Office365 Hybrid von Orga zu Office365

[john23 5]

Hallo Leute,

 

ich versuche mit einem aktuellen Exchange 2016 eine TLS Verbindung mit einem Office365 Connector hin zu bekommen.  Es gibt noch ein paar Systeme die über den lokalen Exchange anonym / mit anmeldung relayen.

Bei dem Zertifikat auf dem lokalen Exchange handelt es sich um ein Wildcard Zertifikat.

 

Im Office365 connector habe ich es mit *.domain.com / mail.domain.com oder webmail.domain.com versucht oder auch mit <I>CN=Thawte TLS RSA CA G1, OU=www.digicert.com, O=DigiCert Inc,C=US<S>CN=*.domain.com ( was nicht angenommen wird).

 

Set-SendConnector -Identity “Outbound” -TlsDomain “*.domain.com” -TlsCertificateName $tlscertname -TlsAuthLevel “DomainValidation” -RequireTLS $true

 

Klappt alles nicht - was mache ich falsch oder übersehe ich?

 

Im SMTP Log sehe ich folgendes bei TLS level Doman Validation:

Outbound TLS authentication failed for auth level DomainValidation with error SubjectMismatch
Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false.

 

Wenn ich TLS runterstelle auf Certifcate Validation dann kommt folgendes:

Outbound TLS authentication failed for auth level CertificateValidation with error UntrustedRoot
Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false.

 

Momentan ist TLS aus und der Office365 Connector funktioniert über Authehtifizierung über IP Adresse - soll aber am besten nicht so bleiben.

 

John

 

 

[john23 5]

Hmm, keiner eine Idee? Weitere details nötig?

[testperson 1.676]

Hi,

Am 14.11.2019 um 15:54 schrieb john23:

Outbound TLS authentication failed for auth level CertificateValidation with error UntrustedRoot

ggfs: https://www.digicert.com/replace-your-symantec-ssl-tls-certificates-de/?

Eine Alternative wäre einen neuen CSR zu erstellen und z.B. bei PSW ggfs. ein 30 Tage Test-Zeertifikat zu beantragen und erneut zu testen. Ggfs. auch Let's Encrypt oder direkt ein Zertifikat kaufen.

 

Gruß

Jan

[john23 5]

Das ist ein recht neues Zertifikat und ich weiß, dass es einige gab die Gesperrt erneuert wurden. Wir haben die bei mehreren Kunden erneuert.

 

Hatte das Problem mitlerweile auch bei einer zweiten Office365 Hybrid Bereitstellung, bin nicht sicher ob mit den genau selben Meldungen, doch mit TLS habe ich keine Verbindung zwischen den Servern hinbekommen.

 

Ich Prüfe das gleich nochmal.

[testperson 1.676]

Die "Alternative" wäre halt auch eine Idee um "Wildcard" auszuschließen.

[john23 5]

https://support.microsoft.com/en-us/help/2888788/mail-flow-to-exchange-online-stops-and-event-id-2004-is-logged-on-the

 

Glaube das Problem ist, dass da zwei Zertifikat auf dem SMPT Dienst sind. Da inst noch ein Federation Zertifikat auf dem SMTP Dienst aktiviert.

 

Via Powershell kann ich den Dienst nicht anpassen - bin auch nicht sicher, ob das Federation Zertifikat (für Offie365 Hybrid) zwingend den SMTP Dienst aktiv haben muss. Bin da auch noch auf der Suche nach Infos.

Zitat

Verbundzertifikate können nur über die FederationTrust-Tasks verwaltet werden.

Es wird auf jeden Fall ein richtiges Zertifikat mit gesendet aber hilft alles nix..  Muss auf das neue Zertifikat warten.

 

Outbound TLS authentication failed for auth level DomainValidation with error UntrustedRoot

Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false.

 

 

https://docs.microsoft.com/en-us/security/trusted-root/participants-list

 

Habe mir das Root Zertifikat nochmal angeschaut und den Thumbprint mit der Excel Liste von MS verglichen - taucht nicht unter den Trusted roots in der Liste auf.

bearbeitet 7. Januar 2020 von john23