magicpeter

Hier ein bisschen Basic Know How: Exchange 2013 Zertifikate – Don’t touch it! https://escde.net/exchange-2013-zertifikate-dont-touch-it/ Digitale Zertifikate und SSL https://technet.microsoft.com/de-DE/library/Dd351044(v=EXCHG.150).aspx Wir kriegen das schon gelöst mit den Zertifikaten... :D Schade heute Nacht erscheint dann folgende Meldung / Warnung im Eventlog: Protokollname: Application Quelle: MSExchange Certificate Deployment Datum: 26.08.2015 19:06:42 Ereignis-ID: 2005 Aufgabenkategorie:General Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: SERVEREX1.domain.local Beschreibung: Verbund- oder Authentifizierungszertifikat nicht gefunden: ED15CB948FE34EF685F0863B139EA0D5ADFF179C. Das Zertifikat wurde am lokalen sowie an benachbarten Standorten nicht gefunden. Bestätigen Sie, dass das Zertifikat in Ihrer Topologie vorhanden ist, und setzen Sie das Zertifikat bei Bedarf bei der Verbundvertrauensstellung mithilfe von 'Set-FederationTrust' oder 'Set-AuthConfig' auf ein gültiges Zertifikat zurück. Die Übermittlung des Zertifikats an den lokalen oder die benachbarten Standorte benötigt möglicherweise etwas Zeit. Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="MSExchange Certificate Deployment" /> <EventID Qualifiers="32768">2005</EventID> <Level>3</Level> <Task>1</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2015-08-26T17:06:42.000000000Z" /> <EventRecordID>5429099</EventRecordID> <Channel>Application</Channel> <Computer>SERVEREX1.domain.local</Computer> <Security /> </System> <EventData> <Data>ED15CB948FE34EF685F0863B139EA0D5ADFF179C</Data> </EventData> </Event> Der Exchange arbeitet aber völlig normal. E-Mails kommen rein und gehen raus. Das schein wohl das bereits abgelaufene Zertifikat gewesen zu sein was ich gestern gelöscht habe. Wie kann ich diese Warnung beheben? Danke.

Habe das alte TLS Zertifikat gelöscht. <<< serverexCA Von einer Zertifizierungsstelle signiertes Zertifikat Aussteller: CN=kunde-SERVEREX-CA, DC=domain, DC=local Status Gültig Gültig bis: 02.09.2015Gültig bis: Abschließen Diensten zugewiesen SMTP <<< Es erscheinen jetzt keine Fehlermeldungen mehr im Eventlog. Es existiert jetzt nur noch das Zertifikat über die externe Domain remote.domain.com. Schein alles noch zu funktionieren. :D Wie viele Zertifikate sind den auf einen Exchange Server notwendig? Kann man mit einem Zertifikat auskommen?

Richtig, Zertifikat sichern, löschen, beobachten, ggfs handeln. OK, ich dachte das wüste jemand auch so. Ich kann es gerne einmal testen... Ist natürlich der aufwendigere Weg.

Ist das denn so ein Geheimnis das man dafür schon Geld bezahlen muss? OK, ein Zertifikat wird auf Domainebene ausgestellt. Ich verwende SplitDNS und darum sollte ich doch mit einen Zertifikat auskommen oder? Das noch existierende Zertifikat für SERVEREX.domain.local sollte doch auch mit dem Zertifikat für die Domain remote.domain.com ersetzt werden können oder? Ich versuche mir nur ein Zertifikat zu sparen, aber wenn das nicht geht dann erstelle ich mir eben das Zertifikat aus.

