Mail Flow Exchange 2007 zu 2013 421 4.4.2 connection dropped due to SocketError

Hallo Zusammen,

ich wollte euch teilhaben lassen an einer Lösung an der wir lange verzweifelt gesucht haben die letztendlich der Microsoft Support gelöst hat:

• Migration von Exchange 2007 (auf 2003R2) zu Exchange 2013 (auf 2012R2)
• Nach der Exchange 2013 Installation können keine Emails vom 2013er zum 2007er Exchange geschickt werden
• Die Emails bleiben in der Warteschlange mit der Meldung: 421 4.4.2 connection dropped due to SocketError

Wir haben wochenlang rumprobiert, Sendeconnectors neugebaut, Tracing ausgeführt etc. . Am Ende den Microsoft Support kontaktiert der nach 1-2 Wochen dann die Lösung wusste:

Problembeschreibung:
Nachrichtenversendung von Exchange 2013 nach 2007 schlägt fehl

Technische Analyse:
Die ExTRA Traces haben den Verdacht bestätigt. Der Aufbau der TLS Verbindung schlägt mit BufferNotEnough fehl. Das tritt üblicherweise dann auf, wenn die Liste der 'trusted root certificates' zu groß ist denn beim 'TLS Handshake' wird standardmäßig die Liste der 'trusted roots' mit übertragen.

Um das zu verifizieren aktivieren Sie bitte wie folgt das Logging:

Windows Server 2003 is designed to automatically examine the list of trusted certification authorities on the Microsoft Windows Update Web site when you update root certificates. Then, Windows installs the appropriate root certificate after that certificate is validated by a user's program.

Note In Windows Server 2003, the list of certificate authorities cannot exceed 12,228 (0x3000) bytes. When you update root certificates, the list of trusted certificate authorities may increase significantly. Therefore, the list may become too long. In this case, Windows truncates the list. This behavior may cause problems with authorization. In this scenario, you may experience the problem that is described in the "Symptoms" section.
How to configure logging for Schannel events
Warning Serious problems might occur if you modify the registry incorrectly by using Registry Editor or by using another method. These problems might require that you reinstall the operating system. Microsoft cannot guarantee that these problems can be solved. Modify the registry at your own risk.

To configure Schannel to log Warning events in the System log, set the following registry entry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


Value name: EventLogging
Value type: REG_DWORD
Value data: 0x3
Note A value of 0x3 configures Schannel to log Warning events and Error events.

Starten Sie anschließend bitte den Transport Dienst auf 2007 neu und überprüfen Sie, ob Sie im System Event Log das Event 36885 finden.

Problemlösung:
Wenn ja, dann gibt es mehrere Möglichkeiten das Problem zu lösen. Es gibt einen Fix der das Limit von 12,228 auf 16k anhebt, einige trusted roots könnten entfernt werden oder der Server wird über einen Registry Key gezwungen während des TLS Handshake die Liste der 'trusted roots' mitzusenden. Details dazu finden Sie in http://support.microsoft.com/kb/933430.

Falls Sie das Event 36885 finden so schlage ich vor daß Sie der Einfachheit halber die Übertragung der Liste wie folgt abschalten:

To set this registry entry, follow these steps:
1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
3. On the Edit menu, point to New, and then click DWORD Value.
4. Type SendTrustedIssuerList, and then press ENTER to name the registry entry.
5. Right-click SendTrustedIssuerList, and then click Modify.
6. In the Value data box, type 0 if that value is not already displayed, and then click OK.
7. Exit Registry Editor.

Content-Key: 259316

Url: https://administrator.de/contentid/259316

Ausgedruckt am: 23.10.2021 um 05:10 Uhr

Mitglied: colinardo
colinardo 09.01.2015 aktualisiert um 12:34:33 Uhr
Goto Top
Hallo dgrebner,
Danke für deinen Beitrag, es wäre schön wenn du den Typ deines Beitrags noch als Tipp deklarieren würdest :-) face-smile
(Beitrag bearbeiten , oben rechts den Typ ändern)
Merci.

Grüße Uwe
Heiß diskutierte Beiträge
question
Einfache Software für MitarbeiterinformationichbinwerichbinVor 1 TagFrageZusammenarbeit9 Kommentare

Guten Morgen Ich lese hier schon seit Jahren und bräuchte jetzt mal einen Hinweis. Ich weiss nicht ob Fragen nach Software beantwortet werden (Werbung?) aber ...

question
Netzwerk Neuaufbau - DHCP - VLANs gelöst SommelierVor 1 TagFrageWindows Server17 Kommentare

Hallo zusammen! Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen. Wir wollen verschiedene VLANs anlegen: Printer (172.16.20.0/24) Windowsumgebung ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 19 StundenFrageNetzwerke11 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 19 StundenFrageSicherheit13 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 23 StundenFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
Standort vs. Standort gelöst erikroVor 1 TagFrageWindows Server8 Kommentare

Moin, Hintergrund der Frage ist, dass ich für ein PS-Skript auf dem RDS wissen muss, wo der Client steht. Ich hatte zuerst die Idee, das ...

question
HA Konstrukt für Firmennetzwerk mit mehreren WAN VerbindungenITAllrounderVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Guten Morgen zusammen, ich stehe gerade vor der Überlegung unser Firmen Netzwerk etwas umzustrukturieren. Aktuell primäres Problem: Wir haben theoretisch 2x Sophos XG310 (nur 1x ...

question
Mitarbeiter Onboarding Trainings Program on Premise gelöst MineralwasserVor 1 TagFrageSonstige Systeme3 Kommentare

Guten Nachmittag Kennt jemand ein gutes Programm das als Web-Service läuft, jedoch am besten nicht in der Cloud um die Mitarbeiter zu schulen. Also wenn ...