emeriks
Goto Top

M365 - Zertifikat-Fehler beim HCW

Hi,
wir haben hier ein Problem im Exchange on premise mit den Zertifikaten.

Für SMTP ist ein Zertifikat hinterlegt. Dieses bekommt man auch geliefert, wenn man dieses z.B. mit NMAP abfragt.
Fragt man jedoch mit der PowerShell ab, welche Zertifikate am Exchange hinterlegt sind, dann wird für das betreffende Zertifikat nicht geliefert, dass es auch für SMTP hinterlegt ist.

Dieser Umstand fällt uns auf die Füße, wenn wir den Microsoft Office 365 Hybrid Configuration Wizard (HCW) ausführen. Der HCW läuft dann in einen Fehler und meldet, dass das ausgewählte Zertifikat nicht für SMTP aktiviert sei, und bricht ab. Das ist das eigentliche Problem.

Der Fehler, welchen der HCW liefert:
HCW0000 PowerShell failed to invoke 'Set-SendConnector': Das angegebene Zertifikat ist nicht für das SMTP-Protokoll aktiviert. Nur Zertifikate, die für das SMTP-Protokoll aktiviert sind, können für Sendeconnectors festgelegt werden. Um ein Zertifikat für SMTP zu aktivieren, verwenden Sie das Cmdlet "Enable-ExchangeCertificate". {CategoryInfo={Activity=[System.String] Set-SendConnector,Category=[System.Management.Automation.ErrorCategory] InvalidOperation,Reason=[System.String] InvalidOperationException,TargetName=[System.String] Outbound to Office 365 - 834ae00b-8d3f-44c4-8178-2e5ea92b2475,TargetType=[System.String] ADObjectId},ErrorDetails=,Exception=[System.Management.Automation.RemoteException] Das angegebene Zertifikat ist nicht für das SMTP-Protokoll aktiviert. Nur Zertifikate, die für das SMTP-Protokoll aktiviert sind, können für Sendeconnectors festgelegt werden. Um ein Zertifikat für SMTP zu aktivieren, verwenden Sie das Cmdlet "Enable-ExchangeCertificate".,FullyQualifiedErrorId=[System.String] [Server=EX01,RequestId=278bd701-4d94-42b0-b2e5-dc510281664c,TimeStamp=09.02.2023 12:37:51] [FailureCategory=Cmdlet-InvalidOperationException] 7B12F9EB,Microsoft.Exchange.Management.SystemConfigurationTasks.SetSendConnector}

Dazu gehörend die Fehlermeldung im Eventlog des Exchange Servers, mit welchem der HCW gearbeitet hat:
Cmdlet failed. Cmdlet Set-SendConnector, parameters -Name "Outbound to Office 365 - 834ae00b-8d3f-44c4-8178-2e5ea92b2475" -Fqdn "mail.maildomain.de" -AddressSpaces ("smtp:unserecloud.mail.onmicrosoft.com;1",+"smtp:unserecloud.mail.onmicrosoft.com;1") -IgnoreSTARTTLS "False" -DNSRoutingEnabled "True" -TlsCertificateName "<I>CN=GeoTrust RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US<S>CN=mail.maildomain.de, O=Firma, L=Berlin, C=DE" -DomainSecureEnabled "False" -SmartHosts $null -SourceTransp.

Wenn man am Exchange Server die Zertifikate abfragt, dann bekommt man:
(Get-ExchangeCertificate -Server EX01) | select Subject, Services

Subject                                                                                    Services
-------                                                                                    --------
CN=EX01.domain.tld                                                                             SMTP
CN=mail.maildomain.de, O=Firma, L=Berlin, C=DE                                       IMAP, POP, IIS
CN=EX01                                                                                   IIS, SMTP
CN=Microsoft Exchange Server Auth Certificate                                                  SMTP
CN=smex.domain.tld, OU=UnsereOU, O=Firma, L=Berlin, S=Berlin, C=DE                              IIS
CN=EX01.domain.tld, O=Trend Micro ScanMail for Microsoft Exchange                              None
CN=WMSvc-SHA2-EX01                                                                             None
Interessant ist dabei:
CN=mail.maildomain.de, O=Firma, L=Berlin, C=DE                                     IMAP, POP, IIS

Dieses Zertifikat ist aber definitiv für SMTP aktiviert und wird auch geliefert, wenn man mit NMAP abfragt.
nmap -p 25 --script ssl-cert smtp.maildomain.de

Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-09 13:49 Mitteleuropäische Zeit
NSOCK ERROR [0.1230s] ssl_init_helper(): OpenSSL legacy provider failed to load.

Nmap scan report for smtp.maildomain.de (x.y.z.w)
Host is up (0.00013s latency).

PORT   STATE SERVICE
25/tcp open  smtp
| ssl-cert: Subject: commonName=mail.maildomain.de/organizationName=UnsereFirma/countryName=DE
| Subject Alternative Name: DNS:mail.maildomain.de, DNS:m365connect.maildomain.de, DNS:attachment-owa.maildomain.de, DNS:exchange.maildomain.de, DNS:outlook.maildomain.de, DNS:smtp.maildomain.de
| Issuer: commonName=GeoTrust RSA CA 2018/organizationName=DigiCert Inc/countryName=US
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2022-06-20T00:00:00
| Not valid after:  2023-07-21T23:59:59
| MD5:   xxxxxxxxxxxxxxxxxxxx
|_SHA-1: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
MAC Address: 00:50:56:AA:BB:CC (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.51 seconds

Wenn man jetzt im PowerShell das Zertifikat erneut für SMTP aktiviert, dann wird es trotzdem hinterher nicht dafür angezeigt.
Enable-ExchangeCertificate -Server EX01 -Thumbprint xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -Services SMTP,POP,IMAP,IIS

Get-ExchangeCertificate -Server EX01 | ?{$_.thumbprint -eq "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"} | select Services  

      Services
      --------
IMAP, POP, IIS

Alle Tipps, welche wir bereits im Web gefunden haben, laufen immer darauf hinaus, dass man mit Enable-ExchangeCertificate das Zertifikat erneut für SMTP setzen soll. Was wir ja bereits versucht haben.

Es ist offenbar nur ein Abfrage-Fehler innerhalb der PowerShell. Der HCW setzt auch nur PowerShell-Kommandos ab und läuft deshalb in diesen Fehler.
Defacto funktioniert das SMTP aber mit diesem Zertifikat.

Ich hoffe, Ihr könnt mir folgen.

Was kann man da machen?

E.

Content-ID: 5924299110

Url: https://administrator.de/contentid/5924299110

Ausgedruckt am: 18.12.2024 um 17:12 Uhr

pianoman82
pianoman82 09.02.2023 um 19:19:22 Uhr
Goto Top
Lösche das Zertifikat am Exchange und importiere es per powershell mit dieser Anleitung.

https://www.alitajran.com/install-exchange-certificate-with-powershell/

Danach kannst du es über die Gui an smtp binden. Dann klappt es auch mit dem HCW.