Exchange secure TLS connection could not be established

Hi,

unser SCOM meldete ein Problem auf unserem Exchange Server, ein Send-Connector hatte Problem beim Empfang von Emails mit der TLS Verbindung. Der Exchange Server (2010 SP3 UR1) hatte dann auch diverse Eventlog Einträge:

A secure connection to domain-secured domain ‚kundendomain.de‘ on connector ‚Internet Mail SMTP (EX2010-1)‘ could not be established because the validation of the Transport Layer Security (TLS) certificate for kundendomain.de failed with status ‚UntrustedRoot. Contact the administrator of kundedomain.de to resolve the problem, or remove the domain from the domain-secured list.

Der Fehler lies sich auf im SMTP-Recieve Log genauer nachvollziehen:

2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,15,10.1.2.3:25,123.456.789.10:13322,>,220 2.0.0 SMTP server ready,
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,16,10.1.2.3:25,123.456.789.10:13322,*,,Sending certificate
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,17,10.1.2.3:25,123.456.789.10:13322,*,“CN=mail.WIRdomain.de, OU=IT, O=WIR GmbH, L=Stadt, S=““““, C=DE, SERIALNUMBER=9jdU6QQyv3BEg/AadaIO/pbD2ZT4gtdw“,Certificate subject
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,18,10.1.2.3:25,123.456.789.10:13322,*,“CN=GeoTrust SSL CA, O=““GeoTrust, Inc.““, C=US“,Certificate issuer name
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,19,10.1.2.3:25,123.456.789.10:13322,*,01332C,Certificate serial number
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,20,10.1.2.3:25,123.456.789.10:13322,*,306306CD1B566DF1663165FCE9C3897B9BCEB89D7AA,Certificate thumbprint
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,21,10.1.2.3:25,123.456.789.10:13322,*,mail.WIRdomain.de;autodiscover.WIRdomain.de;smtp.WIRdomain.de,Certificate alternate names
2013-07-02T00:00:13.310Z,ex2010-1\SMTP,08D03639B8BBE13F,22,10.1.2.3:25,123.456.789.10:13322,*,,Received certificate
2013-07-02T00:00:13.310Z,ex2010-1\SMTP,08D03639B8BBE13F,23,10.1.2.3:25,123.456.789.10:13322,*,C025E0C35B3B93DEE21CC2E9477AF4E56047BD0C,Certificate thumbprint
2013-07-02T00:00:13.310Z,ex2010-1\SMTP,08D03639B8BBE13F,24,10.1.2.3:25,123.456.789.10:13322,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,25,10.1.2.3:25,123.456.789.10:13322,<,EHLO smtp.kundendomain.de,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,26,10.1.2.3:25,123.456.789.10:13322,*,,TlsDomainCapabilities=’None‘; Status=’Success‘; Domain=“
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,27,10.1.2.3:25,123.456.789.10:13322,>,250-smtp.WIRdomain.de Hello [123.456.789.10],
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,28,10.1.2.3:25,123.456.789.10:13322,>,250-SIZE 51445760,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,29,10.1.2.3:25,123.456.789.10:13322,>,250-PIPELINING,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,30,10.1.2.3:25,123.456.789.10:13322,>,250-DSN,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,31,10.1.2.3:25,123.456.789.10:13322,>,250-ENHANCEDSTATUSCODES,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,32,10.1.2.3:25,123.456.789.10:13322,>,250-AUTH,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,33,10.1.2.3:25,123.456.789.10:13322,>,250-8BITMIME,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,34,10.1.2.3:25,123.456.789.10:13322,>,250-BINARYMIME,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,35,10.1.2.3:25,123.456.789.10:13322,>,250 CHUNKING,
2013-07-02T00:00:13.357Z,ex2010-1\SMTP,08D03639B8BBE13F,36,10.1.2.3:25,123.456.789.10:13322,<,MAIL FROM:<vorname.nachname@kundendomain.de> SIZE=16517,
2013-07-02T00:00:13.357Z,ex2010-1\SMTP,08D03639B8BBE13F,37,10.1.2.3:25,123.456.789.10:13322,*,,Client certificate chain validation status: ‚UntrustedRoot‘
2013-07-02T00:00:13.357Z,ex2010-1\SMTP,08D03639B8BBE13F,38,10.1.2.3:25,123.456.789.10:13322,*,Tarpit for ‚0.00:00:05‘,
2013-07-02T00:00:18.371Z,ex2010-1\SMTP,08D03639B8BBE13F,39,10.1.2.3:25,123.456.789.10:13322,>,454 4.7.5 Certificate validation failure,
2013-07-02T00:00:18.371Z,ex2010-1\SMTP,08D03639B8BBE13F,40,10.1.2.3:25,123.456.789.10:13322,<,RCPT TO:<vnachname@WIRdomain.de>,
2013-07-02T00:00:18.371Z,ex2010-1\SMTP,08D03639B8BBE13F,41,10.1.2.3:25,123.456.789.10:13322,*,Tarpit for ‚0.00:00:05‘,
2013-07-02T00:00:23.385Z,ex2010-1\SMTP,08D03639B8BBE13F,42,10.1.2.3:25,123.456.789.10:13322,>,503 5.5.2 Need mail command,
2013-07-02T00:00:23.385Z,ex2010-1\SMTP,08D03639B8BBE13F,43,10.1.2.3:25,123.456.789.10:13322,<,QUIT,
2013-07-02T00:00:23.385Z,ex2010-1\SMTP,08D03639B8BBE13F,44,10.1.2.3:25,123.456.789.10:13322,>,221 2.0.0 Service closing transmission channel,

