husker
Apr 10, 2019
view15400
view11
0
Goto Top

Event ID 4027 MSExchange ADAccess

GermanQuestionExchange ServerMicrosoft
Windows Server 2012R2
MS Exchange 2016

DC auf extra Maschine
Exchange läuft in einer HyperV Maschine

Hallo zusammen,
Seit gestern macht unser Exchange Server Problem!

Anfänglich konnten zwar emails empfangen werden aber es wurden keine gesendet.
im Ereignis log fand ich folgenden Hinweiß:

Microsoft Exchange could not discover any route to connector

okay Google Sage dazu folgendes:

1. Firewall Problem
2. Zertifikatsproblem

Firewall geprüft alles OK
Exchange Admin Center --> Ja Problem mit einem Zertifikat im Jan ist eines der Zertifikate abgelaufen, dieses wurde auch erneuert, aber das alte blieb stehen.
es waren quasi 2 gleiche Zertifikate vorhanden 1 Gültig 1 abgelaufen. also habe ich das abgelaufende Zertifikat entfernt ...
und ich denke mal das hat jetzt noch mehr Probleme gemacht.

Seit dem geht nix mehr
im Eventlog kommt alle 2 Minuten der Eintrag Event ID 4027 MSExchange ADAccess

OWA ist auch nicht mehr erreichbar und mit dem Exchange Admin Center kann ich mich auch nicht mehr verbinden

Nach dem ich zu dem neuen Sachverhalt wieder google gefragt hatte wurde immer wieder darauf hingewiesen das es entweder mit der Firewall oder IP6 (ausgeschaltet) zu tun hat
IPv6 ist eingeschaltet ... !!

in der Firewall (Windows Firewall) ist der Port 890 auch freigegeben

wenn ich jetzt versuche mich mit der Exchange Admin Center zu verbinden bekomme ich nur eine Stacktrace Seite:

Der Microsoft Active Directory- Topologiedienst wurde von Topologieanbieter nicht auf dem Endpunkt TopologyClientTcpEndpoint (localhost) gefunden.

so nun stehe ich da ...
hat jemand eine Idee wie ich das wieder ans laufen bekomme?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 438968

Url: https://administrator.de/contentid/438968

Printed on: April 24, 2024 at 23:04 o'clock

11 Comments
Latest comment
Goto Top
Member: Pjordorf
Pjordorf Apr 10, 2019 updated at 16:26:09 (UTC)
Goto Top
Hallo,

Zitat von @Husker:
MS Exchange 2016
in der Firewall (Windows Firewall) ist der Port 890 auch freigegeben
https://docs.microsoft.com/de-de/exchange/plan-and-deploy/deployment-ref ...
https://www.granikos.eu/de/justcantgetenough/PostId/250/exchange-2016-ma ...
https://docs.microsoft.com/de-de/exchange/network-ports-for-clients-and- ...

OWA nutzt nur TCP 443 bzw. evtl. TCP 80 und ist teil deines IIS. Intern ioder Extern kein Zugriff auf OWA? Wo kommt dein Port 890 her? Firewall? Reverse Proxy? UMT? Wir brauchen schon ein wenig mehr an Infos wie dein Netzwerk Tickt und was ihr so Konfiguriert habt.

hat jemand eine Idee wie ich das wieder ans laufen bekomme?
Dienstleister anrufen?

Gruß,
Peter
Member: Husker
Husker Apr 10, 2019 at 16:27:34 (UTC)
Goto Top
achso das steht in in der Fehlermeldung mit drin:

System.Service.Modul.EndpointNotFoundExection: es konnte keine Verbindung mit net.tcp//localhost:890/ hergestellt werden.
Member: Husker
Husker Apr 10, 2019 updated at 16:31:48 (UTC)
Goto Top
das netzwerk ist sehr einfach aufgebaut ...

Windows Server 2012 R2 als DC / DNS
Microsoft Exchange 2016 in HyperV installiert

beide Server haben eine Feste IP Adresse (IPV4)
IPV6 ist auf Automatisch gestellt. War aber auch schon immer so, daran wurde nix geändert.

Als Firewall wird die Windows FW benutzt.

Keine Proxys oder ähnliches ...

