cleveroo

hallo. sorry wegen dem fehlenden Hinweis, ich wusste nicht dass es von Bedeutung ist. Nächstes mal mache ich es rein.. So, SRV Z002 ist kein Exchange Server.... sondern nur ein DC in der Site ZZZ... Es gibt nur einen Exchange Server SRV 004 und der ist in der Site AAA wo noch 2 DCs auch als GC dabei sind. 001 und 003 PS es gibt kein policytest.exe bei 2013, ich habe es händisch über secpol.msc überprüft und an allen DCs wo es gefehlt habe, korrigert: In the results pane, double-click Manage auditing and security log. Verify that the Exchange Servers group is listed. von 4 DC-s in der Domäne, hat es in 3 gefehlt.... danach habe ich an dem Exchange-Server selber geschaut, da fehlt die Gruppe Exchange Servers auch. Muss sie hier auch rein?

Hallo, beide DCs im Standort A sind auch GSs. SRV-A01 und SRV-A03 sind DCs in Site A. Exchange Server ist SRV-A04 und ist auch in Site A. Es gibt noch Sites B,Z,H mit je einem DC , aber ohne eigene Exchange... Im EventProtokoll vom Exchange SRV-A 04 kommt regelmäßig Info-Meldung 2080 Process Microsoft.Exchange.Directory.TopologyService.exe (PID=2352). Exchange Active Directory Provider has discovered the following servers with the following characteristics: In-site: SRV-A01.domäne.com CDG (177101171) SRV-A03.domäne.com CDG (177100171) und Warning 2112 (beide MSExchange ADAccess): Process Microsoft.Exchange.Directory.TopologyService.exe (PID=3032). The Exchange computer SRV-Z02.domäne.com does not have Audit Security Privilege on the domain controller SRV-Z02.domäne.com. This domain controller will not be used by Exchange Active Directory Provider. und diese Meldungen auch für die anderen DC-s die nicht in der Site A sind. Ich weiß nicht wieso hier steht " The Exchange computer SRV-Z02.domäne.com" , der ist auf keinen Fall Exchange-Server. Exchange Server ist ein Hyper-V Server, mit Windows 2012R2 mit 18GB und 2CPUs

Hallo, ich habe bei einem Exch.Server (hier als 004 benannt) das Problem dass er sich "aufhängt" und dann versendet und empfängt er keine Mails mehr. Exchange Dienste laufen alle normal weiter. Exch.Powershell mag sich nicht verbinden mit dem Fehler, obwohl lokal an dem Exch.Server selbst ausgeführt: New.PSSession: Connecting to remote server SERVERNAME failed with the following error message: Access is denied. For more information, see the about_Remote_Troubleshooting Help topic. At line:1 char:1 .... Warning : No Exchange servers are available in the Active Directory site AAA. Connecting to an Exchange Server in another Active Directory site. ... Failed to connect to an Exchange server in the current site , bzw. Es ist eine Win2012 Domäne mit 5 DC und 3 Sites. Der EINZIGE Exchange Server ist in der Site AAA und wird dort nicht gefunden. Domäne Replikation wurde mit Active Directory Replication Status Tool überprüft, scheint alles OK zu sein. GlobalCatalog hat mindestens ein DC pro Site. Ich habe an dem ExchServer schon mal DC und GC feste eingetragen als Static, hilft aber auch nicht weiter. Einzige Abhilfe ist Reboot vom Exch.Server und zwar 2-3 mal hintereinander, bis das wieder funktioniert. Hat jemand n Tipp was ich noch schauen könnte? DANKE

