Hallo Experten,
zu allererst meine Topologie:
1. Server: Exchange 2013 Win2012R2 SRV1 Clientzugriff
2. Server: Exchange 2013 Win2012R2 SRV2 Postfach
Beide sind auch AD/DC-Server und DNS-Server. Ich weiß, dass dies nicht empfohlen ist... aber in meinem Fall vernachlässigbar. Die Installation und Konf. der Server sowie der Rollen insbesondere der Exchange-Server verliefen problemlos und routinemäßig.
Als ich dann das Wildcard-Domain Zertifikat *.domain.com auf SRV1 für die Dienste POP und IMAP konfigurieren wollte, gab es ein Problem. Wegen des FQDN der in diesem Zertifikat nicht gesetzt ist. Versucht habe ich es über das ECP (EAC).
Habe dann gegoogelt und den X509CertificateName gesetzt für beide Server... So sieht es jetzt aus:
[PS] C:\Windows\system32>Get-PopSettings -server srv1 | format-list
RunspaceId : ENTFERNT
Name : 1
ProtocolName : POP3
MaxCommandSize : 512
MessageRetrievalSortOrder : Ascending
UnencryptedOrTLSBindings : {[::]:110, 0.0.0.0:110}
SSLBindings : {[::]:995, 0.0.0.0:995}
InternalConnectionSettings : {mail.domain.com:995:SSL}
ExternalConnectionSettings : {mail.domain.com:995:SSL}
X509CertificateName : mail.domain.com
Banner : The Microsoft Exchange POP3 service is ready.
LoginType : SecureLogin
AuthenticatedConnectionTimeout : 00:30:00
PreAuthenticatedConnectionTimeout : 00:01:00
MaxConnections : 2147483647
MaxConnectionFromSingleIP : 2147483647
MaxConnectionsPerUser : 16
MessageRetrievalMimeFormat : BestBodyFormat
ProxyTargetPort : 9955
CalendarItemRetrievalOption : iCalendar
OwaServerUrl :
EnableExactRFC822Size : False
LiveIdBasicAuthReplacement : False
SuppressReadReceipt : False
ProtocolLogEnabled : False
EnforceCertificateErrors : False
LogFileLocation : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Pop3
LogFileRollOverSettings : Daily
LogPerFileSizeQuota : 0 B (0 bytes)
ExtendedProtectionPolicy : None
EnableGSSAPIAndNTLMAuth : True
Server : SRV1
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
DistinguishedName : CN=1,CN=POP3,CN=Protocols,CN=SRV1,CN=Servers,CN=Exchange Administrative Group
(ENTFERNT),CN=Administrative Groups,CN=ENTFERNT,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=ENTFERNT,DC=eu
Identity : SRV1\1
Guid : ENTFERNT
ObjectCategory : ENTFERNT.eu/Configuration/Schema/ms-Exch-Protocol-Cfg-POP-Server
ObjectClass : {top, protocolCfg, protocolCfgPOP, protocolCfgPOPServer}
WhenChanged : 16.07.2015 20:57:42
WhenCreated : 16.07.2015 12:04:58
WhenChangedUTC : 16.07.2015 18:57:42
WhenCreatedUTC : 16.07.2015 10:04:58
OrganizationId :
OriginatingServer : srv2.ENTFERNT.eu
IsValid : True
ObjectState : Unchanged
[PS] C:\Windows\system32>Get-PopSettings -server srv2 | format-list
RunspaceId : ENTFERNT
Name : 1
ProtocolName : POP3
MaxCommandSize : 512
MessageRetrievalSortOrder : Ascending
UnencryptedOrTLSBindings : {[::]:110, 0.0.0.0:110}
SSLBindings : {[::]:995, 0.0.0.0:995}
InternalConnectionSettings : {srv2.ENTFERNT.eu:995:SSL, srv2.ENTFERNT.eu:110:TLS}
ExternalConnectionSettings : {}
X509CertificateName : mail.domain.com
Banner : The Microsoft Exchange POP3 service is ready.
LoginType : SecureLogin
AuthenticatedConnectionTimeout : 00:30:00
PreAuthenticatedConnectionTimeout : 00:01:00
MaxConnections : 2147483647
MaxConnectionFromSingleIP : 2147483647
MaxConnectionsPerUser : 16
MessageRetrievalMimeFormat : BestBodyFormat
ProxyTargetPort : 9955
CalendarItemRetrievalOption : iCalendar
OwaServerUrl :
EnableExactRFC822Size : False
LiveIdBasicAuthReplacement : False
SuppressReadReceipt : False
ProtocolLogEnabled : False
EnforceCertificateErrors : False
LogFileLocation : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Pop3
LogFileRollOverSettings : Daily
LogPerFileSizeQuota : 0 B (0 bytes)
ExtendedProtectionPolicy : None
EnableGSSAPIAndNTLMAuth : True
Server : SRV2
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
DistinguishedName : CN=1,CN=POP3,CN=Protocols,CN=SRV2,CN=Servers,CN=Exchange Administrative Group
(ENTFERNT),CN=Administrative Groups,CN=ENTFERNT,CN=Microsoft
Exchange,CN=Services,CN=Configuration,DC=ENTFERNT,DC=eu
Identity : SRV2\1
Guid : ENTFERNT
ObjectCategory : ENTFERNT.eu/Configuration/Schema/ms-Exch-Protocol-Cfg-POP-Server
ObjectClass : {top, protocolCfg, protocolCfgPOP, protocolCfgPOPServer}
WhenChanged : 16.07.2015 18:57:53
WhenCreated : 16.07.2015 12:07:58
WhenChangedUTC : 16.07.2015 16:57:53
WhenCreatedUTC : 16.07.2015 10:07:58
OrganizationId :
OriginatingServer : srv2.ENTFERNT.eu
IsValid : True
ObjectState : Unchanged
Trotzdem:
[PS] C:\Windows\system32>Enable-ExchangeCertificate -server srv1
Neue Sitzung für implizite Remotevorgänge des Befehls "Enable-ExchangeCertificate" wird erstellt...
Cmdlet Enable-ExchangeCertificate an der Befehlspipelineposition 1
Geben Sie Werte für die folgenden Parameter an:
Services: POP
Thumbprint: ENTFERNT
WARNUNG: Dieses Zertifikat mit dem Fingerabdruck ENTFERNT und dem Antragsteller
'*.domain.com' kann für POP-SSL/TLS-Verbindungen nicht verwendet werden, da der Antragsteller kein vollqualifizierter
Domänenname (FQDN) ist. Verwenden Sie den Befehl 'Set-POPSettings', um X509CertificateName auf den FQDN des Diensts
festzulegen.
Ich habe schon zig mal gegoogelt aber immer nur die gleiche "Lösung" nämlich das Setzen des X509CertificateName bekommen. Leider haut das nicht hin... Server neugestartet und die Services IMAP und POP habe ich auf SRV1&2 auch neugestartet. Nichts hilft.
Bitte um Ratschläge!
*"ENTFERNT": Es wurden "sensible Daten" (die ich nicht veröffentlichen möchte) entfernt. Aber so viel sei gesagt: Die Domäne endet auf .eu und gehört mir (domain.eu) und als Hostname zu verbinden möchte ich mail.domain.com (domain.com gehört auch mir) verwenden, da ich dort ein Wildcard-Zert habe und bei der .eu nicht. Das Zertifikat ist gekauft und nicht selbstausgestellt.