Das neue Update Security Update for Exchange Server 2016 CU12 ( KB4509409) scheint im Zusammenhang mit Windows Server 2016 in einigen Umgebungen Fehler zu verursachen.
Bereits in zwei Umgebungen konnte nach diesem Update kein Exchange Dienst mehr gestartet werden.
Wenn das der Fall ist einfach das aktuelle CU13 installieren. Link: https://www.microsoft.com/en-us/download/details.aspx?id=58395
Häufig ist in Unternehmen der Port 443 nach extern für den Exchange freigegebn, so dass die OWA Seite von Mitarbeitern genutzt werden kann. In Exchange 2013 und 2016 ist nun aber die administrative Oberfläche (ECP) ebenfalls via Webinterface über den Port 443 erreichbar. Das bedeutet, dass die administrative Oberfläche (ECP) ebenfalls in der Standardeinstellung von extern für jedermann erreichbar ist. In vielen Fällen ist das so nicht gewollt.
Um den Zugriff auf die administrative Oberfläche (ECP) einzuschränken kann man wie folgt vorgehen:
Rolle-IIS-IP-Beschränkungen
3. Nach der Installation öffnet Ihr den IIS Manager und ruft dort die Unterseite ecp auf und dort findet ihr auf der rechten Seite dann die „Einschränkungen für IP-Adressen und Domäneneinschränkungen“ (Siehe Bild)
IIS-ECP-IP-Einschränkungen
4. In der Einstellung muss dann auf der rechten Seite unter „Feature Einstellungen bearbeiten“ angegeben werden, dass allen nicht angegebenen Clients der Zugriff blockiert wird.
Nicht-Angegebene-Clients
5. Danach nur noch die Clients angeben welche Zugriff auf die administrative Oberfläche (ECP) haben sollen und schon seit Ihr fertig. Es sollte auf jeden Fall 127.0.0.0 und 127.0.0.1 sowie die IP-Adresse des Exchange Servers selbst in der Liste auftauchen, da Ihr sonst gar nicht mehr an die Oberfläche ran kommt.
Vor einiger Zeit hatte ich ein Problem mit einem Exchange Server 2010 und der Zustellung einer E-Mail. Die SMTP Logs waren nicht sehr aussagekräftig und der einzige Fehler der auftauche war „Der Grenzwert der Inhaltskonvertierung wurde überschritten.“. Sehr aussagekräftig ist die Meldung nicht und daher habe ich erst mal google bemüht. Dies brachte leider auch keine brauchbaren Hinweise.
Das einzig verwertbare war ein Technet-Artikel mit einer Anleitung wie das Content conversion tracing aktiviert werden kann, um weitere Informationen zu erhalten. Die Anleitung zur Aktivierung ist unter [1] zu finden. Wenn das tracing aktiviert ist wird eine Textdatei und eine EML-Datei unter dem Pfad “ %ExchangeInstallPath%TransportRoles\Logs\Hub\PipelineTracing" abgelegt. Die Textdatei war nicht wirklich hilfreich, doch die EML-Datei brachte den ausschlaggebenden Hinweis. Die EML-Datei lässt sich entweder mit Outlook, Thunderbird oder mit einem EML-Viewer öffnen und ist die E-Mail die zugestellt werden sollte. Einen Blick in die E-Mail zeigte mir, dass diese mehr als über 500 PDF Anhänge hatte.
Eine wirkliche Lösung war zu dem Thema nicht aufzufinden, aber die offensichtliche Lösung ist natürlich entweder die Anhänge zu Zippen oder die Anzahl der Anhänge in der E-Mail zu reduzieren. Unten sind noch ein paar weitere Links zu dem Thema zu finden.