Wir haben mit externer Unterstützung einen Umzug von Exchange 2010 auf 2016 vorgenommen.
Wir sind in dem Zuge von Basic Auth auf NTLM umgezogen (Clientseitig)
Clientseitig funktioniert auch alles einwandfrei.
Nun haben wir ein Phänomen, dass ich mir nicht erklären kann.
Wir haben eine Software die zwingend POP3 einsetzt um Emails aus einem festgelegten Postfach abzuholen.
Der User der die Emails abholt ist auch der Besitzer des Postfaches.
Sobald ich dieses Postfach auf eine EXCH 2016 DB verschiebe, funktioniert der POP3 Zugriff nicht mehr.
Wir haben die alten POP3 Einstellungen übernommen (Get-PopSettings) und lediglich die Servernamen + X509 angepasst.
Den POP3 Dienst durchgestartet nach den Änderungen der Einstellungen.
Der Exchangeserver horcht auch auf Port 110 POP3 Unencrypted, Firewall ist geprüft.
Die Meldung "OK The Microsoft Exchange POP3 service is ready." kommt.
Nur kann ich mich nicht einloggen mit:
USER
PASS
Der User wird noch mit OK bestätigt, Passwort wird als falsch markiert.
POP3 ist bei meinen Testusern freigeschalten. Ich habe mich versuchsweise mit Emailadresse und auch mit AD-User versucht einzuloggen.
Mit Test-PopConnectivity kommt mit diversen Usern (sowohl AD User als auch Emailadresse getestet)
ERROR:
POP Error: -ERR Logon Failure: unknown user or bad password.
Passwort stimmt
Der User ist in derselben Domäne.
Auf dem IIS ist unter Exchange Back End "PopImap" Windows Authentication + Basic + Anonymous aktiviert.
Habt ihr mir eine Idee? Ich denke es hat irgendwas mit der Authentifizerungsmethode / Passwort Hash zu tun.
Moin...
wir hatten so etwas "ähnliches".
a) musste Pop3 erst einmal aktiviert werden und
b) musste die Art der Authentifizierung umstellt werden
Das habe ich mir in mein schlaues Buch geschrieben:
Set-Service msExchangepop3 -StartupType Automatic
Set-Service msExchangepop3Be -StartupType Automatic
Start-Service -Service msExchangepop3be
Start-Service -Service msExchangepop3
Set-PopSettings -LoginType PlainTextLogin
Ich könnte mir vorstellen, dass genau die letzte Zeile (so war es bei uns) bei dir eine Rolle spielt, so war es bei zwei Applikationen die via Pop abgeholt haben. UserPostfächer an sich haben funktioniert.
Gruß
Danke für den Tipp. Das haben wir damals bei der Migration durchgeführt, laut meiner Doku...
Wobei nun (wenn ichs nochmals laufen lasse) der Fehler kommt (login ist nun keiner mehr möglich :-)) :
WARNING: The port number specified for ExternalConnectionSettings does not match the port number specified for
UnEncryptedOrTLSBindings/SSLBindings. POP3 clients might not be able to connect to the service. Use the Get-PopSettings
and Set-PopSettings cmdlets to verify and correct this problem.
WARNING: The command completed successfully but no settings of 'Server1\1' have been modified.
Einstellungen auf den neuen EXCH:
UnencryptedOrTLSBindings : {[::]:110, 0.0.0.0:110}
SSLBindings : {[::]:995, 0.0.0.0:995}
InternalConnectionSettings : {Server4.FQDN:995:SSL, Server4.FQDN:110:TLS}
ExternalConnectionSettings : {Server4.FQDN:110, Server4.FQDN:995}
X509CertificateName : Name.FQDN
Banner : The Microsoft Exchange POP3 service is ready.
LoginType : PlainTextLogin
Einstellungen der alten EXCH Umgebung:
UnencryptedOrTLSBindings : {:::110, 0.0.0.0:110}
SSLBindings : {:::995, 0.0.0.0:995}
InternalConnectionSettings : { Server1.FQDN:995:SSL, Server1.FQDN.int:110:TLS}
ExternalConnectionSettings : {}
X509CertificateName : Name.FQDN
Banner : The Microsoft Exchange POP3 service is ready.
LoginType : PlainTextLogin
Test-Connectivity funktioniert auf den beiden neuen EXCHANGE Servern.
Von einem anderen Server aus, komme ich per Telnet/PUtty nicht ran.
"Port did not return extended data"
Der Port selbst horcht aber und Firewall ist aus....
Irgendwas passt nicht.... "ExternalConnectionSettings?" - kann man das zurücksetzen.
