Exchange POP 3 Connector TLS Zertifikat Problem - SBS 2008

1. offizieller Beitrag

    Hallo an alle.


    Ich habe ein Riesen Problem.


    Wir hatten ein Zertifikat von startssl
    aber dieses ist abgelaufen und es besteht kein bedarf an einem neuen


    jetzt möchte ich über den Exchange mittels pop3 connector mails holen.


    Bekomme aber diese Meldung in der Ereignisanzeige:


    Fehler 13.01.2012 10:39:27 MSExchangeTransport 12016 TransportService


    Es ist kein gültiges SMTP-TLS-Zertifikat (Transport Layer Security) für den FQDN von 'remote.domain.de' vorhanden. Das vorhandene Zertifikat für diesen FQDN ist abgelaufen. Die fortgesetzte Verwendung dieses FQDNs wird Nachrichtenübermittlungsprobleme verursachen. Ein neues Zertifikat, das den FQDN von 'remote.domain.de' enthält, sollte so bald wie möglich auf diesem Server installiert werden. Sie können ein neues Zertifikat mithilfe des Tasks 'New-ExchangeCertificate' erstellen.




    Warnung 13.01.2012 10:39:21 MSExchangeTransport 1020 SmtpReceive


    Das Konto 'Domain\Administrator' hat gültige Anmeldeinformationen bereitgestellt, ist jedoch nicht berechtigt, den Server zu verwenden; Fehler bei der Authentifizierung.




    Warnung 13.01.2012 03:23:34 CertificateServicesClient-Serverspeicherung 64 Keine


    Zertifikat für lokaler Computer mit Fingerabdruck d5 58 a9 D558A905CCF2AE6DFSASDC435EDC77BD80C6436D0 wird bald ungültig oder ist bereits ungültig.


    dieses Zertifikat wird als ungültig (und zwar berechtigt) erkannt:


    Zitat

    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System .Security.AccessControl.CryptoKeyAccessRule, System.Securi ty.AccessControl.CryptoKeyAccessRule} CertificateDomains : {remote.domain.de, domain.de} HasPrivateKey : True IsSelfSigned : False Issuer : CN=StartCom Class 1 Primary Intermediate Server CA, OU=Sec ure Digital Certificate Signing, O=StartCom Ltd., C=IL NotAfter : 30.12.2011 10:44:23 NotBefore : 28.12.2010 15:45:52 PublicKeySize : 2048 RootCAType : ThirdParty SerialNumber : 02A64C Services : SMTP Status : DateInvalid Subject : E=webmaster@domain.de, CN=remote.domain.de, OU=StartCom Free Certificate Member, O=Persona Not Validated, C=DE, De scription=323242-Rx3cGQhi6ZuGHAzV Thumbprint : D558A905CCF2AE6DFSASDC435EDC77BD80C6436D0




    so, wie bringe ich jetzt also diesen verfluchten Exchange dazu die externe TLS kommunikation über mein selbst ausgestelltes zertifikat zu erledigen?


    Danke schonmal =)

    naja, also das problem ist, dass mein exchange keine Mails mehr abholt


    versenden geht nach extern.


    Intern geht senden und empfangen.


    Meine vermutung ist jetzt natürlich, dass es an dem Zertifikat liegt :-/

    Hi,


    du wirst hier niemanden finden, der dir das POP3 nahelegen wird. Ich empfehle dir auch nicht das TSL/SSL zu deaktivieren oder anderweitge Workarounds zu nutzen. Mach es gleich richtig und nutze ebenfalls für den Empfang das SMTP.

    Gruß Tayfun
    Microsoft Master
    Consultant & Trainer

    ja, stimmt, die zertifikate bei pop3 waren nicht aktiviert.


    Das problem ist, dass ich hier reingekommen bin und alles schon auf pop3 eingerichtet war.


    Ich kann das jetzt nicht alles auf einmal ändern.



    Fehler wurde gefunden:


    Unsere Firewall hat ein update installiert und dann hat sich der pop3 proxy verabschiedet. Simpel aber man muss da erstmal drauf kommen -.-


    Neustart der Firewall und es geht.


    Allerdings bleibt da noch die Frage oben zwecks dem Fehler mit dem Zertifikat.


    Kann mir jemand sagen, wo ich das austauschen kann?


    (Das mit dem Wizard hab ich gemacht, behebt den fehler aber nicht. Das SMTP zertifikat ist trotzdem abgelaufen! )


    für einen mail relay server ist momentan auch noch kein geld da. :(


    ich gebs offen zu ich bin ein absoluter anfänger in sachen Exchange


    kennt jemand zufällig ne gute anleitung zum umstellen von pop auf smtp?

    • Offizieller Beitrag
    Zitat


    Gu4rdi4n schrieb:
    Das problem ist, dass ich hier reingekommen bin und alles schon auf pop3 eingerichtet war.


    Na und?


    Zitat


    Ich kann das jetzt nicht alles auf einmal ändern.


    Warum nicht? Das wäre das Erste, was ich machen würde, da es im Allgemeinen die Fehlerquelle für ne Menge merkwürdiger Mailprobleme ist.


