xGismo 10 Geschrieben 29. September 2010 Melden Geschrieben 29. September 2010 Hallo, ich hoffe jemand hat einen Rat für mich. Weil mein externer Dienstleister mich schon seit längere Zeit in Stich lässt. Mir aber langsam dieser Fehler im Log echt auf den Nerv geht und es auf Dauer bestimmt nicht gut ist. ;) TLS ist nicht aktiviert. Aber folgender Fehler erscheint troztdem. MSExchangeTransport // EventID 12014 Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen "xxx" im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "yyy" mit einem FQDN-Parameter von "xxx" nicht unterstützt werden. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann. Dieser Fehler kam direkt nach der Installation bzw. Einrichtung. Dann hat mein extener ein neues einfachs besorgt und dieses installiert. Fehlermeldung blieb. Weitere Hilfe auch. ;) Alle 15 Minuten steht dies im Log. Nachts eher Stündlich und weniger. Habe schon einiges im Netz gefunden, aber entweder hat es nicht geklappt oder ich habe es falsch verstanden. Vielleicht kennt ja jemand das Problem. Wir haben keine Externen User (Nur über VPN die dann direkt local auf den Exchange zugreifen) die direkt auf den Exchange zugreifen. Vielen Dank für Eure Mühe. Viele Grüße Gismo Zitieren
NorbertFe 2.175 Geschrieben 29. September 2010 Melden Geschrieben 29. September 2010 Und was stört dich daran? ;) StartTLS benutzen sowieso die wenigsten. Wenn du jetzt ein passendes Zertifikat hast (die wichtigen Parameter hast du ja ausge-xxxt), dann aktiviere es per Powershell für den SMTP Service (in Exchange 2010 kannst du es auch in der EMC aktivieren). Bye Norbert Zitieren
xGismo 10 Geschrieben 29. September 2010 Autor Melden Geschrieben 29. September 2010 (bearbeitet) xxx ist unsere Domäne bzw. die Adresse für den MailServer email.usw. und yyy war natürlich nicht nötig, ist einfach "Internet" der Sendeconnector. :) In der Powershell ist es aktiviert, bzw. sollte der Dienstleister gemacht haben. Konnte es per Remote nur halb verfolgen. In der EMC ist es auch zu aktiveren, suche ich mal. edit: Soweit so gut. Leider steht nun in der EMC neben der email Zertifikat - Der Zertikatstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung keinen Erfolg hatte bearbeitet 29. September 2010 von xGismo Zitieren
NorbertFe 2.175 Geschrieben 29. September 2010 Melden Geschrieben 29. September 2010 Na was das wohl bedeuten könnte. ;) ohne gültiges Zertifikat bleibt halt die Fehlermeldung. Von wem wurde das Zertifikat denn ausgestellt? Ist das ein gekauftes? Bye Norbert Zitieren
xGismo 10 Geschrieben 1. Oktober 2010 Autor Melden Geschrieben 1. Oktober 2010 Mir ist das doch klar, warum diese Fehlermeldung kommt. Nur irgendwie bekomme ich es nicht richtig aktiviert. Der Ext. Dienstleister hat es für uns ausgestellt. CA01. Also kein gekauftes. Nur leider war er ein wenig unfähig dies auch richtig einzubinden. Die letzte Aussage war dann, es müßte so eigentlich laufen... Zitieren
NorbertFe 2.175 Geschrieben 1. Oktober 2010 Melden Geschrieben 1. Oktober 2010 ok nochmal von vorn. ;) Du nutzt also ein internes selbstsigniertes Exchangezertifikat, oder? Falls ja, dann ist es doch ein leichtes per Powershell einfach ein neues auszustellen, welches alle die Namen (SAN als Stichwort) enthält, die dein Server hat. Also FQDN intern, Netbios Name und FQDN extern. So schwer ist das nicht. ;) Leider kannst du dafür nicht den Wizard benutzen um das zu erstellen, weil der immer ein -generaterequest mit einbaut. Aber die Zeile kannst du dir kopieren und das dann ohne den Request in Powershell erstellen. Danach dann nur noch das neue Zertifikat aktivieren und alles ist gut. Bye Norbert Zitieren
