Folgender Fehler kann auftreten wenn
- der Exchange Server über eine UTM E-Mails versendet und
- ein öffentliches/anderes Zertifikat installiert ist.
Protokollname: Application Quelle: MSExchangeTransport Datum: 21.11.2013 08:21:30 Ereignis-ID: 12014 Aufgabenkategorie:TransportService Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: server.domain.tld Beschreibung: Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen "server.domain.tld" im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "Windows SBS Internet Send server" mit einem FQDN-Parameter von "server.domain.tld" nicht unterstützt werden. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann.
Das klingt zunächst etwas verwirrend, hat aber folgenden Hintergrund:
Auf dem Exchange Server wurde wegen ActiveSync ein öffentliches Zertifikat installiert. Da sich der FQDN im Sende-Connector aufgrund der SMTP-Anbindung des Exchange Servers an eine UTM gegenüber der Angabe im SSL-Zertifikat unterscheidet, kommt es zu diesem Fehler.
Nun kann man den Fehler entweder Ignorieren oder dadurch lösen das STARTTLS ignoriert wird. Da letztlich die UTM gegenüber dem öffentlich Netz, sprich dem Internet, per SMTP die E-Mails annimmt oder versendet, ist eher an dieser Stelle das richtige Zertifikat bzw. die Konfiguration relevant.
Um STARTTLS zu Ignorieren, muss in der EMS folgender Befehl ausgeführt werden:
get-sendconnector "Windows SBS Internet Send server" | set-sendconnector -IgnoreSTARTTLS: $true
Der Name des Connectors muss entsprechend angepasst werden. In diesem Beitrag stammen die Ausgaben von einen SBS 2011 Standard. Überprüfen kann man die Einstellung mit dem Befehl
get-sendconnector "Windows SBS Internet Send server" | fl
Unter “IgnoreStartTLS” steht dann je nach Konfiguration True oder False.
AddressSpaces : {smtp:*;1} AuthenticationCredential : System.Management.Automation.PSCredential Comment : ConnectedDomains : {} ConnectionInactivityTimeOut : 00:10:00 DNSRoutingEnabled : False DomainSecureEnabled : False Enabled : True ErrorPolicies : Default ForceHELO : False Fqdn : server.domain.tld HomeMTA : Microsoft MTA HomeMtaServerId : server Identity : Windows SBS Internet Send server IgnoreSTARTTLS : True IsScopedConnector : False IsSmtpConnector : True LinkedReceiveConnector : MaxMessageSize : unlimited Name : Windows SBS Internet Send server Port : 25 ProtocolLoggingLevel : None RequireOorg : False RequireTLS : False SmartHostAuthMechanism : None SmartHosts : {[10.0.0.1]} SmartHostsString : [10.0.0.1] SmtpMaxMessagesPerConnection : 20 SourceIPAddress : 0.0.0.0 SourceRoutingGroup : Exchange Routing Group (DWBGZMFD01QNBJR) SourceTransportServers : {server} TlsAuthLevel : TlsDomain : UseExternalDNSServersEnabled : False
Quelle
Disable StartTLS on EX2010 Send Connectors – Quick Fix
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Schreibe einen Kommentar