Fehlermeldung in einem Exchange-Server wenn man über einen Reverse-Proxy darauf zugreift

Mitglied: DarkHercules

DarkHercules (Level 1) - Jetzt verbinden

24.03.2021, aktualisiert 16:24 Uhr, 952 Aufrufe, 12 Kommentare

Hallo,

ich habe bei einem Kunden einen Exchange-Server 2013 am laufen, welcher an sich tadellos funktioniert.
Darauf zugegriffen wird über Oultook 365 und einige Handys, welche per Active-Sync angebunden sind.
Nun wollten wir eine Andere Anwendung ebenfalls per 443 erreichbar machen und haben daher den Versuch unternommen, einen Reverse Proxy bei dem Kunden einzusetzen.
Diesen haben wir mit einem Apache2 Webserver auf einem Ubuntu 20 aufgesetzt.
Leider fuktioniert jedoch der Zugriff über den Reverse Proxy auf den Exchange-Server nicht, da wir immer nur die Meldung im Anhang zurück bekommen, welche ich unten angefügt habe.
Auf die andere Anwendung können wir jedoch über den Reverse-Proxy einwandfrei zugreifen, daher denke ich nicht, dass es an dem Reverse-Proxy liegt.
Aufgefallen ist uns jedoch noch im Exchange-Server-Log noch folgendes, die Fehlermeldung kommt jedoch immer, egal ob mit oder ohne Reverse-Proxy. Sie scheint sich nur ohne den Reverse Proxy nicht bemerkbar zu machen:


Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, vom Server unterstützt. Fehler bei der SSL-Verbindungsanforderung.

Quelle Schannel EventID 36874

Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 40. Der Windows-SChannel-Fehlerstatus lautet: 1205.

Quelle Schannel EventID 36888

Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 46.

Quelle Schannel ID 36887


Jedoch bin ich mir nicht sicher, ob das tatsächlich der Grund für das Verbindungsproblem ist, da die Meldungen ja auch ohne den Reverse Proxy dazwischen erscheinen und dann ja alles Funktioniert.
Der Exchange-Server ist auf dem aktuellsten Patchlevel Stand 19.03.2021.

Ich würde mich sehr freuen, wenn mir jemand hierbei helfen könnte und Ideen dazu hat.
Vielen Dank im Vorraus
image001 - Klicke auf das Bild, um es zu vergrößern
Mitglied: bitnarrator
24.03.2021, aktualisiert um 16:11 Uhr
Ich würde gucken, welchen Verschlüsselungstyp (TLS-Version) der Exchange einsetzt und diese dann, wenn auch erwzungen, am Server einstellen.

Das Zertifikat das Exchange-Servers ist dem Reserve-Proxy bekannt? Notfalls manuell einbinden.


VG
bitnarrator

PS: Mach bei deinem Starface-Proxy aufch mal SSL rein ;-) face-wink Kommt besser...
Bitte warten ..
Mitglied: DarkHercules
24.03.2021 um 16:50 Uhr
Der Exchange-Server unterstützt die TLS-Versionen 1.1 und 1.2.
Das Zertifikat der CA ist dem Reverse-Proxy nicht bekannt, hier hätte ich jedoch den Parametzer gesetzt, dass er diese Ignoriert.
Die Starface ist die 2. Anwendung, welche dann auch über den Proxy laufen soll, hierzu muss ich ihn jedoch zuerst aktivieren dürfen, was ich momentan nicht kann, da dann der Exchange ja nicht mehr ansprechbar ist.

Vielen dank übrigens für den Hinweis, die Kundendomain im Bild hab ich übersehen und jetzt noch geschwärzt.

Wie kann ich im Apache fixen, dass dieser nur noch 1.2 nutzt und wieso ist dies bei dem Kunden notwendig.
Bei den letzten Reverse-Proxys vor Exchange-Servern war dies nicht nowendig?
Daher hätte ich eher auf einen Fehler im Exchange getippt.
Bitte warten ..
Mitglied: altmetaller
25.03.2021 um 08:06 Uhr
Hallo,

doppelte Verschlüsselung ist immer etwas unglücklich und mit erheblichen Performanceeinbrüchen verbunden.

