Jump to content
john23

Office365 Hybrid von Orga zu Office365

Recommended Posts

Hallo Leute,

 

ich versuche mit einem aktuellen Exchange 2016 eine TLS Verbindung mit einem Office365 Connector hin zu bekommen.  Es gibt noch ein paar Systeme die über den lokalen Exchange anonym / mit anmeldung relayen.

Bei dem Zertifikat auf dem lokalen Exchange handelt es sich um ein Wildcard Zertifikat.

 

Im Office365 connector habe ich es mit *.domain.com / mail.domain.com oder webmail.domain.com versucht oder auch mit <I>CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc,C=US<S>CN=*.domain.com ( was nicht angenommen wird).

 

Set-SendConnector -Identity “Outbound” -TlsDomain “*.domain.com” -TlsCertificateName $tlscertname -TlsAuthLevel “DomainValidation” -RequireTLS $true

 

Klappt alles nicht - was mache ich falsch oder übersehe ich?

 

Im SMTP Log sehe ich folgendes bei TLS level Doman Validation:

Outbound TLS authentication failed for auth level DomainValidation with error SubjectMismatch
Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false.

 

Wenn ich TLS runterstelle auf Certifcate Validation dann kommt folgendes:

Outbound TLS authentication failed for auth level CertificateValidation with error UntrustedRoot
Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false.

 

Momentan ist TLS aus und der Office365 Connector funktioniert über Authehtifizierung über IP Adresse - soll aber am besten nicht so bleiben.

 

John

 

 

Share this post


Link to post
Share on other sites

Hi,

Am 14.11.2019 um 15:54 schrieb john23:

Outbound TLS authentication failed for auth level CertificateValidation with error UntrustedRoot

ggfs: https://www.digicert.com/replace-your-symantec-ssl-tls-certificates-de/?

Eine Alternative wäre einen neuen CSR zu erstellen und z.B. bei PSW ggfs. ein 30 Tage Test-Zeertifikat zu beantragen und erneut zu testen. Ggfs. auch Let's Encrypt oder direkt ein Zertifikat kaufen.

 

Gruß

Jan

Share this post


Link to post
Share on other sites

Das ist ein recht neues Zertifikat und ich weiß, dass es einige gab die Gesperrt erneuert wurden. Wir haben die bei mehreren Kunden erneuert.

 

Hatte das Problem mitlerweile auch bei einer zweiten Office365 Hybrid Bereitstellung, bin nicht sicher ob mit den genau selben Meldungen, doch mit TLS habe ich keine Verbindung zwischen den Servern hinbekommen.

 

Ich Prüfe das gleich nochmal.

Share this post


Link to post
Share on other sites

https://support.microsoft.com/en-us/help/2888788/mail-flow-to-exchange-online-stops-and-event-id-2004-is-logged-on-the

 

Glaube das Problem ist, dass da zwei Zertifikat auf dem SMPT Dienst sind. Da inst noch ein Federation Zertifikat auf dem SMTP Dienst aktiviert.

 

Via Powershell kann ich den Dienst nicht anpassen - bin auch nicht sicher, ob das Federation Zertifikat (für Offie365 Hybrid) zwingend den SMTP Dienst aktiv haben muss. Bin da auch noch auf der Suche nach Infos.

Zitat

Verbundzertifikate können nur über die FederationTrust-Tasks verwaltet werden.

Es wird auf jeden Fall ein richtiges Zertifikat mit gesendet aber hilft alles nix..  Muss auf das neue Zertifikat warten.

 

Outbound TLS authentication failed for auth level DomainValidation with error UntrustedRoot

Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false.

 

 

https://docs.microsoft.com/en-us/security/trusted-root/participants-list

 

Habe mir das Root Zertifikat nochmal angeschaut und den Thumbprint mit der Excel Liste von MS verglichen - taucht nicht unter den Trusted roots in der Liste auf.

Edited by john23

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...