xGismo 10 Geschrieben 8. Oktober 2010 Autor Melden Geschrieben 8. Oktober 2010 Vielen Dank noch mal für deine Mühe. Das Zertifikat hat der Dienstleister mitgebracht, weil wir keinen Zertifizierungsserver in unserer Domäne haben. Wir erstelle ich also am Praktischen eins? ;) Zitieren
RobertWi 81 Geschrieben 10. Oktober 2010 Melden Geschrieben 10. Oktober 2010 Zertifikat in Ex 2010 erstellen Zitieren
xGismo 10 Geschrieben 13. Oktober 2010 Autor Melden Geschrieben 13. Oktober 2010 "interne CA" Hab ich doch (PKI) keinen. :) "Leider kannst du dafür nicht den Wizard benutzen um das zu erstellen" Hat der Norbert geschrieben. Deswegen komme ich mit deiner Anleitung nicht weit. Zitieren
NorbertFe 2.175 Geschrieben 13. Oktober 2010 Melden Geschrieben 13. Oktober 2010 Der Norbert hat aber auch geschrieben: Aber die Zeile kannst du dir kopieren und das dann ohne den Request in Powershell erstellen. Danach dann nur noch das neue Zertifikat aktivieren und alles ist gut. Bye Norbert Zitieren
RobertWi 81 Geschrieben 13. Oktober 2010 Melden Geschrieben 13. Oktober 2010 Wenn Du meine Anleitung (= das ist der Wizard drin) und Norberts Information "kopiere die richtige Zeile und führe sie in der Shell aus" geschickt kombinierst, ist das die Lösung. "interne CA" Hab ich doch (PKI) keinen. :) "Leider kannst du dafür nicht den Wizard benutzen um das zu erstellen" Hat der Norbert geschrieben. Deswegen komme ich mit deiner Anleitung nicht weit. Dann installiere eine PKI. Dauert fünf Minuten... Zitieren
xGismo 10 Geschrieben 15. Oktober 2010 Autor Melden Geschrieben 15. Oktober 2010 Noch eine letzte Frage (Hoffe ich) und danke noch mal für die Mühen. Wäre das möglich das ich PKI auf den Exchange Server installiere? Oder sollte man dies nicht tun. Alle anderen Server werden in den nächsten Wochen von 2003R2 auf 2008R2 umgerüstet. So wäre immerhin der PKI schon mal dauerhaft vorhanden. ;) Zitieren
NorbertFe 2.175 Geschrieben 15. Oktober 2010 Melden Geschrieben 15. Oktober 2010 Ich würde es nicht tun. Wenn du sowieso die nächste Zeit updatest, kannst du auch noch warten. Es geht ja auch einfach mit einem selfsigned certificate. Ich weiß gar nicht, warum du da so lange rummachst. ;) Bye Norbert Zitieren
xGismo 10 Geschrieben 15. Oktober 2010 Autor Melden Geschrieben 15. Oktober 2010 (bearbeitet) Weil ich mit jeder Anfang weiter verwirrt bin. :) Hatte die Anleitung überfolgen und war der Meinung ich MUSS ein PKI haben. Manchmal steht man Tagelang auf der Leitung. ;) Edit: Ich hätte vielleicht einfach Fragen sollen, WIE mache ich ein selfsigned certificate. Get-ExchangeCertificate -Thumbprint xxxx | New-ExchangeCertificate und schon ist es fertig. Nun habe ich auch verstanden das es keine Minute dauert. Was die kopieren sollte etc. habe ich alles verstanden nur ich depp, nicht wo. ;) Mit Get-ExchangeCertificate wurde es mir ja angezeigt, das ich es damit auch signieren kann. Hatte ich nicht verstanden. Vielen Dank noch mal. Schönes Wochenende :) bearbeitet 15. Oktober 2010 von xGismo Nachtrag. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.