Ich würde den Exchanger vom Proxy aus direkt auf Port 80 ansprechen (wenn der 2016 das noch kann).

Gruß,
Jörg
Bitte warten ..
Mitglied: Vans66
25.03.2021 um 09:12 Uhr
Hey,

ich habe die Erfahrung gemacht, dass hier ein Nginx deutlich einfacher zu händeln ist.

Nginx und keepalived auf zwei Server installieren, und dann nachher den Upstream per Servername zu unterschiedlichen Zielen schicken (Exchange und andere Webseiten/diensten ) Fertig ist das Cluster.

je nach Aufkommen kannst du den Ubuntu dann mit 1 kern und 1 GB Ram laufen lassen.
Es gibt viele Anleitungen, mit denen auch die Verschlüsselung vom Exchange gut funktioniert.

Über Geschwindigkeitsproblemen kann ich nicht klagen.

ist nur ein Vorschlag von mir. nicht dass gleich zerhackt werde xD.

Gruß
Vans66
Bitte warten ..
Mitglied: altmetaller
25.03.2021 um 10:29 Uhr
Hallo,

auf jedem Fall würde ich erst einmal die CA, die den Exchanger zertifiziert hat, auf dem Proxyserver etablieren.

Gruß,
Jörg
Bitte warten ..
Mitglied: Dani
25.03.2021, aktualisiert um 19:18 Uhr
Moin,
Der Exchange-Server unterstützt die TLS-Versionen 1.1 und 1.2
das ist aber nur die halbe Miete. Neben den SSL Prokolle spielen natürlich auch die Cipher Suites eine Rolle. Erst dann wird die Verbindung zwischen IIS und Apache2 funktionieren. Wobei der IIS keine eigene Bibliothek für Kryptografie mitbringt sondern auf die APIs von Windows Server zurückgreift.

Schau dir doch die SSL Konfiguration des Apache2 an. Du wirst feststellen, dass die Entwickler nur noch sehr starke Cipher Suites zu lässt. Wenn du nicht gerade Windows Server 2019 einsetzt, wird damit die Kommunikation mit dieser Konfiguration nie zu stande kommen. Das liegt einfach daran, dass Microsoft innerhalb einer Windows Server Version noch nie über ein Updates die Kryptobibliothek aktualisiert hat.

Kurz um: Passe die Konfiguration für SSL des Apache2 an und die Verbindung klappt.

Das Zertifikat der CA ist dem Reverse-Proxy nicht bekannt,
Wie hast du das unterbunden? Kann in diesen Fall nur ein Self-Signed Zertifikat sein. Was ich damit automatisch andere Probleme zu Tage fördert.

Bei den letzten Reverse-Proxys vor Exchange-Servern war dies nicht nowendig?
Andere Betriebssysteme, andere Apache2 Version, etc?!

Daher hätte ich eher auf einen Fehler im Exchange getippt.
Es ist kein Fehler der Anwendung, es ist ein Fehler des Admins. :-) face-smile

Gruß,
Dani
Bitte warten ..
Mitglied: DarkHercules
27.03.2021 um 21:53 Uhr
Der Exchange-Server unterstützt die TLS-Versionen 1.1 und 1.2
das ist aber nur die halbe Miete. Neben den SSL Prokolle spielen natürlich auch die Cipher Suites eine Rolle. Erst dann wird die Verbindung zwischen IIS und Apache2 funktionieren. Wobei der IIS keine eigene Bibliothek für Kryptografie mitbringt sondern auf die APIs von Windows Server zurückgreift.

Schau dir doch die SSL Konfiguration des Apache2 an. Du wirst feststellen, dass die Entwickler nur noch sehr starke Cipher Suites zu lässt. Wenn du nicht gerade Windows Server 2019 einsetzt, wird damit die Kommunikation mit dieser Konfiguration nie zu stande kommen. Das liegt einfach daran, dass Microsoft innerhalb einer Windows Server Version noch nie über ein Updates die Kryptobibliothek aktualisiert hat.

Kurz um: Passe die Konfiguration für SSL des Apache2 an und die Verbindung klappt.

OK, wenn es tatsächlich am Apache liegt tue ich das gerne, kannst du mir hier auch sagen, was ich genau anpassen muss?