Mailstore ist das richtige Schlagwort. Mehr auf PM

@ Norbert Ich denke, die zwei Server konnten sich nicht einigen über welchen Layer die miteinander reden möchten. Ich kann mir dass nur so vorstellen. Als der "alte" W2k8 Server mit Exch2010 noch TLS1.2 und TLS1.1 an hatte, lief die Kommunikation nicht richtig. Erst alls ich an beiden Seiten NUR TLS 1.0 eingeschaltet habe, dann lief alles wieder. Als Quelle dieses Problems, vermute ich nicht existieren von TLS 1.1 und TLS 1.2 in einer original W2K8 Installation. Diese 2 Standards habe ich irgendwann händisch und nachträglich an dem Server über Registry eingeschaltet (damals als Poodle-Attacke aktuelle war). Und ich glaube, nur "Key in Reg eintragen" war einfach nicht genug um eine fehlerfreie Funktion diesen Layers zu ermöglichen. Ich kann mir dann auch so vorstellen, dass dies eigentlich nachträglich in einem oder anderem Windows-Update gepacht wurde, da aber in meiner Installation diese Keys schon vorhanden waren, wurde das schlicht "übersprungen".... Das alleine ist meine Vermutung..... Aber in der Tatsache liegt bei mir NUR damit zusammen. Danke trotzdem, IIS Crypto war ne Entdeckung!

So, das Problem gelöst. In Zwischenzeit habe ich auf dem Exch2010 neuestes RU11 aufgespielt, dies war aber nicht die Lösung. MailFlow Exch2013->Exch2010 läuft erst seit dem ich an den beiden Servern ausschließlich TLS 1.0 aktiviert habe ( über IIS Crypto ) Erst dann haben sie sich "gefunden" und die MailFlow läuft jetzt in alle Richtungen einwandfrei! @Norbert BestPractice hat nicht geholfen, da waren die Einstellungen zu unterschiedlich (W2k8 und W2k12) und es hat einfach nicht gepasst. Hier habe ich auch ein Workaround im Netz gefunden, wonach man die Reihenfolge von Hash-Chips über Policies bestimmen könnte... Dies habe ich aber weiter nicht verfolgt, da die Lösung mit TLS1.0 ONLY geklappt hat. Ja, das ist nur vorübergehende Lösung, so lange ich nicht mit der Migration fertig bin. Dann wird Exch2010 eh abgeschaltet. Danke an alle!!!

IIS Crypto habe ich installiert und auf beiden Servern mit gleichen Einstellungen durchgeführt und neugestartet. Aktiviert sind jetzt: SSL3, TLS 1.0, TLS 1.1, TLS 1.2 (SSL3 werde ich später wieder ausschalten, da Sicherheitsrisiko) Alle andere Einstellungen (Ciphers, Hashes, Key...) sind ebenso an beiden Servern AN! (alle) So, Mailflow Exch 2013 (Win2012) -> Exch 2010 (Win2008) geht immer noch nicht. Neu ist allerdings ein Fehler im System Windows-Protokoll am Ziel-Server (Exch 2010 (Win2008)) Ereignis 36874, Schannel Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, vom Server unterstützt. Fehler bei der SSL-Verbindungsanforderung. gefolgt von: Ereignis 36888, Schannel Es wurde eine schwerwiegende Warnung generiert: 40. Der interne Fehlerstatus lautet:1205 Mailflow Exch 2010 (Win2008) -> Exch 2013 (Win2012) funktioniert wie gehabt! Es scheint so, dass der Exch2010 Win2008 , Probleme hat, TLS1.2 aufzubauen, und der Exch2013 Win2012 besteht darauf und kommt dann aber nicht mehr durch. Richtig? Hat jemand Ahnung wie könnte man das umgehen/fixen? PS, Danke für IIS Crypto, super Tool! :)

@NorbertFe in der Tat habe ich vor einem Jahr an dem Exch2010 Server SSL2 und SSL3 ausgeschaltet und RegKeys für TLS 1.1 und TLS 1.2 eintragen lassen (da diese nicht im Registry von Win2k8R2 vorhanden waren. Das war damals die Reaktion auf die Poodle-Attacke: Was ich nocht nicht gesagt habe, an dem neuen Exch2013 habe ich gleich nach der Exchange-Installation ein internes SSL-Zertifikat importiert (bestätigt von unserer internen CA) und für SMTP und IIS -Dienste aktiviert. Danach war MailFlow zwischen eigenen 2 Testpostfächer an dem neuen Exc2013 nicht mehr möglich. Genauso kein MailFlow von Exch2010->Exch2013. Als ich das gesehen habe, habe dieses ZErt entfernt und das Standard-Zert. wieder den diensten SMTP und IIS zugeordnet. Danach ging wieder interner Traffic und Exch2010->Exch2013..... Mailflow Exch2013->Exch2010 weiterhin nicht... Heute habe ich dieses Standard-Zert wieder mit einem selbstsignierten von Exch2013 ausgetauscht, leider keine Besserung..... +++++++++++++++++++ wie kann ich allgemein testen, ob die SSL-Kommunikation zwischen diesen 2 Servern in Ordnung wäre? PS Exch2010 ist SP3 , RU9 , Enterprise, Deutsch

