Exchange 2007 Problem mit EDGE und Postfachserver

[martins]

Hallo liebes Board,

Ich habe ein Exchange-Problem, bei dessen Lösung ich aber derzeit etwas auf dem Schlauch stehe.

Es existieren zwei Exchange-Server 2007 (aktueller SP- und Patchstand):

1x EDGE-Server
1x Postfach-/Client-/Hub-Server

auf dem EDGE-Server wird seit einigen Tagen folgendes protokolliert:

Code:

Protokollname: Application
Quelle:        MSExchangeTransport
Datum:         11.09.2009 20:17:50
Ereignis-ID:   12014
Aufgabenkategorie:TransportService
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      exgw-01.firmenname.de

Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen "exgw-01.firmenname.de" im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "edgesync - Frankfurt to internet" mit einem FQDN-Parameter von "exgw-01.firmenname.de" nicht  unterstützt werden. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann.

auf dem Postfach-/Client-/Hub-Server dieses:

Code:

Ereignistyp:	Fehler
Ereignisquelle:	MSExchangeTransport
Ereigniskategorie:	TransportService 
Ereigniskennung:	12019
Datum:		11.09.2009
Zeit:		15:58:39
Benutzer:	Nicht zutreffend
Computer:	SRV07
Beschreibung:
Das interne Remotetransportzertifikat ist abgelaufen. Zertifikatbetreff: CN=exgw-01.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Folgendes habe ich bisher gemacht:

Auf dem EDGE => Verwaltungsshell: "New-ExchangeCertificate" (Um ein neues Zertifikat zu erstellen)

Auf dem Edge => Verwaltungsshell: "New-EdgeSubscription - Filename “c:\EdgeSubscriptionInfo.xml”"

Anschließend "EdgeSubscriptionInfo.xml" auf den HUB-Server kopiert und am HUB über die Verwaltungskonsole importiert: "Organisationskonfiguration / Hub-Transport / Edge-Abonnements"

Neustart beider Exchange-Server, allerdings folgende Fehlermeldungen im Ereignisprotokoll:

Am Edge-Server:

Code:

Protokollname: Application
Quelle:        MSExchange Message Security
Datum:         11.09.2009 21:12:00
Ereignis-ID:   1005
Aufgabenkategorie:EdgeCredentialService
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      exgw-01.firmenname.de
Beschreibung:
Die EdgeSync-Anmeldeinformationen "cn=ESRA.exgw-01.srv07.0,CN=Services,CN=Configuration,CN={D81AF96B-D19A-449B-A93E-CB35175A28A6}" konnten nicht mithilfe des Zertifikats mit dem Fingerabdruck "10454D4A46BC0B3EC21627346D9F0CECF648C6C5" entschlüsselt werden. Die Ausnahme lautet "Ungültige Daten
". Um dieses Problem zu beheben, heben Sie das Abonnement auf, und abonnieren Sie den Edge-Server dann erneut.

und

Code:

Protokollname: Application
Quelle:        SideBySide
Datum:         11.09.2009 21:31:38
Ereignis-ID:   33
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      exgw-01.firmenname.de
Beschreibung:
Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\WinSxS\amd64_microsoft.vc80.mfc_1fc8b3b9a1e18e3b_8.0.50727.762_none_c46a533c8a667ee7\MFC80U.DLL". Die abhängige Assemblierung "Microsoft.VC80.MFCLOC,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50608.0"" konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

am HUB

...

Fortsetzung siehe unten =>

[martins]

Code:

Ereignistyp:	Fehler
Ereignisquelle:	MSExchangeTransport
Ereigniskategorie:	Routing 
Ereigniskennung:	5016
Datum:		11.09.2009
Zeit:		21:22:39
Benutzer:		Nicht zutreffend
Computer:	SRV07
Beschreibung:
Der Active Directory-Topologiedienst konnte keine Route zu dem Connector "CN=Firma,CN=Connections,CN=erste routinggruppe,CN=Routing Groups,CN=erste administrative gruppe,CN=Administrative Groups,CN=Domaene,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Domaene,DC=lokal" in Routingtabellen mit dem Zeitstempel 11.09.2009 19:22:39 erkennen. Dieser Connector wird nicht verwendet.



Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://www.mcseboard.de ;)

Was sagen die Exchange-Spezies dazu?

Danke für eure Hilfe!

Martin

[BrainStorm]

Hallo Martin,

stimmt der FQDN bzw. CN auf dem Zertifikat mit dem Eintrag im Sendconnector überein?

[martins]

Hallo Brainstorm,

"get-exchangecertificate |fl" auf dem Edge ergibt folgendes:

Code:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
                     ssControl.CryptoKeyAccessRule}
CertificateDomains : {exgw-01, exgw-01.firmenname.de}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=exgw-01
NotAfter           : 11.09.2010 20:23:35
NotBefore          : 11.09.2009 20:23:35
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : 121C6155C071B39B434B344A9C5F3665
Services           : SMTP
Status             : Valid
Subject            : CN=exgw-01
Thumbprint         : 10454D4A46BC0B3EA28627346A9F0CBCF648C6C5



und


AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
                     ssControl.CryptoKeyAccessRule}
CertificateDomains : {exgw-01, exgw-01.firmenname.de}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=exgw-01
NotAfter           : 13.06.2009 17:58:59
NotBefore          : 13.06.2008 17:58:59
PublicKeySize      : 2048
RootCAType         : Unknown
SerialNumber       : F720AD650C43A09E41D9274BC83670A2
Services           : SMTP
Status             : Invalid
Subject            : CN=exgw-01
Thumbprint         : DBD42BEF851C1922C585766215BC5E38B96DA497

Da die dort angegebenen Namen identisch sind und vorher alles funktionierte, denke ich nicht, dass es an einem falschen FQDN liegt.