Kann ich denn ein Zertifikat welches ich für die Domain remote.domain.com erstellt haben für alle Dienste nutzen? Kann ich darüber auch das STARTTLS-Zertifikat ablösen? Ich setze SPLITDNS ein der Exchange Server sollte doch auch über die URL remote.domain.com erreicht werden. Oder? Das ist alles so kompliziert mit den Zertifikaten und keiner sagt einem wie es wirklich richtig geht... :(

Ich habe eine externes Zertifikat. remote.domain.com 2015 Von einer Zertifizierungsstelle signiertes Zertifikat Aussteller: CN=thawte DV SSL CA - G2, OU=Domain Validated SSL, O="thawte, Inc.", C=US Status Gültig Gültig bis: 18.09.2016 Gültig bis: Abschließen Diensten zugewiesen IMAP, POP, IIS, SMTP Dann kann ich mir doch das selbsterstellte Zertifikat sparen oder? Ein externes Zertifikat sollte doch für alle Dienste reichen oder? serverexCA Von einer Zertifizierungsstelle signiertes Zertifikat Aussteller: CN=kunde-SERVEREX-CA, DC=domain, DC=local Status Gültig Gültig bis: 02.09.2015 Gültig bis: Abschließen Diensten zugewiesen SMTP Kann ich mir einem externe zertifizierten Zertfikat alle Dienste abdecken? Noch nicht so ganz.. Ich bekomme aktuelle diese Fehlermeldung am Exchange. Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: SERVEREX.domain.local, Fingerabdruck: C7543E661561FBEE92935E112DDFDE6D0588DF88, verbleibende Stunden: 174. Führen Sie das Cmdlet 'New-ExchangeCertificate' aus, um ein neues Zertifikat zu erstellen. Protokollname: Application Quelle: MSExchangeFrontEndTransport Datum: 26.08.2015 14:43:40 Ereignis-ID: 12018 Aufgabenkategorie:TransportService Ebene: Fehler Schlüsselwörter:Klassisch Kann ich nicht hier auch das externe Zertifikat nutzen oder muss ich mir da wieder ein selbstzertifiertes Zertifikat austellen? Ich weiss ein leidiges Thema, aber ich glaube viele haben damit Probleme. Toll wäre doch ein externes Zertifikat womit man alles Dienst sichern könnte. Danke für eure Hilfe.

Nur als kurzes Feedback... Der Server und der Online Exchange Office 365 Business Essentials laufen seit 2 Wochen stabil und zuverlässig. Keine Ausfälle oder automatische Abschaltungen aufgrund von Lizenzverstößen. Der Kunde ist Happy...

Ich habe noch eine schöne Anleitung zu SplitDNS gefunden. https://www.psw-group.de/newsletter/splitDNS.pdf So habe ich das konfiguriert. Damit sind sind die internen URLs raus und zwar für immer. :D Er will es nicht sagen... :(

Gerne würde ich es aber vorher wissen. Ich denke es geht auch ohne das Zertifikat mit den internen URLs. Was meinst du ;)

Moin noch ein kleiner Nachtrag: Da ich ja, die internen und externen URLs für die virtuellen Verzeichnisse auf dem Exchange Server auf die externe URL eingestellt habe benötige ich jetzt doch nur noch ein Zertifikat für die externe URL und nicht mehr für die ganzen internen URLS oder? Mein Internes Zertifikat läuft am 02.09.2015 ab. Dann brauche das doch nicht zu erneuern. Da mein Zertifikat für die externe URL remote.kundendomain.com noch ein Jahr läuft. Das sollte doch klappen oder?

Hi habe noch ein paar Links gefunden, die alle eigentlich das gleiche sagen. http://www.msblog.eu/exchange-server-aus-dem-adsi-edit-entfernen/ http://www.hertes.net/?p=1443 http://www.msxfaq.de/server/e2kremove.htm http://searchexchange.techtarget.com/tutorial/Remove-Exchange-2003-from-Active-Directory-to-install-Exchange-2010 Dann werde ich das alte Exchange 2003 Schätzchen einmal so aus dem AD entfernen. Solltet Ihr noch Zusatzinfos haben, wäre ich dankbar für jede Nachricht.