Gibt noch ne Fitzbox die das Internet bereitstellt
Member: Husker
Husker Apr 10, 2019 at 16:37:00 (UTC)
Goto Top
hier noch die Komplette Fehlermelung aus dem Ereignis Log des Exchange:

Process w3wp.exe (FE_Eas) (PID=2684). WCF request (Get Servers for Hesse.local) to the Microsoft Exchange Active Directory Topology service on server (TopologyClientTcpEndpoint (localhost)) failed. Make sure that the service is running. In addition, make sure that the network ports that are used by Microsoft Exchange Active Directory Topology service are not blocked by a firewall. The WCF call was retried 3 time(s). Error Details
System.ServiceModel.EndpointNotFoundException: Es konnte keine Verbindung mit "net.tcp://localhost:890/Microsoft.Exchange.Directory.TopologyService" hergestellt werden. Der Verbindungsversuch hat für einen Zeitraum von 00:00:02.0044579 angedauert. TCP-Fehlercode 10061: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 127.0.0.1:890. ---> System.Net.Sockets.SocketException: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 127.0.0.1:890
bei System.Net.Sockets.Socket.DoConnect(EndPoint endPointSnapshot, SocketAddress socketAddress)
bei System.Net.Sockets.Socket.Connect(EndPoint remoteEP)
bei System.ServiceModel.Channels.SocketConnectionInitiator.Connect(Uri uri, TimeSpan timeout)
--- Ende der internen Ausnahmestapelüberwachung ---

Server stack trace:
bei System.ServiceModel.Channels.SocketConnectionInitiator.Connect(Uri uri, TimeSpan timeout)
bei System.ServiceModel.Channels.BufferedConnectionInitiator.Connect(Uri uri, TimeSpan timeout)
bei System.ServiceModel.Channels.ConnectionPoolHelper.EstablishConnection(TimeSpan timeout)
bei System.ServiceModel.Channels.ClientFramingDuplexSessionChannel.OnOpen(TimeSpan timeout)
bei System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)
bei System.ServiceModel.Channels.ServiceChannel.OnOpen(TimeSpan timeout)
bei System.ServiceModel.Channels.CommunicationObject.Open(TimeSpan timeout)

Exception rethrown at :
bei System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
bei System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
bei System.ServiceModel.ICommunicationObject.Open()
bei Microsoft.Exchange.Net.ServiceProxyPool`1.GetClient(Int32 retry, Boolean& doNotReturnProxyAfterRetry, Boolean useCache)
bei Microsoft.Exchange.Net.ServiceProxyPool`1.TryCallServiceWithRetry(Action`1 action, String debugMessage, WCFConnectionStateTuple proxyToUse, Int32 numberOfRetries, Boolean doNotReturnProxyOnSuccess, Exception& exception)
Member: Andrew01
Andrew01 Apr 10, 2019 at 17:27:45 (UTC)
Goto Top
Guten Abend

und der Exchange läuft schon eine Weile? Es würde nichts migriert geändert oder dergleichen?

Gruss Andreas
Member: Husker
Husker Apr 10, 2019 at 18:17:10 (UTC)
Goto Top
ne garnix,
der ist mal abgesehen von den Updates so wie er installiert wurde.
Member: Andrew01
Andrew01 Apr 11, 2019 at 04:32:51 (UTC)
Goto Top
Hallo

Wenn ich das mit dem Zertifikat so lese und mich auf Administrator. de umschauen Exchange Topologie

schau mal nach ob das mit dem Zertifikat bei dir evtl. der Fall ist.

Gruss Andreas
Member: Husker
Husker Apr 11, 2019 at 14:44:07 (UTC)
Goto Top
Also ich habe das soweit gepüft wie ich konnte,
im ISS des Exchange server sind alle Zertifikate gültig das gleiche gilt für Exchange Admin Center ...

Aber:
ich habe auf dem DC in Zertifizierungsmodul ein Zertifikat gefunden das abgelaufen ist.
und zwar das unter Allgemeiner name: domänenname.local bezeichnet ist ...
es gibt auch kein Weiteres Zertifikat das die domäne benennt, noch noch Servername.domäne.local oder so ..

ich kann mir nicht vorstellen das das so sein soll ...

Der Exchange läuft jetzt erstmal soweit wieder, bis auf das versenden von mails,
zumindest bekommt man jetzt die meldung das die Mail nicht zugestellt werden konnt und das es für XX stunden weiter versucht wird!