Das Problem war, dass der Kunde sein Internes SAN-Zertifikat zusätzlich auch am SMTP Service zugewiesen hatte. Dadurch wurde dieses interne Zertifikat von seiner internen ROOT CA als Authentifizierung, per TLS gegenüber unserem Exchange benutzt.

exchange-certs
exchange-certs

LÖSUNG: Da wir aber dem internen ROOT CA Cert seiner CA nicht vertrauen funktionierte der Mailversand bei Ihm und Empfang über unseren Recieve-Connector nicht mehr. Da aber ein öffentliches SAN-Zertifikat vorhanden ist und auch an dem SMTP-Service hängt wurde das interne SAN-Zertifikat vom SMTP-Service entfernt.

Somit funktionierte auch der E-Mail Versand zwischen dem Kunden und uns wieder mit TLS Verschlüsselung zwischen den Exchange Servern.

Na dann, Viel Spass beim selber Testen!
CU

Advertisements

Exchange 2013 Migration erst im Q2 möglich, CU1 noch nicht fertig

Hi,

das Microsoft Exchange-Team hat auf seinem Blog verkündet, dass das “Cumulative Update 1” für Exchange Server 2013 nicht mehr im 1. Quartal 2013 veröffentlichen wird. Der Release für das EX2013 CU1 auf den Anfang Q2 2013, also den 2. April verschoben.

http://blogs.technet.com/b/exchange/archive/2013/03/25/exchange-2013-rtm-cu1-status.aspx

Das EX2013 CU1 ist notwendig, um von Exchange Server 2010 SP3 (!) auf EX2013 migrieren zu können. Es gibt wohl anscheinend genau dort noch technische Probleme.

Na dann, Viel Spass beim selber Testen!
CU

Ferrari Officemaster Gate und Exchange 2010 Fax Voicemail Problem UnAuthenticatedPilotNumber

Hi,

wir hatten in den letzten Tagen ein Problem mit unserem Ferrari Officemaster Gate. Ich konnte meine Voicemailbox auf unserem Exchange Server 2010 (SP2 + RU5v2) nicht mehr erreichen und auch kein Fax mehr erhalten.

Im UM-Log des Exchange 2010 Server war diese Meldung zu sehen:

03/07/2013 14:53:39,UnAuthenticatedPilotNumber,sip_isdn-92-1362668017,,EX2010Server,028f34d8-ce6a-4f26-b29d-97440bf53de7,Dialplan-Standort,3,omg.domain.local,59c2b0fff5df4103b5a3fee3fe85128a,125@10.10.10.102,+491721234567,Answer,None,DivertNoAnswer,,,mmustermann,,,

Grund war, dass das OMG eine andere EUM Adresse auf dem Exchange anwählt: 125@10.10.10.102 statt 125@ex2010server.domain.local

Darum habe ich jetzt bei jedem Benutzer, der eine UM-Mailbox aktiv hat auch die 1XX@10.10.10.102 als EUM Adresse eingetragen.

