magicpeter

Das ist ja toll, dann ist ja alles klar. Es hängt also nur von der im Zertifikat hinterlegten Domains und zugeordnetem Service ab. Wenn es also eine Zertifikat mit der entsprechenden Domain gibt und das Zertifikat ist gültig, dann wird das Zertifikat genommen und der der Service funktioniert. Dann ist es ja einfach, wenn das wirklich alles ist.

Weis keiner was dazu zu sagen? Schade... Wäre eine echte Hilfe gewesen. :( Ich denke viele haben Probleme mit den Zertifikaten und deren Verwaltung/Erneuerung.

Hi, da ich immer wieder Verständnisprobleme mit den Exchange Server Zertifikaten habe und ich in google nicht die passende Erklärung finden konnte, wollte ich einmal das Forum fragen. Mit der Installation eines Exchange 2013 werden automatisch 3 Zertifikate eingerichtet: Beispiel: 1. Zertifikat Status : Valid Thumbprint : C1106547566CA50F2260EAE474AFE1EEEFBD90AE Services : SMTP ServicesStringForm : ....S.. NotAfter : 07.12.2018 16:48:57 NotBefore : 02.01.2014 16:48:57 CertificateDomains : {} 2. Zertifikat Status : Valid Thumbprint : 5EA5036FABA60B143CA098F4C2435AEC6E637617 Services : IIS, SMTP ServicesStringForm : ...WS.. NotAfter : 02.01.2019 16:46:48 NotBefore : 02.01.2014 16:46:48 CertificateDomains : {serverex, serverex.domain.local} 3. Zertifikat Status : Valid Thumbprint : 772A862DA7617BF89B3BEE707BC43905CA2EF4A8 Services : None ServicesStringForm : ....... NotAfter : 31.12.2023 15:40:35 NotBefore : 02.01.2014 15:40:35 CertificateDomains : {WMSvc-SERVEREX} Damit ist die interne Kommunikation abgesichert und es kann mit den Outlook Clients eine verschlüsselte Verbindung aufgebaut werden. Möchte ich jetzt noch eine gesicherte Verbindung über OWA oder externe Outlooks nutzen, erstellen ich ein weiteres Zertifikat über eine externe Zertifikatsstelle / Hersteller (GeoTrust,Comodo, etc.). Ich weis man kann auch für die interne Kommunikation externe Zertifikatsanbieter nutzen. Beispiel: 4. Zertifikat Status : Valid Thumbprint : B00E0AB94E12A73EEDB6C1EB1D59B863F854AC8C Services : IMAP, POP, IIS, SMTP ServicesStringForm : IP.WS.. NotAfter : 05.02.2018 00:59:59 NotBefore : 06.01.2015 01:00:00 CertificateDomains : {remote.domain.de} Die Zertifikate sind an die Domains gebunden für die Sie erstellt wurden. Mit dem Befehl in der Exchange Power Shell Get-ExchangeCertificate |fl status, thumb*, servi*, not*, certificated* kann ich mir alle Zertifikate anzeigen lassen. Läuft jetzt ein Zertifikat ab, dann erstellt man sich ein neues Zertifikat zum Beispiel über die Power Shell oder GUI. Das wurde hier schon erklärt. http://www.mcseboard.de/topic/194836-split-dns-funktioniert-nicht/page-3?do=findComment&comment=1278526 http://www.msblog.eu/exchange-2013-serverzertifikat-erstellen/ Es gibt nicht "das aktive" Cert. Es gibt nur Zertifikate mit Status "valid". Wenn dann die zertifizierte Domain zur Domain des Connectors/Services passt wird es genommen. Ist das soweit richtig? Zertifikate 1. und 3. haben aber keine CertificateDomains. Oder ist {WMSvc-SERVEREX} eine Domain? Wie gehe ich da vor, wenn ich diese erneuern muss? Besten Dank für euere Hilfe.

Ja, klar gibt es ein Backup der Umgebung. Bei solchen OPs sichere ich mir immer mehrfach ab. Aber Danke...

Es gab keine Meldung mehr vom Kunden. Es scheint gelöst oder es tritt nicht mehr auf oder oder oder.. :)

Weil der Willy das erwähnt hat...

