERVER (2013) exportiert und auf dem EXCHANGESERVER2 (EX2016) importiert.

Bei einem 2ten Versuch habe ich es im MMC gelöscht und die gleiche pfx-datei zum importieren benutzt wie damals beim EXCHANGE-SERVER (2013).

Veröffentlicht von: @reinhard

Wo steht das? Das bezieht sich nicht auf das von der Zertifizierungsstelle signiertes Zertifikat

 

Achso. Hab ich überlesen. Danke für deine Liste, ich ging schon davon aus, dass du ggf. ein | FL selbstständig anhängst. Denn so sieht man jetzt leider auch nicht mehr. ;) Interessant sind auch nur die

EXCHANGE-SERVER\Default Frontend EXCHANGE-SERVER {[25, 0.0.0.0:25} True

EXCHANGE-SERVER\Client Frontend EXCHANGE-SERVER {[587, 0.0.0.0:587} True

EXCHANGESERVER2\Default Frontend EXCHANGESERVER2 {[25, 0.0.0.0:25} True

EXCHANGESERVER2\Client Frontend EXCHANGESERVER2 {[587, 0.0.0.0:587} True

@norbertfe 

Brauchst du das wirklich? Die Liste ist Seitenlang und mit vielen privaten Infos die ich erst ersetzen muss.

@reinhard 

Ich brauche das gar nicht. Du kannst das auch gern selbst vergleichen. Ich frag mich nur die ganze Zeit, ob kein TLS angeboten wird, oder was genau das Problem deinerseits ist.

Was steht denn bspw. unter TlsCertificateName in den oben erwähnten Connectoren?

komisch das beim 2013 kein CertificateName drin steht aber der ist nicht das Problem

get-receiveconnector -identity "EXCHANGE-SERVER\Default Frontend EXCHANGE-SERVER" |fl TlsCertificateName

TlsCertificateName :
------------------
get-receiveconnector -identity "EXCHANGE-SERVER\Client Frontend EXCHANGE-SERVER " |fl TlsCertificateName

TlsCertificateName :
------------------------
get-receiveconnector -identity "EXCHANGESERVER2\Default Frontend EXCHANGESERVER2" |fl TlsCertificateName

TlsCertificateName : <I>CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=<domain>.de
---------------------

get-receiveconnector -identity "EXCHANGESERVER2\Client Frontend EXCHANGESERVER2" |fl TlsCertificateName

TlsCertificateName : <I>CN=GeoTrust TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=<domain>.de

Es funktioniert bei mir jetzt  man war das eine schwere Geburt.

Ich beschreibe mal wie ich es gemacht habe:

Da das Zertifikat neu importiert werden muss, muss es vorher gelöscht werden, das geht aber nicht so
einfach weil es da eine Abhängigkeit vom Transportserver gibt
Also erstmal in mmc reingehen und das Zertifikat löschen aber vorher einen Export machen mit
privatem Schlüssel (pfx Datei) da man ohne den das Zertifikat später nicht importieren kann.
Jetzt das Zertifikat brutal im mmc löschen (Fehlermeldung akzeptieren).
Jetzt das Zertifikat von der vorher exportierten Datei im EAC importieren (privaten Schlüssel von oben eingeben).
Jetzt in der Exchange Admin Shell folgendes ausführen:

Get-ExchangeCertificate (hier den Thumbprint merken)
$Cert = Get-ExchangeCertificate -Thumbprint (thumbprint)
$TLSCertificateName = "<i>$($Cert.Issuer)<s>$($Cert.Subject)"
$TLSCertificateName (hier sieht man den Aussteller vom Zertifikat)
Get-SendConnector (zum überprüfen des Sendeconnectors, es sollte noch der alte sein)
Enable-ExchangeCertificate -Thumbprint (thumbprint) -Services POP,IMAP,SMTP,IIS
get-exchangecertificate -Thumbprint 07FBA23AB9D5EF74F74CC15063EC6632C17935BD | fl (zum Überprüfen)
Jetzt sollte folgende Dienste zugewiesen sein: IMAP, POP, IIS, SMTP

Bitte auch noch die receive- und sendekonnectoren überprüfen, bei mir waren noch alle von vorher drin.

Dann hast du ja JETZT endlich eine Lösung, war doch gar nicht schwer :p

Frohe Ostern