Danke Dirk, dies alles habe ich schon gemacht.... Das Problem besteht weiterhin: TLS negotiation failed with error AlgorithmMismatch Ich werde wahrschl. den Exchange2013 neu aufsetzen müssen (ich probiere mein Glück mit ENGL-Version, ohne CUs). Falls euch noch zu dem Fehler etwas einfällt, gerne!

Hallo Freunde, in der bestehenden Domäne W2k8R2 mit Exch 2010 SP3 habe ich einen weiteren W2k12R2 Exch 2013 Server installiert. (RU9) (Alle Prerequisites wurde auch installiert) Mailpostfächer befinden sich (noch) am Exch2010, allerdings habe ich zwei Postfächer auf Exch2013 zum Testen angelegt. Diese zwei Postfächer können sich gegenseitig Mails verschicken/empfangen. Exch2010 funktioniert normal, kann intern und nach extern E-Mails verschicken auch zu den zwei Testpostfächer am Exch 2013. Das funktioniert aber nicht umgekehrt. Der neue Exch2013 kann keine Mails an den Exch2010 versenden. Diese bleiben in seinem Queue hängen mit folgender Fehlermeldung: Wenn ich die Mails die in der Warteschlange hängen anschaue, die hängen am Default Empfangconnector von dem Exch2013 (Default Exch2013 - HubTransport). Dieser wurde nicht von mir geändert, hat Standardeinstellungen wie z.B. TLS,Standardauth,Integrierte Win-Auth, Exchange-Serverauth und folgende Berechtigungen: Exch-Server, Legacy-Exch-Server, Exch-Benutzer.... Genau die selbe Einstellungen hat auch der Empfangsconnector am Exch2010 (Default Exch2010). Wieso läuft die Mail-Flow von Exch2013 zu Exch2010 nicht? Was habe ich vergessen? Danke ++++++ NEU +++++++ Ich habe vorübergehend einen AnonymenRelay am Exch2010 ausgeschaltet (hat auch die IP von dem neuen Exch2013 abgedeckt) und einen separaten Empfangsconnector nur für Exch2013 erstellt (Mit Exch-Auth und Exch-Server) Die Mails bleiben weiterhin im Queue vom Exch2013 hängen, aber die Fehlermeldung hat sich geändert: Im SMTP-Protokoll vom neuen Receive-Connector bekomme ich folgenden Fehler: TLS negotiation failde with error AlgorithmMismatch

Hallo Leute, Benutzerpostfächer sollten von einem Exchange 2007( @maildomainA.de) mittels PST auf einen anderen Exchange 2010 (@maildomainB.de) importieren werden. Die Server stehen in versch. Domänen, versch. Standorte, die sehen sich netzwerktechnisch nicht gegenseitig. So gesehen ist das keine reine Migration, sondern mehr Postfach-Übernahme. Ich hätte mir so etwas überlegt: 2007: Export-Mailbox (da in 2007 noch kein New-MailboxExportRequest gibt ?) 2007: PST auf ne Freigabe/Netzlaufwerk kopieren 2010: Akzeptierte Domäne maildomainA.de als Interne Relay Domäne anlegen 2010: Leeres Postfach für den importierten User erstellen 2010: New-MailboxImportRequest von der PST auf der Freigabe/Netzlaufwerk Für jede Mailbox wiederholen... So, jetzt meine Frage(n): 1. Ist das überhaupt möglich? PST vom 2007 direkt in 2010 zu importieren? 2. Wäre auch möglich die ganze 2007-Postfach-DB "exportieren" und in 2010 mounten und importieren? Vermute nicht... Vielen Dank für Euere Unterstützung!!

