Mailflow Richtung E...
 
Notifications
Clear all

Mailflow Richtung Exchange Online funktioniert nicht

17 Posts
3 Users
0 Reactions
4,858 Views
(@dexter)
New Member
Joined: 2 years ago
Posts: 4
Topic starter  

Hi zusammen,

das ist mein erster Eintrag hier, also habt bitte Gnade wenn ich etwas vergessen sollte.

Erstmal zu unserem Systemen:

  • Hybrid Umgebung
  • 6 Exchange Server 2019 onPrem + 1 Testserver 
  • circa 60 Ressourcen Postfächer sind testweise in der Cloud und einige Testuser
  • restliche User sind noch onPrem
  • 2 Edge MS Server 2019

Vor 1 Woche kam die Meldung dass das Edge Zertifikat ausgelaufen sei. Natürlich haben wir kein Monitoring dafür gehabt (daraus haben wir gelernt). Also konnten (leider immer noch nicht) keine Mails/Buchungsanfragen an die o.g. Ressourcen geschickt werden. Wir haben also ein neues Zertifikat auf EINEM onPrem Server installiert (Warum nur einer ist mir schleierhaft)

Hier sei gesagt, dass ich noch recht neu im Exchange Game bin und mich da erst rein arbeiten muss. Natürlich passiert sowas in der Urlaubszeit und derjenige, der das fixen könnte, ist krank...

Kurz gesagt habe ich mit einem Kollegen das hier gemacht: https://ficilitydotnet.wordpress.com/2013/04/26/smtp-certificate-renewal-and-edge-subscription/

Der Test zum buchen der Ressourcen hat funktioniert und funktioniert auch immer noch. Einige andere Kollegen aus der IT können die Ressourcen einladen und die Termine tauchen im Kalender auf.

Bei mir aber z.B. passiert das nicht. Ich bekomme folgende Meldung, wenn ich Ressourcen in der Cloud einladen möchte:

======================

Diagnoseinformationen für Administratoren:

Generierender Server: Blub-dmz.de
Empfangender Server: Blub-mail-onmicrosoft-com.mail.protection.outlook.com ()

Blub@blub.de
Server at Blub-mail-onmicrosoft-com.mail.protection.outlook.com () returned '400 4.4.7 Message delayed'
12.07.2022 17:11:15 - Server at Blub-mail-onmicrosoft-com.mail.protection.outlook.com () returned '451 4.4.395 Target host responded with error. -> 421 4.4.1 Connection timed out'

======================

Habe mal spaßeshalber alle Ressourcen zusammen eingeladen. Ist aber leider das gleiche Ergebnis.

Ich bin mit meinem Latein am Ende. Habt ihr noch Tipps?

 

 

This topic was modified 2 years ago by Dexter

   
Quote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

Hi Dexter,

 

warum der Edge ansich? Nutzt ihr den für eingehende Mailfilterung oder was ist da der Grund? Für eine reine Hybridumgebung zwischen OnPrem und EOL brauchst du den nicht.
Ansonsten würde ich erstmal bei den relevanten Transport Connectoren für die Hybridanbindung die Protokollierung aktivieren und mir diese im Livebetrieb anschauen. So findest du vielleicht Anhaltspunkte, warum es nur teilweise geht. Weiterhin auf den OnPrem und Edge Servern das Eventlog im Blick haben, auch da findest du meist recht schnell Hinweise, wo es klemmt. Grad in Bezug auf Zertifikate der Hinweis, diese nicht nur zu erstellen/importieren, sondern dann auch die Dienste dem passendem Zert zuzuweisen. Hier auch drauf achten, dass das Zert nicht nur auf dem Frontend, sondern auch auf dem Backend zugewiesen wird, sonst greift das Ganze nicht. Danach die relevanten Transportdienste auf dem/den Servern durchstarten.


Gruß,
Ralf

This post was modified 2 years ago by Anonymous

   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @monthy

warum der Edge ansich?

