1
M365 - Zertifikat-Fehler beim HCW
Hi,
wir haben hier ein Problem im Exchange on premise mit den Zertifikaten.
Für SMTP ist ein Zertifikat hinterlegt. Dieses bekommt man auch geliefert, wenn man dieses z.B. mit NMAP abfragt.
Fragt man jedoch mit der PowerShell ab, welche Zertifikate am Exchange hinterlegt sind, dann wird für das betreffende Zertifikat nicht geliefert, dass es auch für SMTP hinterlegt ist.
Dieser Umstand fällt uns auf die Füße, wenn wir den Microsoft Office 365 Hybrid Configuration Wizard (HCW) ausführen. Der HCW läuft dann in einen Fehler und meldet, dass das ausgewählte Zertifikat nicht für SMTP aktiviert sei, und bricht ab. Das ist das eigentliche Problem.
Der Fehler, welchen der HCW liefert:
Dazu gehörend die Fehlermeldung im Eventlog des Exchange Servers, mit welchem der HCW gearbeitet hat:
Wenn man am Exchange Server die Zertifikate abfragt, dann bekommt man:
Interessant ist dabei:
Dieses Zertifikat ist aber definitiv für SMTP aktiviert und wird auch geliefert, wenn man mit NMAP abfragt.
Wenn man jetzt im PowerShell das Zertifikat erneut für SMTP aktiviert, dann wird es trotzdem hinterher nicht dafür angezeigt.
Alle Tipps, welche wir bereits im Web gefunden haben, laufen immer darauf hinaus, dass man mit Enable-ExchangeCertificate das Zertifikat erneut für SMTP setzen soll. Was wir ja bereits versucht haben.
Es ist offenbar nur ein Abfrage-Fehler innerhalb der PowerShell. Der HCW setzt auch nur PowerShell-Kommandos ab und läuft deshalb in diesen Fehler.
Defacto funktioniert das SMTP aber mit diesem Zertifikat.
Ich hoffe, Ihr könnt mir folgen.
Was kann man da machen?
E.
wir haben hier ein Problem im Exchange on premise mit den Zertifikaten.
Für SMTP ist ein Zertifikat hinterlegt. Dieses bekommt man auch geliefert, wenn man dieses z.B. mit NMAP abfragt.
Fragt man jedoch mit der PowerShell ab, welche Zertifikate am Exchange hinterlegt sind, dann wird für das betreffende Zertifikat nicht geliefert, dass es auch für SMTP hinterlegt ist.
Dieser Umstand fällt uns auf die Füße, wenn wir den Microsoft Office 365 Hybrid Configuration Wizard (HCW) ausführen. Der HCW läuft dann in einen Fehler und meldet, dass das ausgewählte Zertifikat nicht für SMTP aktiviert sei, und bricht ab. Das ist das eigentliche Problem.
Der Fehler, welchen der HCW liefert:
HCW0000 PowerShell failed to invoke 'Set-SendConnector': Das angegebene Zertifikat ist nicht für das SMTP-Protokoll aktiviert. Nur Zertifikate, die für das SMTP-Protokoll aktiviert sind, können für Sendeconnectors festgelegt werden. Um ein Zertifikat für SMTP zu aktivieren, verwenden Sie das Cmdlet "Enable-ExchangeCertificate". {CategoryInfo={Activity=[System.String] Set-SendConnector,Category=[System.Management.Automation.ErrorCategory] InvalidOperation,Reason=[System.String] InvalidOperationException,TargetName=[System.String] Outbound to Office 365 - 834ae00b-8d3f-44c4-8178-2e5ea92b2475,TargetType=[System.String] ADObjectId},ErrorDetails=,Exception=[System.Management.Automation.RemoteException] Das angegebene Zertifikat ist nicht für das SMTP-Protokoll aktiviert. Nur Zertifikate, die für das SMTP-Protokoll aktiviert sind, können für Sendeconnectors festgelegt werden. Um ein Zertifikat für SMTP zu aktivieren, verwenden Sie das Cmdlet "Enable-ExchangeCertificate".,FullyQualifiedErrorId=[System.String] [Server=EX01,RequestId=278bd701-4d94-42b0-b2e5-dc510281664c,TimeStamp=09.02.2023 12:37:51] [FailureCategory=Cmdlet-InvalidOperationException] 7B12F9EB,Microsoft.Exchange.Management.SystemConfigurationTasks.SetSendConnector}
Dazu gehörend die Fehlermeldung im Eventlog des Exchange Servers, mit welchem der HCW gearbeitet hat:
Cmdlet failed. Cmdlet Set-SendConnector, parameters -Name "Outbound to Office 365 - 834ae00b-8d3f-44c4-8178-2e5ea92b2475" -Fqdn "mail.maildomain.de" -AddressSpaces ("smtp:unserecloud.mail.onmicrosoft.com;1",+"smtp:unserecloud.mail.onmicrosoft.com;1") -IgnoreSTARTTLS "False" -DNSRoutingEnabled "True" -TlsCertificateName "<I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=mail.maildomain.de, O=Firma, L=Berlin, C=DE" -DomainSecureEnabled "False" -SmartHosts $null -SourceTransp.
