TLS 1.2 è in arrivo per Exchange on-premises
Per evitare errori di configurazione sui server Exchange locali, Microsoft consiglia di eseguire regolarmente dei controlli sulle impostazioni TLS locali.
Questa primavera, molti server locali potrebbero iniziare a registrare eventi come questo:
Log Name: Application
Source: MSExchange Availability
Date: 17.03.2022 09:45:01
Event ID: 4001
Task Category: Availability Service
Level: Error
Keywords: Classic
User: N/A
Computer: server01.contoso.com
Description:
Process Microsoft.Exchange.InfoWorker.Common.Delayed`1[System.String]: <User1@contoso.mail.onmicrosoft.com>SMTP:User1@contoso.mail.onmicrosoft.com failed in application Mailtips. Exception returned is Microsoft.Exchange.InfoWorker.Common.Availability.AutoDiscoverFailedException: Autodiscover failed for email address User1@contoso.mail.onmicrosoft.com with error System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. —> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. —> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host
Le parti interessanti dell’evento di cui sopra sono le seguenti informazioni:
AutoDiscoverFailedException: Autodiscover failed
e
The underlying connection was closed: An unexpected error occurred on a send
Poiché l’individuazione automatica non riesce, bisogna testare il server locale e vedere se riesce a raggiungere il server Exchange online tramite Powershell: Invoke-WebRequest -Uri “https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc”
Su un server locale non funzionante, si ottiene il seguente risultato:
La connessione sottostante è stata chiusa: si è verificato un errore imprevisto su un invio.
Questo potrebbe essere dato dalle impostazioni TLS in locale: è possibile verificare che le impostazioni siano obsolete, forzando TLS 1.2 per la connessione di prova precedente provando questa chiamata Powershell:
[Net.ServicePointManager]::SecurityProtocol += [Net.SecurityProtocolType]::Tls12
Invoke-WebRequest -Uri ” https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc “
Il risultato come previsto è: Invoke-WebRequest : il server remoto ha restituito un errore: (401) Non autorizzato.
Questa è la prova certa che le impostazioni di TLS in locale sono obsolete e che il server locale che non usa TLS 1.2 impedisce di connettersi ai server di Exchange online.
Microsoft ha annunciato che da ottobre 2020 sta abilitando sempre più TLS 1.2 in Exchange online e che questa problematica interessa sempre più clienti che finora non hanno abilitato il supporto per TLS 1.2 in locale.
Questi articoli contengono anche informazioni dettagliate su come abilitare TLS 1.2:
Guida a TLS di Exchange Server, parte 1: Preparazione per TLS 1.2
Linee guida per TLS di Exchange Server Parte 3: Disattivazione di TLS 1.0/1.1
Successivamente, sarà possibile disabilitare TLS 1.0 e 1.1 poiché non più sicuri.
Le informazioni presenti in questo post, sono prese dall’articolo: TLS 1.2 is coming to Exchange on-premises using hybrid and free/busy might fail