Warum nicht? Nicht jeder will einen direkten Zugang auf den internen Exchange. ;)

Veröffentlicht von: @monthy

Dienste dem passendem Zert zuzuweisen. Hier auch drauf achten, dass das Zert nicht nur auf dem Frontend, sondern auch auf dem Backend zugewiesen wird, sonst greift das Ganze nicht. Danach die relevanten Transportdienste auf dem/den Servern durchstarten.

Also der IIS hat mit dem Transportdienst jetzt aber wirklich nix zu tun.


   
ReplyQuote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

@norbertfe 

Veröffentlicht von: @norbertfe

Also der IIS hat mit dem Transportdienst jetzt aber wirklich nix zu tun.

korrekt, der Transportdienst ansich nicht. Worauf ich hinweisen wollte, war die Tatsache, dass ein Zertwechsel nicht automatisch auf dem Server dazu führt, dass dieses auch auf dem Backend ersetzt wird und das kann dann zu Verbindungsproblemen (HTTPS) führen.

Für dieses Szenario wars wohl eher verwirrend. :)

Zum Setzen des neuen Zertifikates für das Protokoll SMTP ansich reicht das aktivieren per PS (set-exchangecertificate -services...)

 


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @monthy

korrekt, der Transportdienst ansich nicht. Worauf ich hinweisen wollte, war die Tatsache, dass ein Zertwechsel nicht automatisch auf dem Server dazu führt, dass dieses auch auf dem Backend ersetzt wird und das kann dann zu Verbindungsproblemen (HTTPS) führen.

 

Auf einem Edge gibts aber keinen IIS. ;) Beim Erneuern des Zertifikats auf einem Edge sollte das Zertifikat auch auf dem internen Exchange vorliegen und danach der Hybrid Wizard neu ausgeführt werden, damit die Connectoren korrekt konfiguriert werden. Kann man zwar auch von Hand machen, aber geht halt meist schneller.

 


   
ReplyQuote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 
Veröffentlicht von: @dexter

Wir haben also ein neues Zertifikat auf EINEM onPrem Server installiert (Warum nur einer ist mir schleierhaft)

daher schrieb ich das. mehr nicht


   
ReplyQuote

(@dexter)
New Member
Joined: 2 years ago
Posts: 4
Topic starter  

Danke @Monthy,

welche Ereignisse im LOG des Edge Servers muss ich mir anschauen?

Der Edge steht im DMZ, vielleicht hilft die Info.

Habe mal ein Konto in die Cloud geschoben und eine Testmail verschickt. Leider kam seit gestern keine Fehlermeldung zurück. Im MessageTrackingLog vom Exchange onPrem wird sie an den Edge weitergeleitet. Nun gilt es halt rauszufinden, ob sie weitergeleitet wurde zu EXO.


   
ReplyQuote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

es ist schon einige Monde her, dass ich mit Edge Servern im Exchange Umfeld gearbeitet habe. Der Edge ansich steht aus meiner Sicht immer in einem getrennten Netzbereich (DMZ) vor den eigentlichen internen Exchange Servern und übernimmt die Vorfilterung der Mails etc. 

nach dem Erneuern des Zertifikates machst du mit new-edgesubscription... quasi eine neue Verbindung zwischen einem internen Exchange und dem Edge Server.
Ich kann nur nicht mehr sagen, ob dafür/damit auch ein separater Send/Receive Connector eingerichtet wird, wie es bsp bei der Einrichtung der Hybridanbindung gegen Exchange Online normalerweise gemacht wird. Hier kann Norbert bestimmt mehr zu sagen. 

Veröffentlicht von: @dexter

Im MessageTrackingLog vom Exchange onPrem wird sie an den Edge weitergeleitet.

Wenn vom internen schon an den Edge übermittelt, dann würde ich auch auf dem Edge die Ereignisanzeige bemühen bzw dessen Messagetrackinglogs durchforsten. 

 

Wie gesagt, Edge ganz lange her bei mir. Da können dir andere besser helfen.

