Outlook 2016 kann sich nicht anmelden an Exchange

Outlook 2016 kann sich nicht anmelden an Exchange

Ich habe einen Kunden der zwei Standorte hat. Der eine Standort hat Exchange 2010 und alle Rechner vor Ort sind noch mit Outlook 2010 eingerichtet. Diese hatten kein Problem auf den lokalen Exchange Server zuzugreifen, da diese durch das AD konfiguriert werden konnten und nicht über Autodiscover konfiguriert waren.

In dem anderen Standort war „nur“ ein Essentials Server, Exchange wurde über VPN im anderem Standort mitbenutzt. Die Clients hatten ebenfalls noch Outlook 2010 und wurden manuell einrichtet.

Nun kam jedoch ein neuer Client mit Office 2016 dazu im entferntem Stadndort und konnte wegen dem fehlenden Autodiscover nicht eingerichtet werden.

Da der Server jedoch noch Windows Server 2008 R2 war kam einrichten einer weitern Bindung im IIS für Autodiscover (mit SNI) nicht in betracht.

Ich habe dazu dann auf dem DNS im Netz mit dem Exchange eine neue Zone für die Emaildomain eingerichtet und dort einen Servicerecord für Autodiscover erstellt:

  • Start > ausführen > dnsmgmt.msc
  • Forward-lookup-Zone > Neue Zone erstellen (emaildomain)
  • Rechte Maustaste > weitere Einträge erstellen > Dienstidentifizierung (SRV) > Eintrag erstellen
  • Dienst: _autodiscover
  • Protokoll: _tcp
  • Port: 443
  • Host: URL des Exchangeserver

Dazu noch in dem anderen Netz im DNS eine bedingte Weiterleitung eingerichtet für die Emaildomain welche auf den DNS im Exchange Standort zeigt.

Hinweis:

Eine andere Alternative (welche ich jedoch nicht ausprobiert habe) wäre es, wenn man statt einem Servicerecord einen Alias erstellt mit namen autodiscover auf dem Exchange Server.

Sollte eine Anmeldung erfolgen, so bitte unbedingt als Anmeldenamen domain\user verwenden und nicht die Emailadresse.

Vergesst bitte nicht im DNS auch die anderen Adressen anzulegen welche im echten DNS sind (z.B. Exchange URL, www usw.).

Wenn eine Rückfrage kommt, ob die Weiterleitung erlaubt ist diese zulassen und denn Hacken machen bei nicht mehr Rückfragen. Dann erscheint die Rückfrage in Zukunft nicht mehr.


Exchange 2010/2013/2016 ohne SAN Zertifikat betreiben

Sollte man von einem SAN Zertifikat umsteigen auf ein herkömmliches Zertifikat, so muss man auch noch einige Einstellungen im Exchange vornehmen, damit keine Fehlermeldungen mehr erscheinen beim öffnen von Outlook usw.

Vorbereitungen:

  • In der ECP die externe Adresse unter Nachrichtenfluss > Akzeptierte Domänen einrichten.
  • Danach in der ECP unter Nachrichtenfluss > E-Mail-Adressrichtlinie die Default Policy bearbeiten mit der externen Adresse und Anwenden.
  • Im Internen DNS (AD-DNS und DNS für die echte Emailadresse) sowie im Externen DNS folgendes einrichten:
    • Hosteintrag auf dem das Zertifikat läuft
    • CNAME von autodiscover auf die Zertifikatsadresse.
    • Servicerecord erstellen mit den folgenden Werten:

Service: _autodiscover
Protokoll: _tcp
Priorität: 0
Gewichtung: 0
Port: 443
Host: Adresse des Hostes auf dem das Zertifikat läuft

Danach müssen in der Exchange Management Shell folgende Änderungen vorgenommen werden:

Set-ClientAccessServer -Identity servername -AutoDiscoverServiceInternalUri “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-AutodiscoverVirtualDirectory -Identity “servername\Autodiscover (Default Web Site)” -InternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml” -ExternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-WebServicesVirtualDirectory -Identity “servername\EWS (Default Web Site)” -InternalUrl “https://exchange.domain.de/EWS/Exchange.asmx” -ExternalUrl “https://exchange.domain.de/EWS/Exchange.asmx”

Set-OWAVirtualDirectory -Identity “servername\OWA (Default Web Site)” -InternalUrl “https://exchange.domain.de/owa” -ExternalUrl “https://exchange.domain.de/owa”
Set-ECPVirtualDirectory -Identity “servername\ECP (Default Web Site)” -InternalUrl “https://exchange.domain.de/ecp” -ExternalUrl “https://exchange.domain.de/ecp”
Set-ActiveSyncVirtualDirectory -Identity “servername\Microsoft-Server-ActiveSync (Default Web Site)” -InternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync” -ExternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync”
Set-MapiVirtualDirectory -Identity „servername\mapi (Default Web Site)“ -InternalUrl https://exchange.domain.de/mapi -ExternalUrl https://exchange.domain.de/mapi -IISAuthenticationMethods NegotiateSet-OABVirtualDirectory -Identity “servername\OAB (Default Web Site)” -InternalUrl “https://exchange.domain.de/OAB” -ExternalUrl “https://exchange.domain.de/OAB”
Enable-OutlookAnywhere -Server servername -ExternalHostname “exchange.domain.de” -ClientAuthenticationMethod “Basic”-SSLOffloading:$False

Weitere Infos:


Exchange: Autodiscover-Umleitung

Versucht Outlook per HTTPS zu verbinden, nutzt es dazu Autodiscover. Hierbei kann es zu Fehlermeldungen kommen.

Damit dies nicht geschieht, kann man über DNS eine Umleitung einrichten.

Dazu erstellt man einen sogenannten SRV Eintrag im DNS.

Z.b. im lokalen Active Directory auf dem DC per Remote anmelden und dann wie folgt einrichten:

  • Start > ausführen > dnsmgmt.msc
  • Forward-lookup-Zone > AD auswählen
  • Rechte Maustaste > weitere Einträge erstellen > Dienstidentifizierung (SRV) > Eintrag erstellen
  • Dienst: _autodiscover
  • Protokoll: _tcp
  • Port: 443
  • Host: URL des Servers

Sobald Outlook die Umleitung bemerkt, fragt es nach ob man die Umleitung erlauben möchte – dies muss man natürlich Zulassen. Es empfiehlt sich hier auch einen Hacken zu setzen bei „Zukünftig nicht mehr zu dieser Website fragen„.

autodiscover