Hi, ich habe einen Windows 2003 SBS und habe diesen auf einen Windows 2012 R2 migriert. Hat alles gut geklappt. Jetzt wollte ich den Exchange sauber deinstallieren. Leider ist das nicht möglich die Deinstallation bricht sofort ab und außer dem liegt die Windows 2003 SBS CD nicht mehr vor. Wie kann ich jetzt den Exchange sauber aus dem AD entfernen? Habe ein bißchen gegoogelt und konnte auch schon was finden. Zum Beispiel: https://service.ict-cloud.com/hc/de/articles/201040213-Einzelnen-Exchange-Server-manuell-aus-Active-Directory-Domäne-entfernen Reicht das und ist damit alles sauber entfernt? Danke

Ja, das funktioniert und E-Mails können an andere Domains versendet werden.

Upps? Muss ich da was an dem internen DNS einrichten oder was meinst du?

Hi Norbert (der andere), danke für den Link. Sehr übersichtlich und einfach jetzt die richtige Version ausfindig zu machen. Ja ich glaube ich habe das Problem im externen DNS gefunden. So sehen die Einträge im externen DNS aus. domain.de A domainFACTORY *.domain.de A domainFACTORY mail.domain.de A 88.155.199.99 outlook.domain.de A 88.155.199.99 remote.domain.de A 88.155.199.99 imap.domain.de CNAME domainFACTORY pop3.domain.de CNAME domainFACTORY smtp.domain.de CNAME domainFACTORY domain.de MX 100 domainFACTORY domain.de MX 10 mail.domain.de *.domain.de MX 100 domainFACTORY *.domain.de MX 10 mail.domain.de domain.de SPF v=spf1 mx a include:ispgateway.de ~all *.domain.de SPF v=spf1 mx a include:ispgateway.de ~all _autodiscover._tcp.domain.de SRV remote.domain.de Ich muss zugeben den SPF Eintrag habe ich heute erst gesetzt. domain.de SPF v=spf1 mx a include:ispgateway.de ~all *.domain.de SPF v=spf1 mx a include:ispgateway.de ~all Meinst das der Eintrag die Zustellprobleme lösen kann? Oder habe ich noch einen Eintrag vergessen?

Nabend... wir haben das Problem bei unserem Server, das vereinzelt E-Mails nicht zustellt werden. Wir bekommen dann folgende Meldung zurück. Die Zustellung an folgende Empf‰nger oder Gruppen verzˆgert sich: <email adresse gelöscht> Betreff: <gelöscht> Diese Nachricht wurde noch nicht zugestellt. Es wird weiterhin versucht, die Nachricht zuzustellen. Der Server wird noch 1 Tage, 19 Stunden und 59 Minuten versuchen, die Nachricht zuzustellen. Sie erhalten eine Benachrichtigung, falls die Nachricht bis dahin nicht ̧bermittelt werden konnte. Diagnoseinformationen f ̧r Administratoren: Generierender Server: SERVEREX.kundd.local Total retry attempts: 17 <emailadresse gelöscht> Remote Server returned '400 4.4.7 Message delayed' Urspr ̧ngliche Nachrichtenkˆpfe: Received: from SERVEREX.example.local (192.168.100.202) by SERVEREX.example.local (192.168.100.202) with Microsoft SMTP Server (TLS) id 15.0.995.29; Wed, 5 Aug 2015 09:49:32 +0200 Received: from SERVEREX.example.local ([fe80::2904:66e9:2f6d:1405]) by SERVEREX.example.local ([fe80::2904:66e9:2f6d:1405%12]) with mapi id 15.00.0995.032; Wed, 5 Aug 2015 09:49:32 +0200 From: Hans-Walter Zimmer <h.w.zimmer@absenderdomain-gmbh-hv.de> To: <emailadresse gelöscht> Subject: <gelöscht> Thread-Topic: <gelöscht> Thread-Index: AdDPUu0f+60EBtIRSDSE9eBHiWrVjQ== Date: Wed, 5 Aug 2015 07:49:31 +0000 Message-ID: <599a4d439b554c1cb6c208aaad301221@SERVEREX.example.local> Accept-Language: de-DE, en-US Content-Language: de-DE X-MS-Has-Attach: yes X-MS-TNEF-Correlator: x-originating-ip: [192.168.100.22] Content-Type: multipart/mixed; boundary=„_009_599a4d439b554c1cb6c208aaad301221SERVEREXabsenderdomainlocal_ Könnt Ihr daran sehen woran das liegen könnte? Wäre für jeden Tipp dankbar.. Es handel sich um einen Exchange 2013 CU5 gedenke ich ...