Beim alten Exchange steht bei diesem Property nichts drin.
Beim neuen:
ExternalConnectionSettings : {Server4.FQDN:110, Server4.FQDN:995}
Ich habe nochmals alles von vorne eingestellt.
UnencryptedOrTLSBindings : {[::]:110, 0.0.0.0:110}
SSLBindings : {[::]:995, 0.0.0.0:995}
InternalConnectionSettings : {Server4.FQDN:995 Server4.FQDN:110}
ExternalConnectionSettings : {Server4.FQDN:110, Server4.FQDN:995}
X509CertificateName : Name.FQDN
Banner : The Microsoft Exchange POP3 service is ready.
LoginType : PlainTextLogin
Bei den Internal + ExternalCOnnectionSettings habe ich nun jeweils BLANK anstatt SSL/TLS.
D.h.{Server4.FQDN:995 Server4.FQDN:110} anstattt {Server4.FQDN:995:SSL Server4.FQDN:110:TLS}
Test-PopConnectivity funktioniert auf den beiden Exchangeservern wechselseitig.
Von Extern dagegen, kann ich mich nur über Port 110 einwählen (TElnet z.b.) aber nach dem User Login der mit OK quittiert wird, kommt beim PASS:
"ERR Logon failure: unknown user name or bad password."
Im Pop3 Log steht:
2020-02-06T06:47:44.119Z,0000000000000027,0,EXCHANGE1:110,TESTCLIENT:58136,,1,0,51,OpenSession,,,
2020-02-06T06:47:44.119Z,0000000000000027,1,EXCHANGE1:110,TESTCLIENT:58136,,1,4,43,capa,,R=OK,
2020-02-06T06:47:44.119Z,0000000000000027,2,EXCHANGE1:110,TESTCLIENT:58136,AD_USER,1,23,5,user,AD_USER,R=OK,
2020-02-06T06:47:44.229Z,0000000000000029,0,[IPV6_Adresse]:110,[IPv6]:12001,,1,0,51,OpenSession,,,
2020-02-06T06:47:44.230Z,0000000000000029,1,[IPv6_Adresse]:110,[IPv6]:12001,,0,0,47,CloseSession,,,
2020-02-06T06:47:44.233Z,0000000000000027,3,EXCHANGE1:110,TESTCLIENT:58136,AD_USER,113,10,56,pass,*****,"R=""-ERR Logon failure: unknown user name or bad password."";Msg=Proxy:EXCHANGE1.FQDN:110:SSL;ErrMsg=ProxyNotAuthenticated",
2020-02-06T06:47:44.234Z,0000000000000027,4,Exchange1:110,TESTCLIENT:58136,AD_USER,0,0,0,CloseSession,,,
Mich verwundern die von mir fett markierten Einträge.
Zwei Einträge nach dem Loginversuch mit IPv6 (setzen wir nicht ein).
Danach der Logon Failure, mit dem Zusatz: "PROXY:EXCHANGE1.FQN:11:SSL;ErrMsg=ProxyNotAuthenticated"
Wieso Proxyfehler mit Hinweis auf Port 110 mit SSL und Proxynotauthenticated?
ich möchte netzintern von ein, zwei Serversystemen per POP3 "PLAINTEXT" auf den Exchangeserver.
Abschließend wollte ich die Lösung noch für andere mitteilen:
- Support von Microsoft hat den Fehler nicht gefunden (Supportfall zog sich über ca. 4 Wochen)
Ich hab dann selbst diverse Artikel gelesen und "probiert".
Am Ende des Tages war es wohl die neue Systemarchitektur von 2016 im Gegensatz zu 2010.
2016 mit FrontEnd + BackEnd Trennung.
Und hier ist mir aufgefallen, dass wir die POPSettings vom "Ex 2010" übernommen haben inkl. Ports.
Bei uns funktioniert der POP3 Login nun, mit einem anderen "ProxyTargetPort".
Die Clients/Server kommen über die Bindings auf Port 110.
Im BackEnd habe ich den ProxyTargetPort aber nun auf 1110 gesetzt.
Also "Set-Popsetting -ProxyTargetPort 1110" - Dienste neugestartet
Und schon funktoniert POP3 wie gewohnt. Ich hab mich in den POP3 Logs schon immer gewundert, warum der Login eines Testusers immer schön protokolliert wird und dann geht nichts weiter...
P.S. inwiefern ich das richtig verstanden/erklärt habe - weiss ich natürlich nicht. - Der Microsoft Support hat es auch nicht verstanden bzw. gewusst..