Lösung: 1. New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn= Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName "SERVEREX1.domain.local" -Services smtp Ersetze nicht das bestehende SMTP Zertifikate wenn du danach gefragt wirst. Antwort: N 2. Notiere dir den thumbprint von dem neuen Zertifikate. Nehmen wir an es wäre: C288A143DBDBAD6DAF6569150CFB4857737035D2 3. $a=get-date 4. Set-AuthConfig -NewCertificateThumbprint C288A143DBDBAD6DAF6569150CFB4857737035D2 –NewCertificateEffectiveDate $a Akzeptieren, das das Zertifikat nicht 48 Stunden in der Zukunft liegt Antwort: J 5. Set-AuthConfig –PublishCertificate 6. Entferne einen möglichen Hinweis auf die früheren Zertifikat Set-AuthConfig -ClearPreviousCertificate. 7. Führe einen Reset des IIS durch. iisreset Jetzt tritt diese Warnung nicht mehr auf. Quelle: https://community.spiceworks.com/topic/512374-missing-the-microsoft-exchange-server-auth-certificate https://social.technet.microsoft.com/Forums/exchange/en-US/6d67e5ef-555e-41a5-8de9-2a56cf95363a/missing-the-microsoft-exchange-server-auth-certificate?forum=exchangesvradmin

Hier ein bisschen Basic Know How: Exchange 2013 Zertifikate – Don’t touch it! https://escde.net/exchange-2013-zertifikate-dont-touch-it/ Digitale Zertifikate und SSL https://technet.microsoft.com/de-DE/library/Dd351044(v=EXCHG.150).aspx Wir kriegen das schon gelöst mit den Zertifikaten... :D Schade heute Nacht erscheint dann folgende Meldung / Warnung im Eventlog: Protokollname: Application Quelle: MSExchange Certificate Deployment Datum: 26.08.2015 19:06:42 Ereignis-ID: 2005 Aufgabenkategorie:General Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: SERVEREX1.domain.local Beschreibung: Verbund- oder Authentifizierungszertifikat nicht gefunden: ED15CB948FE34EF685F0863B139EA0D5ADFF179C. Das Zertifikat wurde am lokalen sowie an benachbarten Standorten nicht gefunden. Bestätigen Sie, dass das Zertifikat in Ihrer Topologie vorhanden ist, und setzen Sie das Zertifikat bei Bedarf bei der Verbundvertrauensstellung mithilfe von 'Set-FederationTrust' oder 'Set-AuthConfig' auf ein gültiges Zertifikat zurück. Die Übermittlung des Zertifikats an den lokalen oder die benachbarten Standorte benötigt möglicherweise etwas Zeit. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="MSExchange Certificate Deployment" /> <EventID Qualifiers="32768">2005</EventID> <Level>3</Level> <Task>1</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2015-08-26T17:06:42.000000000Z" /> <EventRecordID>5429099</EventRecordID> <Channel>Application</Channel> <Computer>SERVEREX1.domain.local</Computer> <Security /> </System> <EventData> <Data>ED15CB948FE34EF685F0863B139EA0D5ADFF179C</Data> </EventData> </Event> Der Exchange arbeitet aber völlig normal. E-Mails kommen rein und gehen raus. Das schein wohl das bereits abgelaufene Zertifikat gewesen zu sein was ich gestern gelöscht habe. Wie kann ich diese Warnung beheben? Danke.

Habe das alte TLS Zertifikat gelöscht. <<< serverexCA Von einer Zertifizierungsstelle signiertes Zertifikat Aussteller: CN=kunde-SERVEREX-CA, DC=domain, DC=local Status Gültig Gültig bis: 02.09.2015Gültig bis: Abschließen Diensten zugewiesen SMTP <<< Es erscheinen jetzt keine Fehlermeldungen mehr im Eventlog. Es existiert jetzt nur noch das Zertifikat über die externe Domain remote.domain.com. Schein alles noch zu funktionieren. :D Wie viele Zertifikate sind den auf einen Exchange Server notwendig? Kann man mit einem Zertifikat auskommen?

Richtig, Zertifikat sichern, löschen, beobachten, ggfs handeln. OK, ich dachte das wüste jemand auch so. Ich kann es gerne einmal testen... Ist natürlich der aufwendigere Weg.

Ist das denn so ein Geheimnis das man dafür schon Geld bezahlen muss? OK, ein Zertifikat wird auf Domainebene ausgestellt. Ich verwende SplitDNS und darum sollte ich doch mit einen Zertifikat auskommen oder? Das noch existierende Zertifikat für SERVEREX.domain.local sollte doch auch mit dem Zertifikat für die Domain remote.domain.com ersetzt werden können oder? Ich versuche mir nur ein Zertifikat zu sparen, aber wenn das nicht geht dann erstelle ich mir eben das Zertifikat aus.