Genau weil Relgion mir ja so wichtig ist.... Nein, weil ich den Essential Server in eine vorhandene Domain einfügen wollte und das hat beim letzten mal nach dem Essential Wizzard nicht geklappt.

Danke, dir Willy. Werde das im Auge behalten, obwohl ich die Essential Role nicht deinstalliert habe. Ich habe nur den Wizzard aus dem Autostart entfernt.

Ja, danke das hatte ich bereits gefunden. Da ich aber nicht auf Windows 2012 R2 Standard Umlizensiert habe, habe ich das nicht durchgeführt. Meinst du man könnte das auch durchführen, wenn man nicht die Umlizensierung durchführt? Da man ja unter 25 Benutzer bleibt sollte da OK sein oder? :)

Ahja, OK dann weis ich bescheid.

Meinst du nicht? Ich überschreite damit doch nicht die lizensierten 25 Benutzer. Was soll daran nicht in Ordnung sein? :) Nur weil ich eine Funktion die der Essential zur Verfügung stellt nicht nutze.

Weil der Essential günstiger ist und keine extra Cals benötigt. Danke Dir... Wie kann man den den Autostart des Config Wizzard unterdrücken? Folgenden Post habe ich mit Unterstützung eines Mitglieds, welches hier nicht genannt werden möchte gefunden. :D <<< http://www.hardwareluxx.de/community/f101/windows-server-2012-essentials-r2-domain-benoetigt-985270.html Moin, du musst keine Domäne erstellen. Um dauerhaft den Essentials Launcher loszuwerden - Essentials Wizard abbrechen - "regedit" ausführen - Reg-Pfad: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" öffnen - Key "EssentialsRoleConfigWizard" löschen - Server Manager starten - "Verwalten" - "Rollen und Features entfernen" - 2x "weiter" - Hacken bei "Windows Server Essentials-Umgebung" entfernen - 2x "weiter" - "Entfernen" ...warten bis abgeschlossen... "Schließen" - Server neu starten Danach bist du den Essentials Krams los und kannst nach Belieben Dienste über den Server Manager hinzufügen und konfigurieren Gruß, ott <<<

Hi, hat alles geklappt. Ich nutze die ganzen Essential Funktionen nicht. Ich habe den Essential Config Wizzard nicht zur Einrichtung benutzt. Der Server ist ein zusätzlicher DC und der alte DC wird bald abgeschaltet. Kann ich die Essential Role deinstallieren oder den Config Wizzard unterdrücken, der kommt jedes mal wenn der Server neugestartet wird. Danke.

Hi Williy, also es ist eine sehr kleine Umgebung. 5 PCs mit 5 insgesamt 5 Nutzern. Eventuell spare ich mir dir Migration mit dem DC / AD. Mal schauen wie fit der alte 2003 SBS ist. Es ist ein neuer Kunde der seinen alten Admin verloren hat. :D WWS = Wawi Nein kein 2ter DC Ja, der DNS bekommt ein neue IP. Der neue Server ist ein 2012 R2 Essential, der stellt folgende Dienste zur Verfügung. DNS, DHCP, DC, AD, Fileserver, SQL Express, WSUS, Druckerserver RDS, Hyper-V-Host und Meda Server, :D Nein nur die erste Zeile.. :jau: Ein bisschen Spaß muss sein...

Nö, echte Hardware zum anfassen... :D Genau :)