Die Admins werden auch nicht von außen erreichbar sein. Ich habe natürlich Admin-Account benutzt um Exchange aufzusetzen und dann auch auf Funktionalität zu prüfen. Das dies nicht mit dem Admin-Account ohne weiteres geht ist mir aber erst jetzt klar. Und wieso so ist, erst recht. Der Admin-Account benutze ich nur für die Installation (fremdes Systeme) und dieser wird nach der Installation ausgeschaltet. Kann man Thema irgendwie als [gelöst] markieren, so wie bei den anderen Foren?

hallo, anbei die Lösung: Die Benutzer mit den ich ActiveSync getestet habe war alle samt in der Administratoren Gruppe in Active Directory. Diese Benutzer haben als standard "automatische Vererbung" deaktiviert. Deswegen konnten sie nicht alle Anforderungen die ActiveSync braucht erfüllen. Workaround : in ActiveDirectory bei diesen Benutzern "automatische Vererbung" weider einschalten (unter Sicherheit->Erweitert). Seit dem tuts. Bei den Benutzer die keine Admins waren, hat ActiveSync sofort funktioniert. Das Blöde ist, das man zuerst alles mit einem Admin-Benutzer anlegt und gleich testen möchte.....

hallo, wie meinst Du Vertrauenstellung mit dem Exchange? Ich habe das Commodo-Zertifikat am Exchange importiert (durch Exchange) und Intermediate-Zertifikate über MMC und das Zertifikat (und Zertifikatpfad) wird richtig aufgelöst. Wo kann ich das noch nachschauen? Kannst du mir näher erklären?

Hallo, ich habe einen Exchange 2013 -Server eingerichtet, der über OWA, ActiveSync und Outlook Anywhere von "außen" erreichbar sein sollte. (Es ist nicht mein erster Exchange-Server, ich habe es schon Paar mal gemacht :-) ) Als, ReverseProxy dient ein Sophos-Dients an der Firewall, die Subdomänen sind richtig am externen Nameserver eingepflegt, SSL-Zertifikat wurde bei Comodo bestellt (UCC-Exchange Zert) und richtig im Exchange und an der Firewall eingepflegt. Kommunikation über OWA und Outlook Anywhere funktioniert reibungslos, ohne jegleiche SSL- und/oder Verbindgungsfehler. Autodiscover funktioniert auch prima. "Nur" das ActiveSync funktioniert nicht!!! ActiveSync geht über gleiche URL wie OWA (webmail.firma.de) , nur die Endung ist anders (OWA-> webmail.firma.de/owa , ActiveSync -> webmail.firma.de/Microsoft-Server-ActiveSync) Ich kann das Konto (Postfach) sogar am mobilen Gerät einrichten (egal ob iPhone, Android etz.) , das Konto wird als eingerichtet gezeigt, meldet danach aber Verbindungsfehler und holt keine Mails ab. Ein Connectivity-Test von aussen über https://testconnectivity.microsoft.com/ verläuft positiv. Wenn ich aber direkt am Exchange Server in der Konsole mit test-activesyncconnectivity teste, bekomme ich einen Fehler zurück: [system.Net.WebException]: Die zugrunde liegende Verbindung wurde geschlossen: Für den geschützten SSL/TLS-Kanel konnte keine Vertrauensstellung hergestellt werden.. Interner Fehler [system.Security.Authentication.AuthenticationException]: Das Remotezertifikat ist laut Validierungsverfahren ungültig. Authentifizierung ist am virtuellen Verzeichniss Microsoft-Server-ActiveSync auf Standard gesetzt und Clientzert. auf ignorieren. (Die selbe Einstellung habe ich an einem anderen Exch-Server und dort funktionierts problemlos) Ich verstehe die Welt nicht mehr... Kann mir jemand bitte helfen? Die Richtung vorschlagen?