coreknabe
Goto Top

Exchange 2013 Wechsel auf TLS 1.2

Moin,

lange sträflich vernachlässigt, jetzt will ich das endlich nachholen...

Unser Exchange 2013 soll auf TLS 1.2 umgestellt werden. Hierzu habe ich die folgenden Anleitungen bemüht:
https://www.frankysweb.de/exchange-server-und-tls-1-2/

Daraus folgend:
https://blogs.technet.microsoft.com/exchange/2018/01/26/exchange-server- ...
(Außerdem Teile 2 +3).

Im zweiten Teil heißt es unter "Additional Considerations" u.a.:
Do your Domain Controllers and Global Catalog servers support TLS 1.2?

Klartext: Ich muss die DCs auch komplett auf TLS 1.2 umstellen, richtig? Funktioniert die SSL-Verbindung dann noch, sofern ich diese nicht dezidiert deaktiviere?

Gruß

Content-ID: 378227

Url: https://administrator.de/forum/exchange-2013-wechsel-auf-tls-1-2-378227.html

Ausgedruckt am: 03.04.2025 um 00:04 Uhr

Dani
Dani 27.06.2018 um 10:09:03 Uhr
Goto Top
Moin,
Ich muss die DCs auch komplett auf TLS 1.2 umstellen, richtig? Funktioniert die SSL-Verbindung dann noch, sofern ich diese nicht dezidiert deaktiviere?
je nachdem welches Betriebssystem zum Einsatz kommt, ist TLS 1.2 bereits aktiviert. Ich würde auf keinen Fall TLS 1.1 und 1.0 deaktivieren. Das kannst du machen, wenn du z.B. Wireshark sichergestellt hast, dass außer TLS 1.2 nichts mehr genutzt wird.


Wobei man natürlich beachten muss, dass es zwei Stellschrauben gibt - SCHANNEL und WinHttp. face-smile


Gruß,
Dani
Coreknabe
Coreknabe 27.06.2018 um 10:25:52 Uhr
Goto Top
Moin Dani,

danke für die Rückmeldung.

Unsere DCs laufen auf 2012R2. Konkret: Muss ich die dann überhaupt anfassen? Oder stelle ich das nur auf dem Exchange um und es rennt?

Gruß
Dani
Lösung Dani 28.06.2018 um 20:08:10 Uhr
Goto Top
Moin,
Unsere DCs laufen auf 2012R2. Konkret: Muss ich die dann überhaupt anfassen? Oder stelle ich das nur auf dem Exchange um und es rennt?
wenn an den DCs nichts verändert wurde, ist TLS 1.2 aktiviert. Sprich du kannst den Exchange härten.


Gruß,
Dani
Coreknabe
Coreknabe 13.07.2018 um 12:25:37 Uhr
Goto Top
Moin Dani,

klappt alles wunderbar, danke!

Eine letzte Frage: Kann ich mit IIS Crypto jetzt einfach die Best Practices laden und ausführen, sprich, schwache Cipher einfach deaktivieren? Oder sind da Probleme zu erwarten? Wir haben keine besonderen Konfigurationen laufen, nutzen lediglich OWA und Outlook 2016.

Gruß
Dani
Lösung Dani 17.07.2018 um 22:56:42 Uhr
Goto Top
Guten Abend,
mir sind in unserer Umgebung keinerlei Probleme bekannt geworden. Danach noch die schwachen Ciphers deaktivieren bzw. DH von 2048 auf 4096 Bit per Registry erhöhen. Somit können auch bewisse Chipers aktiviert werden.

Wir basteln gerade daran, dass TLS 1.0 und TLS 1.1 deaktivert werden kann. Aber das ist je nach Betriebssysteme, Mailprogrammme und 3rd Party Gateways bzw. Anwendungen eine Mamutaufgabe.


Gruß,
Dani
Coreknabe
Coreknabe 06.08.2018 um 11:15:58 Uhr
Goto Top
Moin Dani,

Rückmeldung nach Urlaub face-smile

Vielen Dank, die Umstellung habe ich vor meinem Urlaub noch erledigt, dabei hatte ich zwei, nun ja, unschöne Effekte, von denen ich mir den ersten mal so gar nicht erklären kann.

1.
IIS Crypto gestartet, Best Practices angewendet und Exchange neu gestartet. Meine offene Outlook 2016-Verbindung meldete danach keinen Fehler, Stichwort Verbindungsprobleme. Was ich deshalb nicht bemerkt habe: Es wurden weder Mails verschickt noch empfangen. Eine "neue" Verbindung mittels Outlook-Client konnte ich zumindest von zuhause aus nicht mehr herstellen (Outlook 2010): Der Administrator hat eine Änderung vorgenommen. Sie müssen Outlook neu starten. --> Endlosschleife
Auf zur Fehlersuche... Alle Exchange-Dienste laufen, keine Auffälligkeiten im Eventlog. Dass das Ganze nicht funktioniert, habe ich dann hier gesehen:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Mailbox\Connectivity\Submission

--> Sämtliche Komponenten waren inaktiv: get-servercomponentstate -identity SERVER
Komponenten gestartet mit Set-ServerComponentState
OK.

2.
Fehlermeldung beim Versand einiger interner Benachrichtigungsmails, dem Remotezertifikat wird nicht vertraut, da selbst signiert.
OK und logisch.

Das infohalber, vielleicht hilft es ja mal jemandem.

Gruß