john23 5 Geschrieben 14. November 2019 Melden Teilen Geschrieben 14. November 2019 Hallo Leute, ich versuche mit einem aktuellen Exchange 2016 eine TLS Verbindung mit einem Office365 Connector hin zu bekommen. Es gibt noch ein paar Systeme die über den lokalen Exchange anonym / mit anmeldung relayen. Bei dem Zertifikat auf dem lokalen Exchange handelt es sich um ein Wildcard Zertifikat. Im Office365 connector habe ich es mit *.domain.com / mail.domain.com oder webmail.domain.com versucht oder auch mit <I>CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc,C=US<S>CN=*.domain.com ( was nicht angenommen wird). Set-SendConnector -Identity “Outbound” -TlsDomain “*.domain.com” -TlsCertificateName $tlscertname -TlsAuthLevel “DomainValidation” -RequireTLS $true Klappt alles nicht - was mache ich falsch oder übersehe ich? Im SMTP Log sehe ich folgendes bei TLS level Doman Validation: Outbound TLS authentication failed for auth level DomainValidation with error SubjectMismatch Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false. Wenn ich TLS runterstelle auf Certifcate Validation dann kommt folgendes: Outbound TLS authentication failed for auth level CertificateValidation with error UntrustedRoot Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false. Momentan ist TLS aus und der Office365 Connector funktioniert über Authehtifizierung über IP Adresse - soll aber am besten nicht so bleiben. John Zitieren Link zu diesem Kommentar
john23 5 Geschrieben 7. Januar 2020 Autor Melden Teilen Geschrieben 7. Januar 2020 Hmm, keiner eine Idee? Weitere details nötig? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 7. Januar 2020 Melden Teilen Geschrieben 7. Januar 2020 Hi, Am 14.11.2019 um 15:54 schrieb john23: Outbound TLS authentication failed for auth level CertificateValidation with error UntrustedRoot ggfs: https://www.digicert.com/replace-your-symantec-ssl-tls-certificates-de/? Eine Alternative wäre einen neuen CSR zu erstellen und z.B. bei PSW ggfs. ein 30 Tage Test-Zeertifikat zu beantragen und erneut zu testen. Ggfs. auch Let's Encrypt oder direkt ein Zertifikat kaufen. Gruß Jan Zitieren Link zu diesem Kommentar
john23 5 Geschrieben 7. Januar 2020 Autor Melden Teilen Geschrieben 7. Januar 2020 Das ist ein recht neues Zertifikat und ich weiß, dass es einige gab die Gesperrt erneuert wurden. Wir haben die bei mehreren Kunden erneuert. Hatte das Problem mitlerweile auch bei einer zweiten Office365 Hybrid Bereitstellung, bin nicht sicher ob mit den genau selben Meldungen, doch mit TLS habe ich keine Verbindung zwischen den Servern hinbekommen. Ich Prüfe das gleich nochmal. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 7. Januar 2020 Melden Teilen Geschrieben 7. Januar 2020 Die "Alternative" wäre halt auch eine Idee um "Wildcard" auszuschließen. Zitieren Link zu diesem Kommentar
Beste Lösung john23 5 Geschrieben 7. Januar 2020 Autor Beste Lösung Melden Teilen Geschrieben 7. Januar 2020 (bearbeitet) https://support.microsoft.com/en-us/help/2888788/mail-flow-to-exchange-online-stops-and-event-id-2004-is-logged-on-the Glaube das Problem ist, dass da zwei Zertifikat auf dem SMPT Dienst sind. Da inst noch ein Federation Zertifikat auf dem SMTP Dienst aktiviert. Via Powershell kann ich den Dienst nicht anpassen - bin auch nicht sicher, ob das Federation Zertifikat (für Offie365 Hybrid) zwingend den SMTP Dienst aktiv haben muss. Bin da auch noch auf der Suche nach Infos. Zitat Verbundzertifikate können nur über die FederationTrust-Tasks verwaltet werden. Es wird auf jeden Fall ein richtiges Zertifikat mit gesendet aber hilft alles nix.. Muss auf das neue Zertifikat warten. Outbound TLS authentication failed for auth level DomainValidation with error UntrustedRoot Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false. https://docs.microsoft.com/en-us/security/trusted-root/participants-list Habe mir das Root Zertifikat nochmal angeschaut und den Thumbprint mit der Excel Liste von MS verglichen - taucht nicht unter den Trusted roots in der Liste auf. bearbeitet 7. Januar 2020 von john23 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.