Erneut das Ereignislog geprüft und nun aucht ständig folgender Fehler auf:

Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 46.

und seltender:

Servername   11005	Fehler	MSExchangeTransport	Anwendung	11.04.2019 16:38:48
Unable to validate the TLS certificate of the smart host for the connector Sendeconnector. The certificate validation error for the certificate is UntrustedRoot. If the problem persists, contact the administrator of the smart host to resolve the problem.

so und nun habe ich noch was rausgefunden:
auf dem DC steht in der Zertifizierungsstelle ein Zertifikat auf Abgelehnt
weil scheinbar informationen Fehlen ...

Jetzt die frage, einfach im Exchange Admin Center das Zertifikat löschen und ein neues Erstellen?
Member: Pjordorf
Pjordorf Apr 11, 2019 at 15:33:56 (UTC)
Goto Top
Hallo,

Zitat von @Husker:

 Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 46.
Schon mal geschaut was der Code 46 in Bezug zu TLS bedeutet?

Unable to validate the TLS certificate of the smart host for the connector Sendeconnector. The certificate validation error for the certificate is UntrustedRoot. If the problem persists, contact the administrator of the smart host to resolve the problem.
Du verwndest einen Smarthost zum Senden von Mails. Dein Exchange sendet an diesen Smarthost und der erwartet TLS und dieses Zertifikat kann eben nicht validiert werden. Was sagt der Admin/MailAdmin vom Smarthost?

Du selbst hast von Zertifikaten und Co. absolut keine Ahnung, oder? Hole dir jemanden der sich mit Zertifikaten und Exchange auskennt.

Gruß,
Peter
Member: Husker
Husker Apr 11, 2019 at 16:17:30 (UTC)
Goto Top
ja habe ich geschaut, es bedeutet das er das Zertifikat nicht kennt!

  enum { warning(1), fatal(2), (255) } AlertLevel; 
   enum { 
       close_notify(0), 
       unexpected_message(10), 
       bad_record_mac(20), 
       decryption_failed_RESERVED(21), 
       record_overflow(22), 
       decompression_failure(30), 
       handshake_failure(40), 
       no_certificate_RESERVED(41), 
       bad_certificate(42), 
       unsupported_certificate(43), 
       certificate_revoked(44), 
       certificate_expired(45), 
       certificate_unknown(46), 
       illegal_parameter(47), 
       unknown_ca(48), 
       access_denied(49), 
       decode_error(50), 
       decrypt_error(51), 
       export_restriction_RESERVED(60), 
       protocol_version(70), 
       insufficient_security(71), 
       internal_error(80), 
       user_canceled(90), 
       no_renegotiation(100), 
       unsupported_extension(110),           /* new */ 
       (255) 
   } AlertDescription; 
   struct { 
       AlertLevel level; 
       AlertDe

was mi aber nicht klar ist:
ja ich habe ein Abgelaufendes Zertifikat gelöscht,
aber es war ja schon erneuert, also es war schon ein Nachfolgezertifikat vorhanden, wäre das nicht so hätte exchange das löschen nicht zugelassen, habe ich gerade nochmal geprüft. ich habe jetzt das Zertifikat noch einmal erstellt (Nagelneu) neu in exchange eingelesen und das alte gelöscht, jetzt starte ich gerade zur sicherheit neu und prüfe das nochmal ...

ja das mit dem Smarthost ist richtig, jetzt die frage ... wo finde ich das Zertifikat vom SmartHost?

Mit Zertifikaten im allgemeinen kenne ich mich angemessen aus denke ich ...
ja Zertifikate im Exchange sind noch neuland zumindest wenn es in die tiefe geht.

und:
Du selbst hast von Zertifikaten und Co. absolut keine Ahnung, oder? Hole dir jemanden der sich mit Zertifikaten und Exchange auskennt.

Ich dachte das mache ich gerade
Member: Husker
Husker Apr 11, 2019 at 17:16:59 (UTC)
Goto Top
also nach dem ich das Zertifikat erneuert habe, Connecten sich die Clienten nicht mehr mit dem Exchange ...
es kommt nur das typische Benutzername / passwort abfrage dialog von outlook ...

keine ahung, beim ersten start scheint er aber zu erkennen das ein neues Zertifikat vorliegt, den ich soll es bestätigen ..
hilft aber nichts ....

den Postausgangsconnector habe ich mir auch nochmal angehen ...
ja da ist eingestellt das er TLS nutzen soll und natürlich ein Mail Account über den versendet werden soll ...
Aber Einstellungen bezüglich des Zertifikates gibt es nicht ...

ich bin jetzt auch am ende angekommen....
keine Ahnung was man da noch machen kann ...
GermanQuestionExchange ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments