Exchange 2013 Wechsel auf TLS 1.2
Moin,
lange sträflich vernachlässigt, jetzt will ich das endlich nachholen...
Unser Exchange 2013 soll auf TLS 1.2 umgestellt werden. Hierzu habe ich die folgenden Anleitungen bemüht:
https://www.frankysweb.de/exchange-server-und-tls-1-2/
Daraus folgend:
https://blogs.technet.microsoft.com/exchange/2018/01/26/exchange-server- ...
(Außerdem Teile 2 +3).
Im zweiten Teil heißt es unter "Additional Considerations" u.a.:
Do your Domain Controllers and Global Catalog servers support TLS 1.2?
Klartext: Ich muss die DCs auch komplett auf TLS 1.2 umstellen, richtig? Funktioniert die SSL-Verbindung dann noch, sofern ich diese nicht dezidiert deaktiviere?
Gruß
lange sträflich vernachlässigt, jetzt will ich das endlich nachholen...
Unser Exchange 2013 soll auf TLS 1.2 umgestellt werden. Hierzu habe ich die folgenden Anleitungen bemüht:
https://www.frankysweb.de/exchange-server-und-tls-1-2/
Daraus folgend:
https://blogs.technet.microsoft.com/exchange/2018/01/26/exchange-server- ...
(Außerdem Teile 2 +3).
Im zweiten Teil heißt es unter "Additional Considerations" u.a.:
Do your Domain Controllers and Global Catalog servers support TLS 1.2?
Klartext: Ich muss die DCs auch komplett auf TLS 1.2 umstellen, richtig? Funktioniert die SSL-Verbindung dann noch, sofern ich diese nicht dezidiert deaktiviere?
Gruß
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378227
Url: https://administrator.de/forum/exchange-2013-wechsel-auf-tls-1-2-378227.html
Ausgedruckt am: 29.04.2025 um 07:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Wobei man natürlich beachten muss, dass es zwei Stellschrauben gibt - SCHANNEL und WinHttp.
Gruß,
Dani
Ich muss die DCs auch komplett auf TLS 1.2 umstellen, richtig? Funktioniert die SSL-Verbindung dann noch, sofern ich diese nicht dezidiert deaktiviere?
je nachdem welches Betriebssystem zum Einsatz kommt, ist TLS 1.2 bereits aktiviert. Ich würde auf keinen Fall TLS 1.1 und 1.0 deaktivieren. Das kannst du machen, wenn du z.B. Wireshark sichergestellt hast, dass außer TLS 1.2 nichts mehr genutzt wird.Wobei man natürlich beachten muss, dass es zwei Stellschrauben gibt - SCHANNEL und WinHttp.
Gruß,
Dani
Moin Dani,
danke für die Rückmeldung.
Unsere DCs laufen auf 2012R2. Konkret: Muss ich die dann überhaupt anfassen? Oder stelle ich das nur auf dem Exchange um und es rennt?
Gruß
danke für die Rückmeldung.
Unsere DCs laufen auf 2012R2. Konkret: Muss ich die dann überhaupt anfassen? Oder stelle ich das nur auf dem Exchange um und es rennt?
Gruß
Moin,
Gruß,
Dani
Unsere DCs laufen auf 2012R2. Konkret: Muss ich die dann überhaupt anfassen? Oder stelle ich das nur auf dem Exchange um und es rennt?
wenn an den DCs nichts verändert wurde, ist TLS 1.2 aktiviert. Sprich du kannst den Exchange härten.Gruß,
Dani
Moin Dani,
klappt alles wunderbar, danke!
Eine letzte Frage: Kann ich mit IIS Crypto jetzt einfach die Best Practices laden und ausführen, sprich, schwache Cipher einfach deaktivieren? Oder sind da Probleme zu erwarten? Wir haben keine besonderen Konfigurationen laufen, nutzen lediglich OWA und Outlook 2016.
Gruß
klappt alles wunderbar, danke!
Eine letzte Frage: Kann ich mit IIS Crypto jetzt einfach die Best Practices laden und ausführen, sprich, schwache Cipher einfach deaktivieren? Oder sind da Probleme zu erwarten? Wir haben keine besonderen Konfigurationen laufen, nutzen lediglich OWA und Outlook 2016.
Gruß
Guten Abend,
mir sind in unserer Umgebung keinerlei Probleme bekannt geworden. Danach noch die schwachen Ciphers deaktivieren bzw. DH von 2048 auf 4096 Bit per Registry erhöhen. Somit können auch bewisse Chipers aktiviert werden.
Wir basteln gerade daran, dass TLS 1.0 und TLS 1.1 deaktivert werden kann. Aber das ist je nach Betriebssysteme, Mailprogrammme und 3rd Party Gateways bzw. Anwendungen eine Mamutaufgabe.
Gruß,
Dani
mir sind in unserer Umgebung keinerlei Probleme bekannt geworden. Danach noch die schwachen Ciphers deaktivieren bzw. DH von 2048 auf 4096 Bit per Registry erhöhen. Somit können auch bewisse Chipers aktiviert werden.
Wir basteln gerade daran, dass TLS 1.0 und TLS 1.1 deaktivert werden kann. Aber das ist je nach Betriebssysteme, Mailprogrammme und 3rd Party Gateways bzw. Anwendungen eine Mamutaufgabe.
Gruß,
Dani
Moin Dani,
Rückmeldung nach Urlaub
Vielen Dank, die Umstellung habe ich vor meinem Urlaub noch erledigt, dabei hatte ich zwei, nun ja, unschöne Effekte, von denen ich mir den ersten mal so gar nicht erklären kann.
1.
IIS Crypto gestartet, Best Practices angewendet und Exchange neu gestartet. Meine offene Outlook 2016-Verbindung meldete danach keinen Fehler, Stichwort Verbindungsprobleme. Was ich deshalb nicht bemerkt habe: Es wurden weder Mails verschickt noch empfangen. Eine "neue" Verbindung mittels Outlook-Client konnte ich zumindest von zuhause aus nicht mehr herstellen (Outlook 2010): Der Administrator hat eine Änderung vorgenommen. Sie müssen Outlook neu starten. --> Endlosschleife
Auf zur Fehlersuche... Alle Exchange-Dienste laufen, keine Auffälligkeiten im Eventlog. Dass das Ganze nicht funktioniert, habe ich dann hier gesehen:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Mailbox\Connectivity\Submission
--> Sämtliche Komponenten waren inaktiv: get-servercomponentstate -identity SERVER
Komponenten gestartet mit Set-ServerComponentState
OK.
2.
Fehlermeldung beim Versand einiger interner Benachrichtigungsmails, dem Remotezertifikat wird nicht vertraut, da selbst signiert.
OK und logisch.
Das infohalber, vielleicht hilft es ja mal jemandem.
Gruß
Rückmeldung nach Urlaub
Vielen Dank, die Umstellung habe ich vor meinem Urlaub noch erledigt, dabei hatte ich zwei, nun ja, unschöne Effekte, von denen ich mir den ersten mal so gar nicht erklären kann.
1.
IIS Crypto gestartet, Best Practices angewendet und Exchange neu gestartet. Meine offene Outlook 2016-Verbindung meldete danach keinen Fehler, Stichwort Verbindungsprobleme. Was ich deshalb nicht bemerkt habe: Es wurden weder Mails verschickt noch empfangen. Eine "neue" Verbindung mittels Outlook-Client konnte ich zumindest von zuhause aus nicht mehr herstellen (Outlook 2010): Der Administrator hat eine Änderung vorgenommen. Sie müssen Outlook neu starten. --> Endlosschleife
Auf zur Fehlersuche... Alle Exchange-Dienste laufen, keine Auffälligkeiten im Eventlog. Dass das Ganze nicht funktioniert, habe ich dann hier gesehen:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Mailbox\Connectivity\Submission
--> Sämtliche Komponenten waren inaktiv: get-servercomponentstate -identity SERVER
Komponenten gestartet mit Set-ServerComponentState
OK.
2.
Fehlermeldung beim Versand einiger interner Benachrichtigungsmails, dem Remotezertifikat wird nicht vertraut, da selbst signiert.
OK und logisch.
Das infohalber, vielleicht hilft es ja mal jemandem.
Gruß
