Exchange Hybrid TLS Troubleshooting

Im folgenden zwei kleine Fehler, die mir beim letzten Wechsel der TLS-Zertifikate auf einem Microsoft Exchange Edge Server begegnet sind und die unter Umständen dem ein oder anderen helfen könnten.

Could not grant Network Service access

Trotz Lese-Berechtigungen des Network Service auf den Private Key des Zertifikats, wurde beim versuchten Zuweisen eben jenes der folgende Fehler ausgeworfen:

Enable-ExchangeCertificate -Thumbprint XXXXXXXXXXXXXXXX -Services POP,IMAP,SMTP,IIS

Enable Could not grant Network Service access to the certificate with thumbprint XXXXXXXXXXXXXXXX because a cryptographic exception was thrown.
Passend dazu erfolgte auch im Event Log der folgende Eintrag, der mich auf fehlende Ausnahmen in der AntiVirus-Richtlinie hinwies.
Log Name:      Application
Source:        McAfee Endpoint Security
Event ID:      3
Task Category: None
Level:         Error
Keywords:      Classic
User:          SYSTEM
Description:
EventID=18060
NT AUTHORITY\SYSTEM hat D:\Program Files\Microsoft\Exchange Server\V15\Bin\Microsoft.Exchange.ServiceHost.exe ausgeführt. Dieser Prozess hat versucht, auf C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e1c4b977f84bfebae6e700f6df587381_0dd23bb3-0a65-4df5-aa14-c4f30c49bf5d zuzugreifen, hat damit die Regel "Malware Behavior: Windows EFS abuse" verletzt und wurde daher blockiert. In KB85494 wird erläutert, wie Sie auf dieses Ereignis reagieren können.
Nach der Korrektur der Richtlinie funktionierte die Zuweisung mittels Enable-ExchangeCertificate problemlos.

Outbound TLS authentication failed with error RevocationOffline for Send connector Outbound to Office 365

Nach dem Export der Edge Subscription auf den Microsoft Exchange Edge Servern und anschließendem Import der Subscription auf den Mailbox Servern wurde folgender Error im Event Log protokolliert.

Log Name:      Application
Source:        MSExchangeTransport
Event ID:      2022
Task Category: SmtpSend
Level:         Error
Keywords:      Classic
User:          N/A
Description:
Outbound TLS authentication failed with error RevocationOffline for Send connector Outbound to Office 365. The TLS authentication mechanism is DomainValidation. Target is xxx.mail.protection.outlook.com.

Hintergrund war eine falsche Proxy-Konfiguration. Zwar war der Proxy in den Internet Settings konfiguriert, das interessiert Exchange jedoch relativ wenig. Diese muss auch per netsh winhttp proxy gesetzt werden. Im Anschluss verschwand die Fehlermeldung und der Mail Flow funktionierte wie zuvor.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.