 

Gruß,
Ralf

 

 


   
ReplyQuote

(@dexter)
New Member
Joined: 2 years ago
Posts: 4
Topic starter  
Veröffentlicht von: @monthy

Wenn vom internen schon an den Edge übermittelt, dann würde ich auch auf dem Edge die Ereignisanzeige bemühen bzw dessen Messagetrackinglogs durchforsten. 

Genau das habe ich versucht. Über die PS finde ich im MessageTrackingLog nur die anderen Mails bzw. Ressourceneinladungen, die ich testweise vor ein paar Tagen geschickt habe. Diese resultierten im oben erwähnten NDR.

Wie kann ich die Ereignisanzeige bemühen mir das auszugeben, was an dem Edge ankommt?


   
ReplyQuote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

wie gesagt, vielleicht muss nach dem Zertifikatswechsel auch der Hybrid Wizard nochmal drüber laufen, kann ich im Zusammenhang mit dem Edge nicht beurteilen. 

Im Eventlog sollten dann aber zumindest Hinweise auf einen fehlerhaften Verbindungsaufbau/Versuch zwischen EOL und dem Edge auftauchen.

 

Veröffentlicht von: @dexter

'451 4.4.395 Target host responded with error. -> 421 4.4.1 Connection timed out'

deutet ja zumindest drauf hin, dass während der Zustellphase ca 2Tage je nach Konfig) es nicht möglich war, die Messages erfolgreich abzugeben. 

 '400 4.4.7 Message delayed'

bekommst du die Infos auch noch, nachdem du das Zert neu gemacht hast?

 

 

This post was modified 2 years ago by Anonymous

   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @monthy

wie gesagt, vielleicht muss nach dem Zertifikatswech

Sollte und behebt das Problem mit hoher Sicherheit. Zumindest ist man sich dann sicher, dass der connector passt. Wenn man das Zertifikat natürlich mit dem selben key erneuert kann man sich den Spaß sparen. ;) Augen auf bei der Konfiguration. Und ja ich hab diverse edges im Einsatz.


   
ReplyQuote
(@dexter)
New Member
Joined: 2 years ago
Posts: 4
Topic starter  

Danke euch, leider haben wir jetzt ein Folgeproblem, denke ich.

Seit Donnertag Abend kommen diverse Fehlermeldungen im Eventlog:

The local server couldn't be found. Microsoft Exchange can't update the Active Directory Lightweight Directory Services (AD LDS) credentials. Exception is Active Directory-Fehler '0x52' beim Prüfen der Eignung des Servers 'localhost': 'Active Directory-Antwort: Lokaler Fehler.'.. Make sure that the service account used by the Microsoft Exchange Edge Credential service has permission to access the local Exchange server object in the Active Directory service. Also make sure that the FQDN of the computer matches the FQDN attribute of the server object in Active Directory.

Microsoft Exchange couldn't read the configuration from the Active Directory directory service because of error: Microsoft.Exchange.Transport.Common.TransportComponentLoadFailedException: The configuration loader failed to initialize 'TransportServerConfiguration'.
bei Microsoft.Exchange.Transport.Configuration.ConfigurationLoader`2.Builder.RegisterWithAD[T](Func`1 rootIdGetter)
bei Microsoft.Exchange.Transport.TransportServerConfiguration.Builder.Register()
bei Microsoft.Exchange.Transport.Configuration.ConfigurationLoader`2.Load()
bei Microsoft.Exchange.Transport.Logging.Search.LogSearchService.BeginStart(Object state).

Microsoft Exchange couldn't read the Receive connector configuration because the directory is unavailable. The service will be stopped.