Wundert mich nur, das ich das Identisch konfigurierte Reverse-Proxy bisher immer funktionierten.
Habe Reverse-Proxys inzwischen vor Exchange 2013, 2016 und 2019 laufen, die funktionieren alle Einwandfrei.
Der einzige Unterschied ist, dass bei den Exchange-Servern die komische Fehlermeldung nicht im Log zu finden ist.

Zu dieser Fehlermeldung evtl. auch eine Idee

Das Zertifikat der CA ist dem Reverse-Proxy nicht bekannt,
Wie hast du das unterbunden? Kann in diesen Fall nur ein Self-Signed Zertifikat sein. Was ich damit automatisch andere Probleme zu Tage fördert.

Ich habe in die Konfig des Proxys der Domains diese Parameter gesetzt:
SSLProxyEngine On
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off

Bei den letzten Reverse-Proxys vor Exchange-Servern war dies nicht notwendig?
Andere Betriebssysteme, andere Apache2 Version, etc?!

Die anderen Reverse Proxys laufen vor Exchange 2013, 2016, 2019 welche als Betriebssystem Windows Server 2012R2, 2016 und 2019 haben.
Dieser Hat ebenfalls Windows Server 2012R2 und ist ein Exchange 2013.
Sprich ja, ich habe auch schon Reverse-Proxys vor Exchange-Servern mit der gleichen Version und mit dem gleichen Betriebssystem laufen.

Daher hätte ich eher auf einen Fehler im Exchange getippt.
Es ist kein Fehler der Anwendung, es ist ein Fehler des Admins. :-) face-smile

Wird sich zeigen, will ich aber nicht verneinen.
Man lernt in unserem Beruf ja nie aus. :) face-smile
Ich muss jetzt nur herausfinden, wo das Problem liegt.
Wobei das Problem auch evtl. ich bin, der ich den Exchange Administriere.

ich hab nun auch mal getestet, was passiert, wenn ich einen anderen Reverse-Proxy, welcher vor einem anderen Exchange 2013 läuft auf diesen Exchange umbiege. ---> hier bekomme ich das gleiche Fehlerbild

Wenn ich diesen Reverse-Proxy auf den anderen Exchange 2013 umbiege funktioniert der Reverse-Proxy.

Scheint wohl doch was mit dem Exchange zu tun zu haben.

Für weitere Hilfe bin ich jederzeit empfänglich.
Bitte warten ..
Mitglied: Dani
05.04.2021 um 20:29 Uhr
Moin,
ich war leider die letzte Woche abwesend. Hast du eine Lösung inzwischen gefunden?


Gruß,
Dani
Bitte warten ..
Mitglied: DarkHercules
05.04.2021, aktualisiert um 21:55 Uhr
Moin,

leider nein.
Jedoch kann ich inzwischen sagen, dass der Fehler auch in der Ereignisanzeige zu sehen ist, wenn man nicht über den Reverse-Proxy auf den Exchange zugreift.
Nur wirkt sich der Fehler wohl dann nicht aus. Nur wenn man über den Reverse-Proxy kommt, kann dieser die SSL-Aushandlung nicht durchführen. (so Interpretiere ich den Fehler)
Daher wäre Step 1 wohl, den Fehler zu bearbeiten, welcher sich in der Ereignisanzeige des Exchange-Servers zeigt und dann weiter zu machen.
Für jegliche Vorschläge hierzu, wäre ich sehr dankbar, da ich leider so im Internet noch nichts brauchbares dazu gefunden habe.
Bitte warten ..
Mitglied: Vans66
06.04.2021 um 13:33 Uhr
Hey ,

Hast du diese Anleitung schon probiert ?

Wenn die funktioniert, würde ich aber die ECP Regel auskommentiern

https://znil.net/index.php/Apache2_als_Reverse_Proxy_f%C3%BCr_Exchange_2 ...
Bitte warten ..
Mitglied: DarkHercules
06.04.2021 um 13:48 Uhr
Ja, die habe ich schon ausprobiert.
Bitte warten ..
Mitglied: Vans66
06.04.2021 um 22:35 Uhr
Ich habe eine funktionsfähige nginx konfig. Die könnte ich dir teilen, wenn du den nginx nutzen möchtest .

Gruß vans66
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore11 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...