Gruß
Martin

[martins]

Also die beiden Sendeconnectoren am EDGE heißen:

"edgesync - inbound to frankfurt"
"edgesync - frankfurt to internet"

[BrainStorm]

Sind die neuerstellten Zertifikate auch auf beiden Servern identisch?

[martins]

das überprüfe ich doch auch mit "get-exchangecertificate |fl"!?

Das Ergebnis auf dem Hub:


[PS] C:\Dokumente und Einstellungen\Administrator.domaene>get-exchangecertificate
|fl


AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.firmenname.de, www.mail.firmenname.de, s
rv07-ks, srv07.domaene.lokal, exgw-01.firmenname.de
, autodiscover.firmenname.de}
HasPrivateKey : True
IsSelfSigned : False
Issuer : SERIALNUMBER=01961287, CN=Go Daddy Secure Certification Au
thority, OU=http://certificates.godaddy.com/repository, O=
"GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US
NotAfter : 04.06.2010 18:52:04
NotBefore : 28.05.2009 12:51:50
PublicKeySize : 1024
RootCAType : ThirdParty
SerialNumber : 00ABFC58A87154
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : CN=mail.firmenname.de, OU=Domain Control Validated,
O=mail.firmenname.de
Thumbprint : EDCEBF3947799A25B047D0F021BA35ABA788F097

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.firmenname.de, www.mail.firmenname.de, s
rv07-ks, srv07.domaene.lokal, exgw-01.firmenname.de
, autodiscover.firmenname.de}
HasPrivateKey : True
IsSelfSigned : False
Issuer : SERIALNUMBER=01961287, CN=Go Daddy Secure Certification Au
thority, OU=http://certificates.godaddy.com/repository, O=
"GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US
NotAfter : 04.06.2009 18:52:04
NotBefore : 04.06.2008 18:52:04
PublicKeySize : 2048
RootCAType : ThirdParty
SerialNumber : 4531BA
Services : IMAP, POP, SMTP
Status : DateInvalid
Subject : CN=mail.firmenname.de, OU=Domain Control Validated,
O=mail.firmenname.de
Thumbprint : 64F9019BC162F1C3DD1A96E23EE2000A53ACB4E6

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.firmenname.de}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=mail.firmenname.de, O=Firma AG, L=Frank
furt, S=Hessen, C=DE
NotAfter : 01.06.2009 01:18:01
NotBefore : 31.05.2008 19:18:01
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 6253187B920210AB486E12DD017F55EB
Services : None
Status : Invalid
Subject : CN=mail.firmenname.de, O=Firma AG, L=Frank
furt, S=Hessen, C=DE
Thumbprint : 725BC86FD0CA8825C50404B3A45A34894F6499C1

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {srv07.domaene.lokal}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=srv07.domaene.lokal
NotAfter : 19.08.2035 17:15:33
NotBefore : 02.04.2008 17:15:33
PublicKeySize : 1024
RootCAType : Unknown
SerialNumber : F12D9436FF8646AB47F1895C952F35F6
Services : None
Status : Valid
Subject : CN=srv07.domaene.lokal
Thumbprint : A6F4968857B525D1B67BC146397ABACE8ACE51D8



=> und

[martins]

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {srv07.domaene.LOKAL}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=srv07.domaene.LOKAL
NotAfter : 18.03.2008 13:48:19
NotBefore : 11.03.2008 13:48:19
PublicKeySize : 1024
RootCAType : Unknown
SerialNumber : AEEAC8561B57B6BF44FB4D9CA0CDF9AD
Services : None
Status : DateInvalid
Subject : CN=srv07.domaene.LOKAL
Thumbprint : 1E7E7E873E431F0A559909405241E72C38BF5787


AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {srv07}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=srv07
NotAfter : 18.03.2008 13:46:35
NotBefore : 11.03.2008 13:46:35
PublicKeySize : 1024
RootCAType : Unknown
SerialNumber : 9F033163EF5CE5BA491D54832918DF33
Services : None
Status : DateInvalid
Subject : CN=srv07
Thumbprint : 63D00AFC4A63CB1D00178D01C7420786D2B3BC3D

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=82.141.xx.xxx
NotAfter : 16.11.2021 15:37:40
NotBefore : 09.03.2008 15:37:40
PublicKeySize : 1024
RootCAType : None
SerialNumber : 01BE6E34297FEABB4AFC4765C2A9E805
Services : None
Status : Valid
Subject : CN=82.141.xx.xxx
Thumbprint : 05EAEC4E64D4A14FD19E34F5276E11B8EC2FD327

AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {srv07, srv07.domaene.lokal}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=srv07
NotAfter : 12.01.2009 23:37:28
NotBefore : 12.01.2008 23:37:28
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : D3E90918994DA88449B54713A63D4041
Services : SMTP
Status : Invalid
Subject : CN=srv07
Thumbprint : 8C10B042B1911FE0EBC794DB118538D4805C6734



Ich habe es jetzt mal nicht als Code eingefügt. Ich finde, das ist übersichtlicher.

[willineu]

Hallo,
hast du inzwischen eine Lösung gefunden, ich habe genau das selbe Problem?
Gruß
Willi

[RobertWi]

Bitte mach doch eine neuen Post auf und beschreibe das Problem komplett (Fehlermeldungen, was Du getan hast, etc.). Niemand hat wirklich Lust, sich einen alten nicht mehr aktuellen Post anzusehen und dann zu raten, was das Problem in Deiner Konfig sein könnte.

Danke!