    Fehler wurde gefunden:


    Zitat


    Unsere Firewall hat ein update installiert und dann hat sich der pop3 proxy verabschiedet. Simpel aber man muss da erstmal drauf kommen -.-


    Auch noch. ;)


    Zitat

    Allerdings bleibt da noch die Frage oben zwecks dem Fehler mit dem Zertifikat.


    Kann mir jemand sagen, wo ich das austauschen kann?


    Mit dem erwähnten WIzard in der SBS Konsole.


    Zitat

    (Das mit dem Wizard hab ich gemacht, behebt den fehler aber nicht. Das SMTP zertifikat ist trotzdem abgelaufen! )


    Dann hast du was falsch gemacht. Was soll ich dazu sagen? Bei allen SBS, bei denen ich den Wizard ausgeführt habe, hat das korrekt funktioniert.


    Zitat


    für einen mail relay server ist momentan auch noch kein geld da. :(


    Warum meinst du, einen brauchen zu müssen?


    Zitat

    ich gebs offen zu ich bin ein absoluter anfänger in sachen Exchange


    Du solltest vor allem im Hinterkopf behalten, dass du vor einem SBS sitzt, da sind noch ne Menge mehr andere Sachen als auf einem "normalen" Exchange.


    Zitat

    kennt jemand zufällig ne gute anleitung zum umstellen von pop auf smtp?


    Ich tippe mal auf die SBS Migration Whitepaper, aber weiß es nicht genau. Im Grunde genommen bereitest du aber auf der Serverseite einfach alles vor und stellst dann nur noch den MX Record ab und kündigst/löschst die POP3 Postfächer beim Provider.


    Bye
    Norbert

    naja, also viel kann man da ja nicht falsch machen mit dem wizard ^^


    wenn ich über die verwaltungsshell versuche das zertifikat zu tauschen, sagt er mir dass nur das für die interne Kommunikation getauscht wird, da das andere eine höhere Priorisierung hat (da von öffentlicher CA ausgestellt).
    Das zertifikat ist allerdings abgelaufen.


    Sprich: er nutzt das abgelaufene, lässt es mich aber nicht austauschen.



    was pop3 angeht:


    wie gesagt, ich habe erstmal 0 plan von exchange. Hab noch nie vorher damit zu tun gehabt. Muss erstmal die Mechanismen verstehen bevor ich da rumwerkel!
    =)


    wegen dem relay:


    weil momentan unser exchange/dc/filer all in one sbs in der dmz hängt - nicht meine entscheidung, ich finde es absolut unmöglich, aber die geschäftsleitung will unbedingt exchange aufm iphone.... (drecksdinger ^^)
    immerhin ist der server durch die firewall sonst relativ gut geschützt. Aber der beste staudamm hilft nichts wenn ein loch in der Wand ist...


    Der MX Record ist dann für die übermittlung vom pop3 connector des SBS auf dem exchange zuständig oder wie sehe ich das?


    muss ich dann eigentlich nurnoch im exchange in der server config einen empfangsconnector als smtp einrichten, oder?

    • Offizieller Beitrag
    Zitat


    Gu4rdi4n schrieb:
    wenn ich über die verwaltungsshell versuche das zertifikat zu tauschen, sagt er mir dass nur das für die interne Kommunikation getauscht wird, da das andere eine höhere Priorisierung hat (da von öffentlicher CA ausgestellt).
    Das zertifikat ist allerdings abgelaufen.


    Sprich: er nutzt das abgelaufene, lässt es mich aber nicht austauschen.


    Dann lösche das alte abgelaufene Zertifikat und starte den Wizard nochmal. Kann ja nicht so schwer sein, oder?


    Zitat


    was pop3 angeht:


    wie gesagt, ich habe erstmal 0 plan von exchange. Hab noch nie vorher damit zu tun gehabt. Muss erstmal die Mechanismen verstehen bevor ich da rumwerkel!
    =)


    Und was machst du dann am SBS? ;)


    Zitat

    wegen dem relay:


    Wegen des...



    Zitat

    weil momentan unser exchange/dc/filer all in one sbs in der dmz hängt - nicht meine entscheidung, ich finde es absolut unmöglich, aber die geschäftsleitung will unbedingt exchange aufm iphone.... (drecksdinger ^^)


    Ich verstehe weder den Zusammenhang zwischen exchange/dc/filer und DMZ noch warum das irgendwas mit IPhones zu tun haben sollte.


    Zitat

    immerhin ist der server durch die firewall sonst relativ gut geschützt. Aber der beste staudamm hilft nichts wenn ein loch in der Wand ist...


    Und welches Loch wäre das deiner Meinung nach?


    Zitat

    Der MX Record ist dann für die übermittlung vom pop3 connector des SBS auf dem exchange zuständig oder wie sehe ich das?


    Du siehst das falsch. Der MX Record ist dafür zuständig, damit du den POP3Connector abschalten kannst und die Mails auf den externen Namen deines Mailservers (relay oder SBS oder was auch immer) geleitet werden.


    Zitat


    muss ich dann eigentlich nurnoch im exchange in der server config einen empfangsconnector als smtp einrichten, oder?


    Ja, bzw. den vorhandenen einfach anpassen. Ich würde wetten, dass es dafür dann sogar wieder einen Wizard im SBS gibt.


    Bye
    Norbert