OMG-EUM-Adresse-EX2010
OMG-EUM-Adresse-EX2010

Na dann, Viel Spass beim selber Testen!
CU

Exchange 2010 Service Pack 3 verfügbar

Hi,

gestern Nacht wurde von Microsoft auch das Exchange 2010 SP3 online gestellt:

http://support.microsoft.com/kb/2808208

http://www.microsoft.com/en-us/download/details.aspx?id=36768

Highlights/Feature:

  • Coexistence with Exchange 2013: You can now install Exchange Server 2013 in your existing Exchange Server 2010 organization. To do this, install Exchange Server 2013 Cumulative Update 1 (CU1). You cannot install Exchange Server 2013 in your existing Exchange Server 2010 organization by using Exchange Server 2013 RTM installation media. Note: Exchange Server 2013 CU1 is also an installation medium for Exchange Server 2013.
  • Support for Windows Server 2012: You can now install and deploy Exchange Server 2010 on computers that are running Windows Server 2012.
  • Support for Internet  Explorer 10: You can now use Internet Explorer 10 to connect to Exchange 2010.
  • Customer Requested Fixes: Exchange Server 2010 SP3 contains all the fixes that are contained in update rollups that were released before SP3. For more information      about the release schedules of Exchange 2010 updates, see Exchange 2010      Servicing.

Fixes:

2552121 You cannot synchronize a mailbox by using an Exchange ActiveSync device in an Exchange Server 2010 environment
2729444 Mailboxes are quarantined after you install the Exchange Server 2010 SP2 version of the Exchange Server 2010 Management Pack
2778100 Long delay in receiving email messages by using Outlook in an Exchange Server 2010 environment
2779351 SCOM alert when the Test-PowerShellConnectivity cmdlet is executed in an Exchange Server 2010 organization
2784569 Slow performance when you search a GAL by using an EAS device in an Exchange Server 2010 environment
2796950 Microsoft.Exchange.Monitoring.exe process consumes excessive CPU resources when a SCOM server monitors Exchange Server 2010 Client Access servers
2800133 Application pools consume excessive CPU and memory resources on an Exchange Client Access server after you apply the Update Rollup 5 version 2 for Exchange Server 2010 SP2
2800346 Outlook freezes and high network load occurs when you apply retention policies to a mailbox in a mixed Exchange Server 2010 SP2 environment
2810617 You cannot install Exchange Server 2010 SP3 when you define a Windows PowerShell script execution policy in Group Policy
2787500 Declined meeting request is added back to your calendar after a delegate opens the request by using Outlook 2010
2797529 Email message delivery is delayed on a Blackberry mobile device after you install Update Rollup 4 for Exchange Server 2010 SP2
2800080 ErrorServerBusy response code when you synchronize an EWS-based application to a mailbox in an Exchange Server 2010 Environment

Na dann, Viel Spass beim selber Testen!
CU

Exchange 2010 SP2 Update Rollup 6 verfügbar

Hi,

seit gestern Abend ist auch das Exchange 2010 SP2 RU6 verfügbar:

http://www.microsoft.com/en-us/download/details.aspx?id=36716

http://support.microsoft.com/?kbid=2746164

 

Achtung, es wird direkt auch wieder per Windows Update angeboten, das Update Rollup 6 muss also im WSUS oder dem Exchange Server selbst geblockt werden!

ex2010-sp2-ru6-wu
ex2010-sp2-ru6-wu

 

Na dann, Viel Spass beim selber Testen!
CU

Exchange 2010 SP2 Update Rollup 5 v2 verfügbar

Hi,

nach den Bugs im Exchange 2010 SP2 Update Rollup 5 hat Microsoft jetzt die v2 des Rollup 5 frei gegeben.

Released: Update Rollup 5 v2 for Exchange 2010 SP2, Exchange 2010 SP1 RU8 and Exchange 2007 SP3 RU9

Update Rollup 5-v2 for Exchange Server 2010 Service Pack 2

Na dann, Viel Spass beim selber Testen!
CU

Windows Phone 8 keine Wiedergabe von WMA Voicemails möglich

Hi,

ich wollte heute mit meinem neuen HTC 8X eine Voicemail direkt am Handy abhören. Diese wird ja als Anhang in einer Mail mitgeschickt.

Der Aufruf der Voicemail schlug aber fehl, weil das WP8 keine WMA Dateien abspielt:

wp8-fehler-voicemail-wma
wp8-fehler-voicemail-wma

Also habe ich am Exchange 2010 das Format der Voicemails von WMA auf MP3, im Dialplan der Organisation umgestellt:

Exchange2010-Dialplan-mp3
Exchange2010-Dialplan-mp3

Diese Voicemails können dann auch direkt am WP8 Gerät wieder gegeben werden.

Na dann, Viel Spass beim selber Testen!
CU