Kann ich denn ein Zertifikat welches ich für die Domain remote.domain.com erstellt haben für alle Dienste nutzen? Kann ich darüber auch das STARTTLS-Zertifikat ablösen? Ich setze SPLITDNS ein der Exchange Server sollte doch auch über die URL remote.domain.com erreicht werden. Oder? Das ist alles so kompliziert mit den Zertifikaten und keiner sagt einem wie es wirklich richtig geht... :(

Ich habe eine externes Zertifikat. remote.domain.com 2015 Von einer Zertifizierungsstelle signiertes Zertifikat Aussteller: CN=thawte DV SSL CA - G2, OU=Domain Validated SSL, O="thawte, Inc.", C=US Status Gültig Gültig bis: 18.09.2016 Gültig bis: Abschließen Diensten zugewiesen IMAP, POP, IIS, SMTP Dann kann ich mir doch das selbsterstellte Zertifikat sparen oder? Ein externes Zertifikat sollte doch für alle Dienste reichen oder? serverexCA Von einer Zertifizierungsstelle signiertes Zertifikat Aussteller: CN=kunde-SERVEREX-CA, DC=domain, DC=local Status Gültig Gültig bis: 02.09.2015 Gültig bis: Abschließen Diensten zugewiesen SMTP Kann ich mir einem externe zertifizierten Zertfikat alle Dienste abdecken? Noch nicht so ganz.. Ich bekomme aktuelle diese Fehlermeldung am Exchange. Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: SERVEREX.domain.local, Fingerabdruck: C7543E661561FBEE92935E112DDFDE6D0588DF88, verbleibende Stunden: 174. Führen Sie das Cmdlet 'New-ExchangeCertificate' aus, um ein neues Zertifikat zu erstellen. Protokollname: Application Quelle: MSExchangeFrontEndTransport Datum: 26.08.2015 14:43:40 Ereignis-ID: 12018 Aufgabenkategorie:TransportService Ebene: Fehler Schlüsselwörter:Klassisch Kann ich nicht hier auch das externe Zertifikat nutzen oder muss ich mir da wieder ein selbstzertifiertes Zertifikat austellen? Ich weiss ein leidiges Thema, aber ich glaube viele haben damit Probleme. Toll wäre doch ein externes Zertifikat womit man alles Dienst sichern könnte. Danke für eure Hilfe.

Nur als kurzes Feedback... Der Server und der Online Exchange Office 365 Business Essentials laufen seit 2 Wochen stabil und zuverlässig. Keine Ausfälle oder automatische Abschaltungen aufgrund von Lizenzverstößen. Der Kunde ist Happy...

Ich habe noch eine schöne Anleitung zu SplitDNS gefunden. https://www.psw-group.de/newsletter/splitDNS.pdf So habe ich das konfiguriert. Damit sind sind die internen URLs raus und zwar für immer. :D Er will es nicht sagen... :(

Gerne würde ich es aber vorher wissen. Ich denke es geht auch ohne das Zertifikat mit den internen URLs. Was meinst du ;)

Moin noch ein kleiner Nachtrag: Da ich ja, die internen und externen URLs für die virtuellen Verzeichnisse auf dem Exchange Server auf die externe URL eingestellt habe benötige ich jetzt doch nur noch ein Zertifikat für die externe URL und nicht mehr für die ganzen internen URLS oder? Mein Internes Zertifikat läuft am 02.09.2015 ab. Dann brauche das doch nicht zu erneuern. Da mein Zertifikat für die externe URL remote.kundendomain.com noch ein Jahr läuft. Das sollte doch klappen oder?

Hi habe noch ein paar Links gefunden, die alle eigentlich das gleiche sagen. http://www.msblog.eu/exchange-server-aus-dem-adsi-edit-entfernen/ http://www.hertes.net/?p=1443 http://www.msxfaq.de/server/e2kremove.htm http://searchexchange.techtarget.com/tutorial/Remove-Exchange-2003-from-Active-Directory-to-install-Exchange-2010 Dann werde ich das alte Exchange 2003 Schätzchen einmal so aus dem AD entfernen. Solltet Ihr noch Zusatzinfos haben, wäre ich dankbar für jede Nachricht.

Hi, ich habe einen Windows 2003 SBS und habe diesen auf einen Windows 2012 R2 migriert. Hat alles gut geklappt. Jetzt wollte ich den Exchange sauber deinstallieren. Leider ist das nicht möglich die Deinstallation bricht sofort ab und außer dem liegt die Windows 2003 SBS CD nicht mehr vor. Wie kann ich jetzt den Exchange sauber aus dem AD entfernen? Habe ein bißchen gegoogelt und konnte auch schon was finden. Zum Beispiel: https://service.ict-cloud.com/hc/de/articles/201040213-Einzelnen-Exchange-Server-manuell-aus-Active-Directory-Domäne-entfernen Reicht das und ist damit alles sauber entfernt? Danke

Ja, das funktioniert und E-Mails können an andere Domains versendet werden.