Besonders die erste Meldung kommt in Sekundentakt. Hier scheint der AD Sync in der DMZ zu den Edge Servern gestört. Google haben wir schon gefühlt durchgelesen. Ich kann keine EXC cmdlets lokal ausführen:

Get-ReceiveConnector : Active Directory-Fehler '0x52' beim Prüfen der Eignung des Servers 'localhost': 'Active
Directory-Antwort: Lokaler Fehler.'.
In Zeile:1 Zeichen:1
+ Get-ReceiveConnector
+ ~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Get-ReceiveConnector], NoSuitableServerFoundException
+ FullyQualifiedErrorId : [Server=SMSXE01ES,RequestId=2ae5558a-9bf1-4d86-b08e-3eb5559a3579,TimeStamp=19.07.2022 11
:00:19] [FailureCategory=Cmdlet-NoSuitableServerFoundException] 4F6F5C1C,Microsoft.Exchange.Management.SystemConfi
gurationTasks.GetReceiveConnector

Dementsprechend kann man z.B. keine Connectoren auf den Edges prüfen, etc.

Die FQDNs des Edge und im AD sind gleich. Komischerweise sind keine Gateways eingestellt auf den Edge Servern. Ist das da wichtig?

HILFE! :-(

 

 


   
ReplyQuote

(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

Die Fehlermeldungen stammen vom Edge

Das sieht mir eher nach einem AD Problem aus, nicht nach einem Communikationsproblem vom/zum Edge.

Du schriebst ja, ihr habt mehr als einen Exchange OnPrem im internen Netz. Haben mehrere Fehler im Eventlog hinsichtlich AD?

Auf den ersten Blick kann der Exchange keine gültigen DC/GC finden und fährt daher den Exchange Topologiedienst gar nicht erst hoch. Dadurch auch weitere Dienste nicht (bsp Transport).

Wurde an den Netzwerkkarten, den Bindungen, der Reihenfolge der Adapter was geändert oder DNS Server, Portfreigaben zwischen DMZ und Lan etc...

Veröffentlicht von: @dexter

[FailureCategory=Cmdlet-NoSuitableServerFoundException] 4F6F5C1C

NoSuitableServerFound meint ansich, dass er keinen DC fragen kann/darf/findet.

vielleicht hilft das weiter?

https://practical365.com/msexchange-edgesync-service-wont-start-and-event-id-1045/

Gruß,
Ralf


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @dexter

Microsoft Exchange can't update the Active Directory Lightweight Directory Services (AD LDS) credentials.

Meist läuft dann der MSExchangeEdgeCredential Service nicht, oder jemand hat das Zertifikat ausgetauscht und das Edge Abo damit zerstört. Bei letzterem hilft dann Abo löschen und neu anlegen. Man sollte sich die Arbeitsschritte und Funktionsweise des Edge Abos in Zusammenhang mit den Zertifikaten definitiv mal genau anschauen und nicht der Meinung sein Zertifikat rein gut ist. ;) Denn das Zertifikat wird bei Überschreiben des Standardzertifikats dann auch für den Zugang zum AD-LDS (ADAM) genutzt, und damit ist dann klar, dass man nicht mehr rankommt.


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @monthy

Das sieht mir eher nach einem AD Problem aus, nicht nach einem Communikationsproblem vom/zum Edge.

 

The local server couldn't be found. Microsoft Exchange can't update the Active Directory Lightweight Directory Services (AD LDS) credentials.

 

Doch ein ADAM Verzeichnisproblem auf dem Edge ;)


   
ReplyQuote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

ich bleib dabei, dass ich den Edge nicht sonderlich mag. 

Das Debugging kostet hier in meinen Augen zuviel Zeit, weil eben nicht die eigentliche SMTP Übermittlung das Problem darstellt, sondern die Subscription oder der Zertifikatstausch und die darauf folgende Erneuerung der Subscription.

Ralf


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @monthy

ich bleib dabei, dass ich den Edge nicht sonderlich mag. 

 

Ich bleib dabei, dass ich den Edge mag. ;)

 

Veröffentlicht von: @monthy

Das Debugging kostet hier in meinen Augen zuviel Zeit, weil eben nicht die eigentliche SMTP Übermittlung das Problem darstellt, sondern die Subscription oder der Zertifikatstausch und die darauf folgende Erneuerung der Subscription.

Wenn man weiß was man tut ist das nicht so kompliziert wie sich das hier darstellt. Ist fürs Forum aber definitiv ein ungünstiges Thema.


   
ReplyQuote
Share: