Konfigurieren von MTLS (Mutual Transport Layer Security) für die Domänensicherheit

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2009-04-20

In diesem Thema wird erläutert, wie die Exchange-Verwaltungsshell zum Konfigurieren von MTLS für die Domänensicherheit verwendet wird. Hierbei handelt es sich um einen Satz von Funktionen in Microsoft Exchange Server 2007 und Microsoft Office Outlook 2007, die eine relativ kostengünstige Alternative zu S/MIME und anderen Sicherheitslösungen auf Nachrichtenebene darstellen.

Zur besseren Veranschaulichung wird in diesem Thema beschrieben, wie Exchange-Administratoren in dem fiktiven Unternehmen Contoso ihre Exchange 2007-Umgebung für den Austausch domänengesicherter E-Mail-Nachrichten mit ihrem Partner, der Woodgrove Bank, konfigurieren. In diesem Szenario möchte Contoso sicherstellen, dass alle von der bzw. an die Woodgrove Bank gesendeten E-Mail-Nachrichten mit MTLS geschützt werden. Darüber hinaus möchte Contoso die Domänensicherheitsfunktionalität konfigurieren, sodass alle von der und an die Woodgrove Bank gesendeten E-Mail-Nachrichten zurückgewiesen werden, wenn MTLS nicht verwendet werden kann.

Contoso verfügt über eine interne Public-Key-Infrastruktur (PKI), die Zertifikate generiert. Das Stammzertifikat der PKI wurde durch eine Zertifizierungsstelle (Certificate Authority, CA) eines größeren Drittanbieters signiert. Die Woodgrove Bank verwendet die Zertifizierungsstelle desselben Drittanbieters zum Generieren der Zertifikate. Daher vertrauen das Unternehmen Contoso und die Woodgrove Bank der Stammzertifizierungsstelle des jeweils anderen Unternehmens.

Zum Einrichten von MTLS führen die Exchange-Administratoren bei Contoso die folgenden Verfahren durch:

  1. Generieren einer Zertifikatanforderung für TLS-Zertifikate

  2. Importieren des Zertifikats auf Edge-Transport-Server.

  3. Konfigurieren der Sicherheit von Ausgangsdomänen

  4. Konfigurieren der Sicherheit von Eingangsdomänen

  5. Testen der Nachrichtenübermittlung

Bevor Sie beginnen

Für die Konfiguration von MTLS ist Folgendes erforderlich:

  • Zugriff auf interne Servercomputer mit Exchange 2007 mithilfe der Cmdlets Set-TransportConfig und New-SendConnector, wenn keine Sendeconnectors konfiguriert wurden.

  • Zugriff auf die Edge-Transport-Server, auf denen die ExchangeCertificate-Cmdlets ausgeführt werden.

Grundsätzlich sollten nicht mit den ExchangeCertificate-Cmdlets an der Domänensicherheitsfunktionalität vorgenommene Konfigurationsänderungen innerhalb der Organisation durchgeführt werden und mit dem EdgeSync-Dienst von Microsoft Exchange auf Edge-Transport-Servern synchronisiert werden.

Wenn Sie TLS-Zertifikate mithilfe der ExchangeCertificate-Cmdlets importieren und konfigurieren, müssen Sie die Cmdlets auf dem Edge-Transport-Server ausführen, den Sie konfigurieren. Zum Ausführen der ExchangeCertificate-Cmdlets auf einem Computer, auf dem die Serverfunktion Edge-Transport installiert ist, müssen Sie sich mit einem Konto anmelden, das Mitglied der lokalen Gruppe Administratoren auf diesem Computer ist.

Damit Sie das Cmdlet Set-TransportConfig ausführen können, muss dem Konto die Rolle Exchange-Organisationsadministrator zugewiesen worden sein.

Damit Sie das Cmdlet New-SendConnector ausführen können, muss dem verwendeten Konto die Rolle Exchange-Serveradministrator zugewiesen worden sein, und es muss der lokalen Gruppe Administratoren auf dem betreffenden Computer angehören.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

In diesem Thema wird davon ausgegangen, dass Sie das Thema Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS gelesen und verstanden haben.

Der EdgeSync-Dienst von Microsoft Exchange muss vollständig bereitgestellt werden, damit Domänensicherheit gewährleistet werden kann.

Bevor MTLS ordnungsgemäß auf einem Edge-Transport-Server ausgeführt werden kann, müssen Sie den Computer und die PKI-Umgebung so konfigurieren, dass die Zertifikatüberprüfung und Überprüfung der Zertifikatsperrliste ausgeführt werden können. Weitere Informationen finden Sie unter Aktivieren einer PKI auf dem Edge-Transport-Server für die Domänensicherheit.

Generieren einer Zertifikatanforderung für TLS-Zertifikate

Wie bereits weiter oben in diesem Thema erwähnt, verfügt Contoso über eine PKI, die der Zertifizierungsstelle eines Drittanbieters untergeordnet ist. In diesem Szenario bezieht sich der Begriff Unterordnung auf die Tatsache, dass die von Contoso in der unternehmenseigenen Infrastruktur bereitgestellte Zertifizierungsstelle ein Stammzertifikat aufweist, das durch eine öffentliche Zertifizierungsstelle eines Drittanbieters signiert wurde. Standardmäßig ist die öffentliche Zertifizierungsstelle des Drittanbieters eines der vertrauenswürdigen Stammzertifikate im Zertifikatspeicher von Microsoft Windows. Daher kann sich jeder Client, in dessen vertrauenswürdigem Stammspeicher dieselbe Drittanbieterzertifizierungsstelle enthalten ist und der sich bei Contoso anmeldet, für das von Contoso vorgelegte Zertifikat authentifizieren.

Contoso verfügt über zwei Edge-Transport-Server, die TLS-Zertifikate benötigen: mail1.contoso.com und mail2.mail.contoso.com. Der E-Mail-Administrator bei Contoso muss daher zwei Zertifkatanforderungen generieren, d. h. für jeden Server eine.

Im folgenden Verfahren ist der Befehl dargestellt, mit dem der Administrator eine base64-codierte PKCS#10-Zertifikatanforderung generiert. Der Contoso-Administrator muss diesen Befehl zweimal ausführen: einmal für CN=mail1.contoso.com und einmal für CN=mail2.mail.contoso.com.

Hinweis

Der allgemeine Name (Common Name, CN) im Antragstellernamen des sich ergebenden Zertifikats lautet mail1.contoso.com bzw. mail2.mail.contoso.com. Der alternative Antragstellername lautet mail.contoso.com. Dies ist der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) einer der für Contoso konfigurierten akzeptierten Domänen.

So erstellen Sie eine TLS-Zertifikatanforderung

  • Führen Sie den folgenden Befehl aus:

    New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate" -Path c:\certificates\request.p7c -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com"  -DomainName mail.contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ExchangeCertificate.

Wichtig

Die speziellen Details des erstellten Zertifikats oder der erstellten Zertifikatsanforderung hängen von vielen Variablen ab. Wenn Sie eine Anforderung generieren, stellen Sie sicher, dass Sie eng mit der Zertifizierungsstelle oder dem PKI-Administrator zusammenarbeiten, die/der das Zertifikat ausgibt. Weitere Informationen zum Erstellen einer Zertifikatsanforderung für TLS finden Sie unter Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS.

Transport von Zertifikaten und zugehörigen Schlüsseln

Wenn Sie ein Zertifikat vom PKI-Anbieter oder der Zertifizierungsstelle erhalten, konvertieren Sie das ausgestellte Zertifikat in eine PFX-Datei (PKCS#12), so dass Sie es im Rahmen Ihres Notfallplans sichern können. Eine PFX-Datei enthält das Zertifikat und zugehörige Schlüssel. In einigen Fällen möchten Sie das Zertifikat und die Schlüssel möglicherweise auf andere Computer verschieben. Wenn Sie beispielsweise über mehrere Edge-Transport-Server verfügen, über die Sie voraussichtlich domänengesicherte E-Mails senden und empfangen, können Sie ein einziges Zertifikat für alle Server erstellen. In diesem Fall müssen Sie das Zertifikat für TLS auf jeden Edge-Transport-Server importieren und aktivieren.

So lange Sie eine Kopie der PFX-Datei an einem sicheren Ort archiviert haben, können Sie die Zertifikate jederzeit importieren und aktivieren. Die PFX-Datei enthält den privaten Schlüssel, daher ist es wichtig, die Datei physikalisch zu schützen, indem Sie sie auf einem Speichermedium an einem sicheren Ort aufbewahren.

Beachten Sie unbedingt, dass das Cmdlet Import-ExchangeCertificate den importierten privaten Schlüssel aus der PFX-Datei als nicht exportierbar kennzeichnet. Diese Funktionalität ist so beabsichtigt.

Wenn Sie das Zertifikat-Manager-Snap-In in Microsoft Management Console (MMC) verwenden, um eine PFX-Datei zu importieren, können Sie die Exportierbarkeit des privaten Schlüssels und einen starken Schlüsselschutz festlegen.

Wichtig

Aktivieren Sie den starken Schlüsselschutz nicht bei Zertifikaten, die für TLS bestimmt sind. Der starke Schlüsselschutz fordert den Benutzer zur Eingabe auf, wenn auf den privaten Schlüssen zugegriffen wird. Bei Domänensicherheit ist der "Benutzer" der SMTP-Dienst auf dem Edge-Transport-Server.

Importieren von Zertifikaten auf Edge-Transport-Servern

Nachdem der Administrator die Zertifikatanforderungen erstellt hat, verwendet er die Anforderungen zum Generieren der Zertifikate für die Server. Die sich ergebenden Zertifikate müssen entweder als einzelne Zertifikate oder als Zertifikatkette ausgegeben und auf die entsprechenden Edge-Transport-Server kopiert werden.

Wichtig

Um die Zertifikate zu importieren, müssen Sie das Cmdlet Import-ExchangeCertificate verwenden. Weitere Informationen finden Sie unter Import-ExchangeCertificate.

Wichtig

Verwenden Sie zum Importieren der Zertifikate für TLS auf dem Exchange-Server nicht das Zertifikat-Manager-Snap-In in der MMC. Werden die Zertifikate mit dem Zertifikat-Manager-Snap-In auf den Exchange-Servern importiert, wird die in diesem Verfahren erstellte Anforderung nicht an das ausgegebene Zertifikat gebunden. Bei TLS tritt dann möglicherweise ein Fehler auf. Sie können das Zertifikat-Manager-Snap-In zum Importieren von Zertifikaten und Schlüsseln verwenden, die als PFX-Dateien im Informationsspeicher des lokalen Computers gespeichert sind. Nach dem Import der Zertifikate können Sie diese für TLS aktivieren, indem Sie das Cmdlet Enable-ExchangeCertificate ausführen.

Wenn Sie das Zertifikat auf dem Edge-Transport-Server importieren, müssen Sie das Zertifikat auch für den SMTP-Dienst (Simple Mail Transfer Protocol) aktivieren. Der Administrator von Contoso führt den folgenden Befehl auf jedem Edge-Transport-Server aus, d. h. einmal für jedes entsprechende Zertifikat.

So importieren und aktivieren Sie ein TLS-Zertifikat für die Domänensicherheit auf einem Edge-Transport-Server

  • Führen Sie den folgenden Befehl aus:

    Import-ExchangeCertificate -Path c:\certificates\import.pfx | Enable-ExchangeCertificate -Services SMTP

Mit diesem Befehl wird das TLS-Zertifikat importiert und aktiviert, indem das Cmdlet Enable-ExchangeCertificate mittels Pipeline übergeben wird.

Das Zertifikat kann auch aktiviert werden, nachdem es importiert wurde. Führen Sie zum Importieren des Zertifikats den folgenden Befehl aus:

Import-ExchangeCertificate -Path c:\certificates\import.pfx

Kopieren Sie dann den Fingerabdruck in die Windows-Zwischenablage. Zum Anzeigen des Fingerabdrucks des importierten Zertifikats führen Sie den folgenden Befehl aus:

Get-ExchangeCertificate |FL

Kopieren Sie die Daten aus dem Feld Fingerabdruck in die Windows-Zwischenablage.

Führen Sie schließlich zum Aktivieren des Zertifikats den folgenden Befehl aus:

Enable-ExchangeCertificate -Thumbprint AB493A0C9A6C0327162FE04EF74609CB8FB7FE24 -Services SMTP

Konfigurieren der Sicherheit von Ausgangsdomänen

Zum Konfigurieren der Sicherheit für Ausgangsdomänen müssen die folgenden drei Schritte ausgeführt werden:

  1. Führen Sie das Cmdlet Set-TransportConfig aus, um die Domäne anzugeben, mit der domänengesicherte E-Mail-Nachrichten gesendet werden sollen.

  2. Führen Sie das Cmdlet Set-SendConnector aus, um die Eigenschaft DomainSecureEnabled für den Sendeconnector festzulegen, der E-Mail-Nachrichten an die Domäne sendet, mit der domänengesicherte E-Mail-Nachrichten gesendet werden sollen.

  3. Führen Sie das Cmdlet Set-SendConnector aus, um Folgendes sicherzustellen:

    • Der Sendeconnector, der E-Mail-Nachrichten an die Domäne sendet, mit der domänengesicherte E-Mail-Nachrichten gesendet werden sollen, routet E-Mail-Nachrichten über DNS (Domain Name System).

    • Der FQDN ist so festgelegt, dass er entweder dem Antragsteller oder dem alternativen Antragsteller des Zertifikats, das für die Domänensicherheit verwendet wird. entspricht.

Da es sich bei den in diesen Schritten durchgeführten Änderungen um globale Änderungen handelt, müssen Sie die Änderungen auf einem internen Exchange-Server durchführen. Die von Ihnen vorgenommenen Konfigurationsänderungen werden mit dem EdgeSync-Dienst von Microsoft Exchange auf die Edge-Transport-Server repliziert.

Festlegen der Absenderdomäne in der Transportkonfiguration

Das Angeben der Domäne, mit der domänengesicherte E-Mail-Nachrichten gesendet werden sollen, ist ein relativ einfacher Vorgang. Der Contoso-Administrator führt den folgenden Befehl auf einem internen Exchange 2007-Server aus:

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

Weitere Informationen finden Sie unter Set-TransportConfig.

Hinweis

Der Parameter TLSSendDomainSecureList akzeptiert eine mehrwertige Liste von Domänennamen. Der Befehl Set-TransportConfig ersetzt den gesamten Wert des Parameters TLSSendDomainSecureList durch den in dem Cmdlet übergebenen neuen Wert. Wenn Sie eine neue Domäne hinzufügen möchten, muss daher der von Ihnen übergebene Wert die vorhandene Liste und die neue Domäne enthalten.

Konfigurieren eines Sendeconnectors

Contoso verwendet seinen standardmäßigen DNS-gerouteten Sendeconnector, um domänengesicherte E-Mail-Nachrichten an die Partner des Unternehmens zu senden. Da es sich bei dem standardmäßigen DNS-gerouteten Sendeconnector um einen standardmäßigen Sendeconnector für das Internet handelt, wird zum Routen von E-Mail-Nachrichten kein Smarthost sondern DNS verwendet. Als FQDN ist bereits mail.contoso.com festgelegt. Da durch die vom Contoso-Administrator erstellten Zertifikate der Parameter DomainName von New-ExchangeCertificate auf mail.contoso.com festgelegt wird, kann der Sendeconnector die Zertifikate ohne weitere Konfiguration verwenden.

Wenn Sie eine untergeordnete Domäne zu Testzwecken konfiguriert haben, müssen Sie den vollqualifizierten Domänennamen (FQDN) des Sendeconnectors möglicherweise aktualisieren, damit er dem erstellten Zertifikat entspricht (z. B. subdomain.mail.contoso.com). Wenn Sie andererseits ein Zertifikat erstellt haben, das die untergeordnete Domäne in den Feldern für den Antragstellernamen bzw. den alternativen Antragstellernamen enthält, müssen Sie den vollqualifizierten Domänennamen des Sendeconnectors nicht aktualisieren.

Daher muss der Contoso-Administrator den Sendeconnector nur dahingehend konfigurieren, dass der Parameter DomainSecureEnabled festgelegt ist. Hierzu führt der Contoso-Administrator den folgenden Befehl auf einem internen Exchange 2007-Server für den Sendeconnector für das Internet aus:

Set-SendConnector Internet -DomainSecureEnabled:$True

Weitere Informationen finden Sie unter Set-SendConnector.

Sie können domänengesicherte E-Mail-Nachrichten auch mithilfe der Exchange-Verwaltungskonsole auf einem Sendeconnector einrichten.

So verwenden Sie die Exchange-Verwaltungskonsole zum Konfigurieren eines Sendeconnectors für die Domänensicherheit

  1. Öffnen Sie auf einem Hub-Transport-Server die Exchange-Verwaltungskonsole, klicken Sie auf Organisationskonfiguration, klicken Sie auf Hub-Transport, und klicken Sie anschließend im Ergebnisbereich auf die Registerkarte Sendeconnectors.

  2. Wählen Sie den Sendeconnector aus, der E-Mail-Nachrichten an die Domäne sendet, von der domänengesicherte E-Mail-Nachrichten gesendet werden sollen. Klicken Sie anschließend im Aktionsbereich auf Eigenschaften.

  3. Wählen Sie auf der Registerkarte Netzwerk die Option Domänensicherheit aktivieren (Gegenseitige TLS-Authentifizierung) aus, klicken Sie auf Übernehmen und dann auf OK.

Konfigurieren der Sicherheit von Eingangsdomänen

Zum Konfigurieren der Sicherheit für Eingangsdomänen müssen die folgenden beiden Schritte ausgeführt werden:

  1. Führen Sie das Cmdlet Set-TransportConfig aus, um die Domäne anzugeben, von der Sie domänengesicherte E-Mail-Nachrichten empfangen möchten.

  2. Verwenden Sie auf dem Edge-Transport-Server die Exchange-Verwaltungsshell oder die Exchange-Verwaltungskonsole, um die Domänensicherheit auf dem Empfangsconnector zu aktivieren, von dem domänengesicherte E-Mail-Nachrichten empfangen werden sollen. Da für die Domänensicherheit die gegenseitige TLS-Authentifizierung erforderlich ist, muss TLS auch auf dem Empfangsconnector aktiviert sein.

Angeben der Empfängerdomäne in der Transportkonfiguration

Das Angeben der Domäne, mit der domänengesicherte E-Mail-Nachrichten empfangen werden sollen, ist ein relativ einfacher Vorgang. Zum Festlegen der Domäne führt der Contoso-Administrator den folgenden Befehl auf einem internen Exchange 2007-Server aus:

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

Weitere Informationen finden Sie unter Set-TransportConfig.

Hinweis

Der Parameter TLSReceiveDomainSecureList akzeptiert eine mehrwertige Liste von Domänennamen. Der Befehl Set-TransportConfig ersetzt den gesamten Wert des Parameters TLSReceiveDomainSecureList durch den neuen Wert, der von dem Cmdlet Set-TransportConfig übergeben wurde. Wenn Sie eine neue Domäne hinzufügen möchten, muss daher der von Ihnen übergebene Wert die vorhandene Liste und die neue Domäne enthalten.

Konfigurieren eines Empfangsconnectors

Der Empfangsconnector muss auf jedem Edge-Transport-Server konfiguriert werden, der E-Mail-Nachrichten von der Domäne akzeptiert, von der domänengesicherte E-Mail-Nachrichten empfangen werden sollen. Die Contoso-Umgebung ist so konfiguriert, dass ein einziger Empfangsconnector für das Internet, dessen Parameter Identity den Wert Inet aufweist, auf beiden Edge-Transport-Servern vorhanden ist. Um TLS beim Versand oder Empfang von E-Mail-Nachrichten an bzw. von der Woodgrove Bank zu aktivieren, muss der Contoso-Administrator daher sicherstellen, dass TLS auf dem standardmäßigen Empfangsconnector für das Internet auf beiden Edge-Transport-Servern aktiviert ist.

So verwenden Sie die Exchange-Verwaltungsshell zum Konfigurieren eines Empfangsconnectors für die Domänensicherheit

  • Führen Sie auf dem Edge-Transport-Server den folgenden Befehl aus:

    Set-ReceiveConnector Inet -DomainSecureEnabled:$True -AuthMechanism TLS

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ReceiveConnector.

So verwenden Sie die Exchange-Verwaltungskonsole zum Konfigurieren eines Empfangsconnectors für die Domänensicherheit

  1. Öffnen Sie auf dem Edge-Transport-Server die Exchange-Verwaltungskonsole, klicken Sie auf Edge-Transport, und klicken Sie anschließend im Ergebnisbereich auf die Registerkarte Empfangsconnectors.

  2. Wählen Sie den Empfangsconnector aus, der E-Mail-Nachrichten von der Domäne akzeptiert, von der domänengesicherte E-Mail-Nachrichten empfangen werden sollen. Klicken Sie anschließend im Aktionsbereich auf Eigenschaften.

  3. Wählen Sie auf der Registerkarte Authentifizierung die Optionen Transport Layer Security (TLS) und Domänensicherheit aktivieren (Gegenseitige TLS-Authentifizierung) aus, und klicken Sie dann auf OK.

Beachten Sie, dass durch die Angabe von TLS als Authentifizierungsmechanismus TLS nicht bei allen eingehenden Verbindungen erzwungen wird.

TLS wird aus folgenden Gründen für Verbindungen von der Woodgrove Bank erzwungen:

  • Die Woodgrove Bank wird im Cmdlet Set-TransportConfig im Parameter TLSReceiveDomainSecureList angegeben.

  • Der Parameter DomainSecureEnabled wird auf dem Empfangsconnector auf $True festgelegt.

Andere Absender, die nicht in dem Parameter TLSReceiveDomainSecureList des Cmdlets Set-TransportConfig aufgelistet sind, verwenden TLS nur dann, wenn TLS durch das sendende System unterstützt wird.

Hinweis

Als Nebeneffekt der Aktivierung der Domänensicherheit auf einem Empfangsconnector wird während der TLS-Aushandlung ein Clientzertifikat angefordert. Wenn die Domäne, von der der Client sendet, nicht in der Liste der sicheren Domänen enthalten ist, muss der Client das Zertifikat nicht übergeben.

Testen der domänengesicherten Nachrichtenübermittlung

Nachdem Sie domänengesicherte E-Mail-Nachrichten konfiguriert haben, können Sie die Verbindung testen, indem Sie die Leistungsprotokolle und die Protokollprotokolle überprüfen. Nachrichten, die ordnungsgemäß über den domänengesicherten Nachrichtenübermittlungspfad authentifiziert wurden, werden in Outlook 2007 als sichere Domänennachrichten angezeigt.

Leistungsindikatoren

Das Domänensicherheitsfeature enthält unter MSExchange Sicherer Mailtransport die folgenden Leistungsindikatoren:

  • Domänengesicherte empfangene Nachrichten

  • Domänengesicherte gesendete Nachrichten

  • Fehler bei domänengesicherten ausgehenden Sitzungen

Sie können anhand dieser Leistungsindikatoren eine neue Leistungsindikatorenprotokolldatei für die domänengesicherte Nachrichtenübermittlung erstellen, um die Anzahl der gesendeten und empfangenen Nachrichten und fehlerhafte MTLS-Sitzungen zu überwachen. Weitere Informationen zum Erstellen und Konfigurieren von Leistungsprotokolldateien finden Sie in der Hilfe zum MMC-Snap-In Leistungsprotokolle und Warnungen.

Protokollprotokolle

Sende- und Empfangsprotokollprotokolle können überprüft werden, um zu ermitteln, ob die TLS-Aushandlung erfolgreich war. Bei erfolgreicher TLS-Aushandlung werden Protokolle ähnlich den folgenden Beispielen generiert.

Zum Anzeigen detaillierter Protokolle legen Sie den Protokolliergrad für die Connectors, die von der Organisation zum Senden und Empfangen von domänengesicherten E-Mail-Nachrichten verwendet werden, auf Verbose fest.

So verwenden Sie die Exchange-Verwaltungsshell zum Konfigurieren der Protokollprotokollierung "Ausführlich" für einen Empfangsconnector

  • Führen Sie auf dem Edge-Transport-Server den folgenden Befehl aus:

    Set-ReceiveConnector Inet -ProtocolLoggingLevel Verbose

    Wobei Inet der Name des Empfangsconnectors ist, auf dem domänengesicherte E-Mail-Nachrichten aktiviert sind.

So verwenden Sie die Exchange-Verwaltungsshell zum Konfigurieren der Protokollprotokollierung "Ausführlich" für einen Sendeconnector

  • Führen Sie auf dem Edge-Transport-Server den folgenden Befehl aus:

    Set-SendConnector Internet -ProtocolLoggingLevel Verbose

    Wobei Internet der Name des Sendeconnectors ist, auf dem domänengesicherte E-Mail-Nachrichten aktiviert sind.

Beispiel für ein Sendeprotokoll

<220 edgedns3 ESMTP Microsoft ESMTP MAIL Service, Version: 8.0.647.0; Tue, 29 Aug 2006 04:22:00 -0700 (PDT)
>EHLO edgea36.dns.contoso.com
<250-edgedns3 Hello woodgrove.com [192.168.0.2], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-EXPN
<250-VERB
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-STARTTLS
<250-DELIVERBY
<250 HELP
>STARTTLS
<220 2.0.0 Ready to start TLS
*Sending certificate
*CN=edgea36, Certificate subject
*CN=edgea36, Certificate issuer name
*CA2EDF2487C6F09B4E413FD3812A7F89, Certificate serial number
*E8DA062786FD097DD8D79FF10C583CC23AD64F6C, Certificate thumbprint
*edgea36;edgea36.dns.contoso.com, Certificate alternate names
*Received certificate
*CN=smi.extest.contoso.com, OU=Contoso, O=Corp, L=Spokane, S=WA, C=US, Certificate subject
*CN=ExCertDom EntSub Issuing CA v1.0, DC=ExCertDom, DC=ExTest, DC=Contoso, DC=Com, Certificate issuer name
*446DD186000A00002819, Certificate serial number
*DC27B5F8657F84B15B5004BE63CE482721871582, Certificate thumbprint
*smi.extest.contoso.com, Certificate alternate names
>EHLO edgea36.dns.contoso.com
<250-edgedns3 Hello woodgrove.com [192.168.0.2], pleased to meet you
<250-ENHANCEDSTATUSCODES
<250-PIPELINING
<250-EXPN
<250-VERB
<250-8BITMIME
<250-SIZE
<250-DSN
<250-ETRN
<250-DELIVERBY
<250 HELP
*08C895F533E837EC;2006-08-28T22:37:53.323Z;1, sending message
>MAIL FROM:<user@example.com> SIZE=614
>RCPT TO:<root@smi.extest.contoso.com>
<250 2.1.0 <user@example.com>... Sender ok
<250 2.1.5 <root@smi.extest.contoso.com>... Recipient ok
>DATA
<354 Enter mail, end with "." on a line by itself
<250 2.0.0 k7TBM0BZ000043 Message accepted for delivery
>QUIT
<221 2.0.0 edgedns3 closing connection

Beispiel für ein Empfangsprotokoll

>220 edgea36 Microsoft ESMTP MAIL Service, Version: 8.0.647.0 ready at Mon, 28 Aug 2006 15:37:53 -0700
<EHLO edgedns3
>250-edgea36.dns.contoso.com Hello [192.168.0.1]
>250-SIZE 15728640
>250-PIPELINING
>250-DSN
>250-ENHANCEDSTATUSCODES
>250-STARTTLS
>250-AUTH
>250-8BITMIME
>250-BINARYMIME
>250 CHUNKING
<STARTTLS
>220 2.0.0 SMTP server ready
*Sending certificate
*CN=edgea36, Certificate subject
*CN=edgea36, Certificate issuer name
*CA2EDF2487C6F09B4E413FD3812A7F89, Certificate serial number
*E8DA062786FD097DD8D79FF10C583CC23AD64F6C, Certificate thumbprint
*edgea36;edgea36.dns.contoso.com, Certificate alternate names
*Received certificate
*CN=smi.extest.contoso.com, OU=Contoso, O=Corp, L=Spokane, S=WA, C=US, Certificate subject
*CN=ExCertDom EntSub Issuing CA v1.0, DC=ExCertDom, DC=ExTest, DC=Contoso, DC=Com, Certificate issuer name
*446DD186000A00002819, Certificate serial number
*DC27B5F8657F84B15B5004BE63CE482721871582, Certificate thumbprint
*smi.extest.contoso.com, Certificate alternate names
<EHLO edgedns3
>250-edgea36.dns.contoso.com Hello [192.168.0.1]
>250-SIZE 15728640
>250-PIPELINING
>250-DSN
>250-ENHANCEDSTATUSCODES
>250-AUTH
>250-8BITMIME
>250-BINARYMIME
>250 CHUNKING
<MAIL From:<user@smi.extest.contoso.com> SIZE=16
*08C895F533E837EC;2006-08-28T22:37:53.323Z;1, receiving message
>250 2.1.0 user@smi.extest.contoso.com Sender OK
<RCPT To:<user@woodgrove.com>
>250 2.1.5 user@woodgrove.com Recipient OK
<DATA
>354 Start mail input; end with <CRLF>.<CRLF>
>250 2.6.0 <200608281121.k7SBHYi0004586@edgedns3> Queued mail for delivery
<QUIT
>221 2.0.0 Service closing transmission channel

Weitere Informationen zum Anzeigen von Protokollprotokollen finden Sie unter Konfigurieren der Protokollprotokollierung.

Weitere Informationen zum Verwalten der Domänensicherheit in Exchange 2007 finden Sie unter Verwalten der Domänensicherheit.

Weitere Informationen zum Konfigurieren einer PKI (Public-Key-Infrastruktur) finden Sie unter Bewährte Methoden zum Implementieren einer Microsoft Windows Server 2003-Public-Key-Infrastruktur.