Wenn man am Exchange Server die Zertifikate abfragt, dann bekommt man:
(Get-ExchangeCertificate -Server EX01) | select Subject, Services
Subject Services
------- --------
CN=EX01.domain.tld SMTP
CN=mail.maildomain.de, O=Firma, L=Berlin, C=DE IMAP, POP, IIS
CN=EX01 IIS, SMTP
CN=Microsoft Exchange Server Auth Certificate SMTP
CN=smex.domain.tld, OU=UnsereOU, O=Firma, L=Berlin, S=Berlin, C=DE IIS
CN=EX01.domain.tld, O=Trend Micro ScanMail for Microsoft Exchange None
CN=WMSvc-SHA2-EX01 NoneCN=mail.maildomain.de, O=Firma, L=Berlin, C=DE IMAP, POP, IISDieses Zertifikat ist aber definitiv für SMTP aktiviert und wird auch geliefert, wenn man mit NMAP abfragt.
nmap -p 25 --script ssl-cert smtp.maildomain.de
Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-09 13:49 Mitteleuropäische Zeit
NSOCK ERROR [0.1230s] ssl_init_helper(): OpenSSL legacy provider failed to load.
Nmap scan report for smtp.maildomain.de (x.y.z.w)
Host is up (0.00013s latency).
PORT STATE SERVICE
25/tcp open smtp
| ssl-cert: Subject: commonName=mail.maildomain.de/organizationName=UnsereFirma/countryName=DE
| Subject Alternative Name: DNS:mail.maildomain.de, DNS:m365connect.maildomain.de, DNS:attachment-owa.maildomain.de, DNS:exchange.maildomain.de, DNS:outlook.maildomain.de, DNS:smtp.maildomain.de
| Issuer: commonName=GeoTrust RSA CA 2018/organizationName=DigiCert Inc/countryName=US
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2022-06-20T00:00:00
| Not valid after: 2023-07-21T23:59:59
| MD5: xxxxxxxxxxxxxxxxxxxx
|_SHA-1: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
MAC Address: 00:50:56:AA:BB:CC (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.51 secondsWenn man jetzt im PowerShell das Zertifikat erneut für SMTP aktiviert, dann wird es trotzdem hinterher nicht dafür angezeigt.
Enable-ExchangeCertificate -Server EX01 -Thumbprint xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -Services SMTP,POP,IMAP,IIS
Get-ExchangeCertificate -Server EX01 | ?{$_.thumbprint -eq "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"} | select Services
Services
--------
IMAP, POP, IISAlle Tipps, welche wir bereits im Web gefunden haben, laufen immer darauf hinaus, dass man mit Enable-ExchangeCertificate das Zertifikat erneut für SMTP setzen soll. Was wir ja bereits versucht haben.
Es ist offenbar nur ein Abfrage-Fehler innerhalb der PowerShell. Der HCW setzt auch nur PowerShell-Kommandos ab und läuft deshalb in diesen Fehler.
Defacto funktioniert das SMTP aber mit diesem Zertifikat.
Ich hoffe, Ihr könnt mir folgen.
Was kann man da machen?
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5924299110
Url: https://administrator.de/contentid/5924299110
Printed on: April 27, 2024 at 00:04 o'clock
1 Comment
Lösche das Zertifikat am Exchange und importiere es per powershell mit dieser Anleitung.
https://www.alitajran.com/install-exchange-certificate-with-powershell/
Danach kannst du es über die Gui an smtp binden. Dann klappt es auch mit dem HCW.
https://www.alitajran.com/install-exchange-certificate-with-powershell/
Danach kannst du es über die Gui an smtp binden. Dann klappt es auch mit dem HCW.
1