Bobby42

Hallo Leute, im Rahmen unserer Migration von Exchange 2010 auf Exchange 2016 (beide Server - Windows und Exchange - sind komplett durchgepatcht) stehe ich gerade von einem interessanten Problem: Wir haben Connectoren mit der Berechtigung "ms-exch-accept-any-sender" für Authentifizierte Benutzer. Zusätzlich haben die spezielle Exchange-Postfacher für die Anmeldung (Hintergrunde: Wir haben Oracle Anwendungen, die müssen den Absender einer Mail anpassen). In Exchange 2010 ist das kein Thema: Neuer Connector, Remote IP, danach mit Add-AdPermissions "ms-exch-accept-any-sender" auf Authentifizierte Benutzer. Funktioniert problemlos. Bei Exchange 2016 habe ich Frontend Connectoren eingerichtet, mit identischen Einstellung. Ich habe hierfür extra ein Powershell Script geschrieben, dass die Einstellungen eines Connectors der alten Welt mit dem der neuen Welt vergleicht und mir die Unterschiede zeigt. Connector Einstellungen und AD-Berechigungen sind daher identisch. Die Frontend-Connector funktioniert auch problemlos, aber der Hubtransport-Connector meldet einen Fehler "Client does not have permissions to send as this sender". Hier sind die beiden Logs. Zuerst der Frontend-Connector (Port 25, EX1, Name "Oracle DB"): In den hervorgehobenen Zeilen sieht man, dass der User "TESTUSER" angemeldet ist und für die SMTP-Session "SMTPAcceptAnySender" gsetzt wurde. Das entspricht den Berechtigungen des Connectors. Danach wird die Verbindung an den Hubtransport-Connector als Proxy weitergegeben (und ja, das fehlende Leerzeichen bei "Proxy session was successfully set up. Session forDOM/TESTUSER will now be proxied" ist da auch im Original nicht). Hier ist dann das Log des zweiten Connectors auf Port 2525: In der ersten markierten Zeilen sieht man, dass ExchangeServerAuthentication durchgeführt wurde und Exchange-Server in der Session alle möglichen Berechtigungen haben (zweite markierte Zeile). Danach findet aber eine weitere Authentifikation statt, mit dem Computernamen. Und nun fehlen plötzlcih einige Session Berechtigungen, u.a. die SMTPAcceptAnySender. Folglich gibt es am dann den Fehler "Client does not have permissions to send as this sender". Ich habe die Einstellungen mit zwei anderen Umgebungen verglichen, sie sind in allen wichtigen Dingen identisch. Oder ich habe die richtige Einstellung noch nicht gefunden. Alle Server sind Mitglieder in der entsprechenden AD-Gruppe. Nutz ich "anonyme Benutzer" mit "accept-any-sender" gibt es keine Probleme. Insgesamt handelt es sich um drei Exchange-Server 2016, aber alle mit den identischen Einstellungen und daher auch mit identischem Fehler. Das einzige, was sich hier unterscheidet, ist der Proxy-User in der zweiten Verbindung. Wird als Proxy der eigene Server angesprochen, dann wird der User "LOCAL SYSTEM" benutzt. Ist der Proxy remote, dann das Computerkonto des sendenden Exchange. Das Ergebnis ist aber das gleiche. Hat da jemand eine Idee, wonach ich noch suchen kann? Über jeden Tipp wäre ich dankbar.

Nach dem Mail-Update des WSUS sind noch ein paar Schritte manuell auszuführen. Frag nicht, warum das Update das nicht mitmacht oder wenigsten deutlich warnt, dass da noch was zu tun ist: https://support.microsoft.com/en-us/kb/3159706

Für diese Info bin ich doch mal richtig dankbar. Ich konnte das hier auf drei Servern nachvollziehen. Mal schauen, ob das noch an anderen Stellen auftaucht.