1. April 20205 j Hallo zusammen, vor ein paar Tagen ist die GĂŒltigkeit unseres Zertifikats abgelaufen. Das ist auch kein Problem, es wurde wie gewohnt verlĂ€ngert. Doch dieses mal gibt es Probleme mit dem SMTP fĂŒr unserer IMAP Accounts. Outlook: IMAP Posteingang â Testnachricht senden â Fehler: Testnachricht senden: Ihr Server unterstĂŒtzt nicht den angegebene VerbindungsverschlĂŒsselungstyp. Versuchen Sie, die VerschlĂŒsselungsmethode zu Ă€ndern. Wenden Sie sich an Ihren Serveradministrator oder Internetdienstanbieter fĂŒr weitere UnterstĂŒtzung. Auf unserem Server sind folgende Einstellungen getroffen: Zertifikate Lets Encrypt CN: remote.webdomain.de Dienste zugewiesen: IIS MS Ex Server Auth Certifcate Dienste zugewiesen: keine MS Exchange CN: HOSTNAME Alternativ HOSTNAME.DOMAIN.local Dienste zugewiesen: IMAP, POP, IIS Exchange Delegation Federation CN: Federation Dienste zugewiesen: SMTP, Federation WMSVC-SHA2 Dienste zugewiesen: keine Im Empfangsconnector sind folgende Einstellungen hinterlegt: Authentifizierung: Client Proxy > TLS âDomĂ€nensicherheit ⏠> Standardauthentifizierung â erst nach dem Start von TLS â >intigrierte Windows-Authentifizierung â> Exchange Server-Authentifizierung â >Exchange-Server â >Exchange-Benutzer â >Anonyme Benutzer ⏠>Port 587 > Adressen: Alle 0.0.0.0 - 255.255.255.255 >FQDN: remote.webdomain.de --------------------------------------------------------------- Update 1: der Test-ImapConnectivity klappt aktuell noch nicht, möglicherweise gibt es mehr Infos, wenn der Testbenutzer wieder geht. Hatte jemand von euch schon Ă€hnliche Probleme oder ggf. eine Lösung gefunden?  Vielen Lieben Dank im Vorraus    Bearbeitet 1. April 20205 j von sync tags
1. April 20205 j vor 29 Minuten schrieb sync: Zertifikate Lets Encrypt CN: remote.webdomain.de Dienste zugewiesen: IIS MS Ex Server Auth Certifcate Dienste zugewiesen: keine MS Exchange CN: HOSTNAME Alternativ HOSTNAME.DOMAIN.local Dienste zugewiesen: IMAP, POP, IIS Exchange Delegation Federation CN: Federation Dienste zugewiesen: SMTP, Federation WMSVC-SHA2 Dienste zugewiesen: keine welches davon ist denn das erneuerte? Auf den ersten Blick wĂŒrde ich denken das die SMTP Zuweisung fehlerhaft ist
1. April 20205 j Autor vor 1 Minute schrieb _n4p_: welches davon ist denn das erneuerte? Auf den ersten Blick wĂŒrde ich denken das die SMTP Zuweisung fehlerhaft ist Lets Encrypt wurde erneuert, ich kann allerdings den DIENST SMTP nicht diesem Zertifikat zuweisen, MS Exchange speichert es nicht. Ich hatte auch schon die Dienste IMAP, POP auf dem Lets Encrypt zugewiesen, diese werden gespeichert, Ă€ndern allerdings nichts am Zustand.Â
1. April 20205 j Das geht am besten mit der EMS und dem Befehl Enable-ExchangeCertificate -Thumbprint <Abdruck des Zertifikates> -Services POP,IMAP,IIS,SMTP Â
1. April 20205 j Autor vor einer Stunde schrieb sync: update 1: der Test-ImapConnectivity klappt aktuell noch nicht, möglicherweise gibt es mehr Infos, wenn der Testbenutzer wieder geht. Test-ImapConnectivity -ClientAccessServer hostname -MailboxCredential (Get-Credential domain\benutzer) klappt - Szenario IMAP4-Verbindung erfolgreich Result erfolgreich
1. April 20205 j Autor vor 30 Minuten schrieb _n4p_: Das geht am besten mit der EMS und dem Befehl Enable-ExchangeCertificate -Thumbprint <Abdruck des Zertifikates> -Services POP,IMAP,IIS,SMTP  Der Fehler war wohl 1. Ăber WeboberflĂ€che 2. Hatte ich damals nicht alle Dienste ausgewĂ€hlt haha XD du bist heute echt mein Held Habe es ausgefĂŒhrt und alle ĂŒberschrieben. Danach hat es geklappt âââ  Bearbeitet 1. April 20205 j von sync xd
3. April 20205 j Autor Ich muss leider korrigieren. Es klappt leider noch nicht đ Folgendes habe ich noch getestet oder geprĂŒft: Test-SmtpConnectivity  >>> Alles erfolgreich Get-Imapsettings UnencryptedOrTLSBindings SSLBindings LoginType X509CertificateName {[::]:143, 0.0.0.0:143}  {[::]:993, 0.0.0.0:993} SecureLogin LetsEncrypt Zertifikat Get-ExchangeCertificate | format-list services, subject, thumbprint Services  : IMAP, POP, IIS Services  : SMTP, Federation Services  : None Services  : None Services  : None  Subject   : CN=remote.webdomain.de Subject   : CN=Federation Subject   : CN=Microsoft Exchange Server Auth Certificate Subject   : CN=hostname  Subject   : CN=WMSvc-SHA2-HOSTNAME  Thumbprint : 1111 Thumbprint : 33333 Thumbprint : 44444 Thumbprint : 5555555 Thumbprint : 6666666  Get-ReceiveConnector -Identity "Default Frontend*" | Format-List Name,Fqdn,TlsCertificateName,Bindings Name              : Default Frontend HOSTNAME Fqdn              : HOSTNAME.DOMAIN.local TlsCertificateName : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=remote.webdomain.de Get-ReceiveConnector -Identity "HOSTNAME\Client Frontend HOSTNAME" | Format-List Name,Fqdn,TlsCertificateName,Bindings Bindings          : {[::]:25, 0.0.0.0:25} Name              : Client Frontend HOSTNAME Fqdn              : remote.webdomain.de TlsCertificateName : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=remote.webdomain.de Bindings          : {[::]:587, 0.0.0.0:587}  Get-ReceiveConnector| Format-List fqdn, tlscertificatename,bindings,transportrole Fqdn              : HOSTNAME.DOMAIN.local TlsCertificateName : Bindings          : {0.0.0.0:2525, [::]:2525} TransportRole     : HubTransport Fqdn              : HOSTNAME.DOMAIN.local TlsCertificateName : Bindings          : {[::]:465, 0.0.0.0:465} TransportRole     : HubTransport Fqdn              : HOSTNAME.DOMAIN.local TlsCertificateName : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=remote.webdomain.de Bindings          : {[::]:25, 0.0.0.0:25} TransportRole     : FrontendTransport Fqdn              : HOSTNAME.DOMAIN.local TlsCertificateName : Bindings          : {[::]:717, 0.0.0.0:717} TransportRole     : FrontendTransport Fqdn              : remote.domain.de TlsCertificateName : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=remote.webdomain.de Bindings          : {[::]:587, 0.0.0.0:587} TransportRole     : FrontendTransport Diese Seiten bin ich auch schon durchgegangen: https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/ https://practical365.com/exchange-server/configuring-the-tls-certificate-name-for-exchange-server-receive-connectors/ https://docs.microsoft.com/de-de/powershell/module/exchange/encryption-and-certificates/enable-exchangecertificate?view=exchange-ps https://docs.microsoft.com/de-de/exchange/clients/pop3-and-imap4/configure-authenticated-smtp?view=exchserver-2019  Der SMTP Dienst ist unter Zertifikate Federation ausgegraut, weder per Shell noch per WeboberflĂ€che lĂ€sst es sich Ă€ndern. AuĂerdem ist das alte Zertifikat abgelaufen gewesen, ggf. ein weiterer Grund. Hat jemand noch eine Idee? Weder ĂŒber Port 25 noch ĂŒber Port 587 lassen sich ĂŒber IMAP Mails versenden. Bearbeitet 3. April 20205 j von sync gg
3. April 20205 j 1) gibt es eine Fehlermeldung zu dem Problem? ist das noch die gleiche wie im eröffnungspost? 2) auch wenn ich davon ausgehe das die konfiguration frĂŒherâą mal funktioniert hat, scheint es als wĂŒrde er das zertifikat nicht mögen. gibt es das alte zertifikat noch um mal die SANs zu vergleichen? Alternativ wĂŒrde ich aus der EMS heraus mal n neuen Certificate Request generieren (wirklich die EMS, das EAC macht [hier zumindest] nur Requests mit 1024 Bit SchlĂŒssel) und mit dem zertifikat das nochmal neu versuchen.
7. April 20205 j Autor So wir haben jetzt wieder ein funktionierendes System: Ich habe erst nochmal den Connector geprĂŒft: Get-ReceiveConnector "HOSTNAME\Client Frontend HOSTNAME" | format-list Fqdn                    : HOSTNAME.domain.local ServiceDiscoveryFqdn            : TlsCertificateName             : <I>CN=Let's Encrypt Authority X3, O=Let's Encrypt, C=US<S>CN=webdomain.de Comment                  : 587 Enabled                  : True Mit dem unteren Befehl habe ich es auf das selbst signierte Zertifikat geĂ€ndert: Microsoft Exchange Selbstsigniertes Zertifikat Aussteller: CN=HOSTNAME GĂŒltig bis: 04.04.2030  $TLSCert = Get-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXXXXXXX $TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)" Get-ReceiveConnector -Identity "Client Frontend*" | Set-ReceiveConnector -TlsCertificateName $TLSCertName Allerdings hat es erst beim zweiten mal den Zertifikatsnamen gespeichert und ich habe zur Sicherheit die IMAP4 Dienste neugestartet. Jetzt steht es wieder laut System richtig und funktioniert auch: AdvertiseClientSettings          : True Fqdn                    : HOSTNAME.domain.local ServiceDiscoveryFqdn            : TlsCertificateName             : <I>CN=HOSTNAME<S>CN=HOSTNAME Comment                  : 587 Weiterhin ist diesem Zertifikat kein SMTP,IMAP,IIS oder POP Dienst zugeordnet. So klappt es zumindest mit dem versenden wieder, auch wenn eine Zertifikatswarnung einmalig beim Outlook starten kommt. âââââđđ  Â
7. April 20205 j Wenn ich das so lese bin ich froh das wir bisher nur SSL machen. Das kann ja spannend werden das umzustellen.
8. April 20205 j Autor vor 13 Stunden schrieb _n4p_: Wenn ich das so lese bin ich froh das wir bisher nur SSL machen. Das kann ja spannend werden das umzustellen. Auf jeden Fall diese 2x Webseiten haben auch noch geholfen. https://practical365.com/exchange-server/configuring-the-tls-certificate-name-for-exchange-server-receive-connectors/ https://supertekboy.com/2017/02/28/tls-negotiation-failed-with-error-nocredentials/ und wichtig ist es in dem LOG Folder nach Fehlern zu schauen: Exchange Server\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive  Bearbeitet 8. April 20205 j von sync ssl
Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.