Upps? Muss ich da was an dem internen DNS einrichten oder was meinst du?

Hi Norbert (der andere), danke für den Link. Sehr übersichtlich und einfach jetzt die richtige Version ausfindig zu machen. Ja ich glaube ich habe das Problem im externen DNS gefunden. So sehen die Einträge im externen DNS aus. domain.de A domainFACTORY *.domain.de A domainFACTORY mail.domain.de A 88.155.199.99 outlook.domain.de A 88.155.199.99 remote.domain.de A 88.155.199.99 imap.domain.de CNAME domainFACTORY pop3.domain.de CNAME domainFACTORY smtp.domain.de CNAME domainFACTORY domain.de MX 100 domainFACTORY domain.de MX 10 mail.domain.de *.domain.de MX 100 domainFACTORY *.domain.de MX 10 mail.domain.de domain.de SPF v=spf1 mx a include:ispgateway.de ~all *.domain.de SPF v=spf1 mx a include:ispgateway.de ~all _autodiscover._tcp.domain.de SRV remote.domain.de Ich muss zugeben den SPF Eintrag habe ich heute erst gesetzt. domain.de SPF v=spf1 mx a include:ispgateway.de ~all *.domain.de SPF v=spf1 mx a include:ispgateway.de ~all Meinst das der Eintrag die Zustellprobleme lösen kann? Oder habe ich noch einen Eintrag vergessen?

Nabend... wir haben das Problem bei unserem Server, das vereinzelt E-Mails nicht zustellt werden. Wir bekommen dann folgende Meldung zurück. Die Zustellung an folgende Empf‰nger oder Gruppen verzˆgert sich: <email adresse gelöscht> Betreff: <gelöscht> Diese Nachricht wurde noch nicht zugestellt. Es wird weiterhin versucht, die Nachricht zuzustellen. Der Server wird noch 1 Tage, 19 Stunden und 59 Minuten versuchen, die Nachricht zuzustellen. Sie erhalten eine Benachrichtigung, falls die Nachricht bis dahin nicht ̧bermittelt werden konnte. Diagnoseinformationen f ̧r Administratoren: Generierender Server: SERVEREX.kundd.local Total retry attempts: 17 <emailadresse gelöscht> Remote Server returned '400 4.4.7 Message delayed' Urspr ̧ngliche Nachrichtenkˆpfe: Received: from SERVEREX.example.local (192.168.100.202) by SERVEREX.example.local (192.168.100.202) with Microsoft SMTP Server (TLS) id 15.0.995.29; Wed, 5 Aug 2015 09:49:32 +0200 Received: from SERVEREX.example.local ([fe80::2904:66e9:2f6d:1405]) by SERVEREX.example.local ([fe80::2904:66e9:2f6d:1405%12]) with mapi id 15.00.0995.032; Wed, 5 Aug 2015 09:49:32 +0200 From: Hans-Walter Zimmer <h.w.zimmer@absenderdomain-gmbh-hv.de> To: <emailadresse gelöscht> Subject: <gelöscht> Thread-Topic: <gelöscht> Thread-Index: AdDPUu0f+60EBtIRSDSE9eBHiWrVjQ== Date: Wed, 5 Aug 2015 07:49:31 +0000 Message-ID: <599a4d439b554c1cb6c208aaad301221@SERVEREX.example.local> Accept-Language: de-DE, en-US Content-Language: de-DE X-MS-Has-Attach: yes X-MS-TNEF-Correlator: x-originating-ip: [192.168.100.22] Content-Type: multipart/mixed; boundary=„_009_599a4d439b554c1cb6c208aaad301221SERVEREXabsenderdomainlocal_ Könnt Ihr daran sehen woran das liegen könnte? Wäre für jeden Tipp dankbar.. Es handel sich um einen Exchange 2013 CU5 gedenke ich ...

Genau weil Relgion mir ja so wichtig ist.... Nein, weil ich den Essential Server in eine vorhandene Domain einfügen wollte und das hat beim letzten mal nach dem Essential Wizzard nicht geklappt.

Danke, dir Willy. Werde das im Auge behalten, obwohl ich die Essential Role nicht deinstalliert habe. Ich habe nur den Wizzard aus dem Autostart entfernt.