Bei einer Exchange Migration kann es zu dem Problem kommen, dass der “alte” Exchange Server keine Mails an den neuen Exchange Server zustellen kann. So geschehen bei einer Exchange 2013 zu Exchange 2019 Migration. Mails auf dem Exchange 2013 Server zu Postfächern welche schon auf den Exchange 2019 migriert waren, konnten nicht zugestellt werden. Die Warteschlange auf dem Exchange 2013 Server lieferte den folgenden Fehler:
[{LRT=30.08.2020 21:06:24};{LED=441 4.4.1 Error encountered while communicating
with primary target IP address: „421 4.4.2 Connection dropped due to SocketError.“
Attempted failover to alternate host, but that did not succeed. Either there are no
alternate hosts, or delivery failed to all alternate hosts. The last endpoint
attempted was 192.168.1.10:475};{FQDN=exchange2019.domain.local};{IP=192.168.1.10}]
Der Fehler “421 4.4.2 Connection dropped due to SocketError” kann zwar mehrere Ursachen haben, in Migrationsszenarien ist hier aber die fehlende Unterstützung für TLS 1.2 meist die Hauptursache. Die oben genannte Fehlermeldung ist auf einem Exchange 2013 Server aufgetreten, welcher auf Windows Server 2018 R2 installiert war. Der Exchange 2013 Server sollte zu Exchange 2019 auf Windows Server 2019 migriert werden.
Ursache des Fehlers, war die fehlende TLS 1.2 Unterstützung auf dem Exchange 2013 Server. Der Server wurde zwar für den Betrieb als TLS 1.2 Server konfiguriert, nicht aber als TLS 1.2 Client. Somit konnte der Exchange 2013 Server zwar TLS 1.2 Verbindungen annehmen, nicht aber selbst TLS 1.2 Verbindungen zum Exchange 2019 Server aufbauen. Exchange 2019 setzt TLS 1.2 allerdings voraus.
Um das Problem zu beheben und TLS 1.2 auf dem Exchange 2013 im Client Modus zu aktivieren, kann der folgende Registry Schlüssel erstellt werden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
Unter diesem Pfad können nun zwei DWORDs angelegt werden:
DWORD: DisabledByDefault
Wert: 0
DWORD: Enabled
Wert: 1
Falls auch der Schlüssel mit dem Namen “Server” fehlt, sollte dieser ebenfalls erzeugt werden und die gleichen DWORDs wie oben beschrieben erstellt werden.
Nach einem Neustart des Dienstes “MSExchangeTransport”, wurde die Queue auf dem Exchange 2013 Server abgearbeitet und die Zustellung der Mails klappt einwandfrei.
Hier findet sich alles Wissenswerte bezüglich TLS und Exchange Server: