Outlook 2016 kann sich nicht anmelden an Exchange

Outlook 2016 kann sich nicht anmelden an Exchange

Ich habe einen Kunden der zwei Standorte hat. Der eine Standort hat Exchange 2010 und alle Rechner vor Ort sind noch mit Outlook 2010 eingerichtet. Diese hatten kein Problem auf den lokalen Exchange Server zuzugreifen, da diese durch das AD konfiguriert werden konnten und nicht über Autodiscover konfiguriert waren.

In dem anderen Standort war „nur“ ein Essentials Server, Exchange wurde über VPN im anderem Standort mitbenutzt. Die Clients hatten ebenfalls noch Outlook 2010 und wurden manuell einrichtet.

Nun kam jedoch ein neuer Client mit Office 2016 dazu im entferntem Stadndort und konnte wegen dem fehlenden Autodiscover nicht eingerichtet werden.

Da der Server jedoch noch Windows Server 2008 R2 war kam einrichten einer weitern Bindung im IIS für Autodiscover (mit SNI) nicht in betracht.

Ich habe dazu dann auf dem DNS im Netz mit dem Exchange eine neue Zone für die Emaildomain eingerichtet und dort einen Servicerecord für Autodiscover erstellt:

  • Start > ausführen > dnsmgmt.msc
  • Forward-lookup-Zone > Neue Zone erstellen (emaildomain)
  • Rechte Maustaste > weitere Einträge erstellen > Dienstidentifizierung (SRV) > Eintrag erstellen
  • Dienst: _autodiscover
  • Protokoll: _tcp
  • Port: 443
  • Host: URL des Exchangeserver

Dazu noch in dem anderen Netz im DNS eine bedingte Weiterleitung eingerichtet für die Emaildomain welche auf den DNS im Exchange Standort zeigt.

Hinweis:

Eine andere Alternative (welche ich jedoch nicht ausprobiert habe) wäre es, wenn man statt einem Servicerecord einen Alias erstellt mit namen autodiscover auf dem Exchange Server.

Sollte eine Anmeldung erfolgen, so bitte unbedingt als Anmeldenamen domain\user verwenden und nicht die Emailadresse.

Vergesst bitte nicht im DNS auch die anderen Adressen anzulegen welche im echten DNS sind (z.B. Exchange URL, www usw.).

Wenn eine Rückfrage kommt, ob die Weiterleitung erlaubt ist diese zulassen und denn Hacken machen bei nicht mehr Rückfragen. Dann erscheint die Rückfrage in Zukunft nicht mehr.


Exchange 2016: Bereinigen da sich Platte füllt

Dieser Artikel ist noch im Aufbau und ist noch nicht komplett ausgeschrieben.

IIS Logs bereinigen:
http://chilltimes.de/2015/02/06/exchange-iis-log-dateien-regelmaessig-loeschen/

Mail Queue wächst und bereinigt sich nicht selber:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Queue
ToDo: http://www.admin-enclave.com/en/articles/exchange/296-resolved-exchange-hub-transport-mail-que-file-large-in-size.html

AntiSpam Agent speichert jede Mail zwischen:
C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\data\Temp\UnifiedContent
ToDo: https://www.frankysweb.de/exchange-2016-verzeichnis-transportrolesdatatempunifiedcontent-muellt-festplatte-zu/

Sende- und Empfangconnectoren Logging ausschalten:
ECP > Nachrichtenfluss > Sende- und Empfangsconnectoren Tabs jeden Connector durchgehen und prüfen ob auf der ersten Seite das Logging auf deaktiviert ist.

Mehrere OWA vorhanden:
Normalerweise sollte unter C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\prem nur ein Ordner sein mit dem aktuellsten Build (ECP > Server > Version wird auf der rechten Seite angezeigt) – mir werden dort jedoch dort auch noch aktuellere angezeigt. Wird noch geklärt!


Exchange: Organisationsweit Formulare verwenden

Auf dem Exchange Server in der Exchange Mangement Shell den folgenden Befehl eingeben:

New-PublicFolder -Path "\NON_IPM_SUBTREE\EFORMS REGISTRY" -Name "Organizational Forms Library"

In der Exchange Mangement Console unter Toolbox > Öffentliche Ordner Verwaltungskonsole wie folgt: Öffentliche Ornder – Servername > Öffentliche Systemordner > EFORMS REGISTRY auf der linken Seite anklicken.

Auf der rechten Seite dann Organizational Forms Library mit rechter Maustaste auf Eigenschaften und die Rechte anpassen (z.B. Public: Keine, Administratoren: Besitzer, Standard:  Prüfer).

Dann in ExFolders die Standard Datenbank für öffentliche Ordner öffnen und links im Baum auswählen System Folders > EFORMS REGISTRY > Organizational Forms Library.

Dann rechte Maustaste Properties > Property > Add Property to view > 0x6707001E > ok.

Denn Eintrag PR_URL_NAME markieren (Achtung: Mir wurde manchmal 0x6707001F statt 0x6707001E angezeigt, später wurde es jedoch richtig angzeigt) und rechte Maustaste > Edit Value und bei Value „/NON_IPM_SUBTREE/EFORMS REGISTRY“ (ohne die “ natürlich) eintragen und mit Ok bestätigen.

Dann MFCMAPI.exe starten und unter Logon eine Verbindung herstellen (hierzu muss eine MAPI Verbindung auf dem Server eingerichtet sein!).

Dann im linken Baum den entsprechenden neuen Ordner öffnen (Public Root > NON_IPM_SUBTREE > EFORMS REGISTRY > Organizational Forms Library).

Dann rechte Maustaste > Edit give Property > Select Property Tag > PR_EFORMS_LOCAL_ID auswählen > Ok.

Dann in der Auswahl PR_EFORMS_LOCAL_ID editieren und dort in Unsignes Decimal 1031 einsetzen (andere Locale IDs sind hier zu finden) und mit Ok schließen.

Anschließend auf er rechten Seite > rechte Maustaste > Save Changes klicken.

Danach Outlook neu starten und Enticklertools aktivieren in den Einstellungen.

Nun können Formulare erstellt und im Ordner Bibliothek für organisatorische Formulare gespeichert werden und nach einiger Zeit (Replikation) bei den anderen in den Outlookeinstellungen unter Erweitert > Benutzerdefinierte Formulare > Formulare verwalten heruntergeladen werden.

Die Formulare können dann anschließend einem öffentlichen Ordner zugewiesen werden.

Weitere Quellen:

 

 


Netzwerk Monitoring mit PRTG

Hier der Status meines Hausnetzes in Echtzeit:


Sophos: Umstellung von UTM auf XG

Wenn man Jahrelang mit der Sophos UTM gearbeitet hat und dann auf eine Sophos XG umstellt, steht man erst mal wie der Ochs vorm Berge (so zumindest ich), da die XG einen ganz anderen Ansatz verfolgt als die UTM.

Die XG ist ein zugekauftes Produkt und es wurde noch einige Jahre Support und gar Weiterentwicklung für UTM Produkte von Sophos zugesagt.

Sollte man eine UTM 9 Lizenz haben, so kann man diese zu einer XG Lizenz upgraden (Achtung: Dieser Vorgang ist laut Hinweismeldung nicht Reversible).

Auch hier gibt es eine kostenlose Version für den nicht kommerziellen Betrieb, welcher bis 100 Adressen unterstützt – in dieser Version ist fast alles aktiviert, bis auf die Sandstorm funktion (wie auch bei der UTM Home).

  • Dennoch könnte bei den folgenden Punkten der Umstieg interessant sein:
  • Umfangreicheres Muticast Routing
  • Umfangreiche Möglichkeiten bei der Webserververöffentlichung
  • In der kostenlosen Homeversion werden bei der XG 100 Adressen statt wie bei der UTM nur 50 Adressen unterstützt

Da ich einige Probleme mit dem Multicast Routing habe und mir eine Besserung bei diesem Problem erhoffe, habe ich mir die Lösung mal näher angeschaut.

Ich setze folgende Funktionen ein:

  • WLAN Intern und Gästenetz (mit eigenen Accesspoints)
  • Im Gästenetz Hotspot mit Vouchersystem
  • VPN Netze ins RZ und die Firma (unter anderem für Onlinebackup ins RZ)
  • VPN Einwahl
  • NAT / Firewall
  • Emailprotection
  • Webprotection
  • IPS
  • Öffentliches SSL Zertifikat für die Firewall und das Userportal

Die Umstellung hat ca. 8 Stunden gedauert.

Da  die XG einen anderer Ansatz verfolgt als bei der UTM habe ich mich mit der Umstellung schwer getan und mir hier alle Informationen zusammengeschrieben:

*: Bei den SMTP Regeln steht nicht drin, das unter Administration > Device Access > SMTP Relay noch das entsprechende Netz (z.B. WAN) noch aktiviert werden muss.

*: Bei VPN mit SSL zu einer UTM steht nicht dabei, das die Einstellungen anders sind, diese können unter VPN > SSL > Advanced angepasst werden. Bitte dabei jedoch beachten, das dies auf alle SSL Tunnel gilt.

Ich hoffe der Beitrag hilft den einem oder anderem.


Windows Server 2016: Mehrere SSL Zertifikate auf einer IP

Mehrere SSL Zertifikate mit mehreren verschiedenen Namen und Zertifikaten auf der selben Seite zu verwenden (statt z.B. einem SAN Zertifikat für Exchange Server) kann man in dem Windows Server 2016 bequem über den Internetinformationdienste (IIS) – Manager einrichten.

Dazu gehen Sie wie folgt vor:

  • Starten Sie den Internetinformationdienste (IIS) – Manager.
  • Gehen Sie links auf den Servernamen.
  • Rechts klicken Sie auf Serverzertifikate und rechts dann auf Zertifikatsanforderungen.
  • Besorgen Sie sich nun ein Serverzertifkat (z.B. PSW.net oder SSLs.com) und spielen Sie dies ein.
  • Gehen Sie nun links auf die entsprechende Site mit der rechten Maustaste und wählen Bindungen aus.
  • Gehen Sie nun auf Hinzufügen und wählen Sie https aus, geben die neue URL ein, Port 443 und das entsprechende Zertifikat, bitte unbedingt auch den Haken bei SNI setzen.
  • Speichern Sie nun die Einstellungen und testen Sie diese, sollte es nicht klappen können Sie den IIS mit iisreset in einer privilegierten CMD Console neustarten .

Exchange 2016: Zugriff auf OWA funktioniert, jedoch keine Anmeldung an mobile Geräte möglich

In einem Falle konnten einige User mit mobilen Geräten auf ihr Postfach zugreifen und andere wiederum nicht.

Somit konnte es kein generelles- oder Firewall Problem sein, sondern musste mit der Benutzerkonfiguration zu tun haben.

Das seltsame war, das auf dem iPhone das Konto eingerichtet werden konnte, doch wenn man das Postfach nutzen wollte, meldete ein Fehler „Senden und Empfangen nicht möglich“.

Ich erhielt auf dem Exchange folgende Meldungen in der Ereignisanzeige:

  • 1031: MSExchange ActiveSync
  • 1053: MSExchange ActiveSync
  • 1107: MSExchange ActiveSync

Natürlich hatten die Benutzer die ActiveSync-Nutzung erlaubt.

Bei Recherchen fand ich dann die Lösung im Web:
Dem Benutzer fehlten Rechte im AD um ActiveSync Container zu erstellen.

Die Lösung ist recht einfach:
Auf dem DC im DSA.msc in den User Eigenschaften auf Sicherheit und dann die Vererbung aktivieren. Nach ein paar Minuten konnten dann die entsprechenden User ihre Mobilgeräte nutzen.

Quelle:

https://forums.slipstick.com/threads/56324-administrator-account-cant-sync-phone-disabled/


SBS 2011 Exchange, AD und DNS funktionieren nicht mehr, Fehler: Zugriff verweigert

Ich hatte dass Problem bei einem Kunden, das nach einem Neustart der Exchange Server nicht mehr startete.

Bei der Fehlersuche fand ich heraus, das das auch kein Zugriff auf DNS Management Konsole mehr möglich war, ich bekam die Fehlermeldung „Zugriff verweigert“ und in der Ereignissanzeige fand ich mehrere Meldungen, die Anmeldeprobleme bestätigten.

Weiterhin seltsam war, das der Server nicht mehr einem „Domänennetzwerk“ zugeordnet war, sondern nur noch einem Öffentlichen Netzwerk – man konnte zwar diesen in einem „Arbeitsplatznetzwerk“ zuordnen, jedoch nicht mehr einem Domänennetzwerk.

Neustarts halfen nichts und dauerten ewig (ca. 40 Minuten bis die GUI komplett geladen war).

Recherchen zeigten, das wohl intern die „interdomain trustrelationship“ beschädigt war.

Nach einem Neustart habe ich dann den folgende Befehlt eingeben:

nltest /sc_change_pwd:domainname.local

Als Antwort erhielt ich folgende Meldung:

Kennzeichen: 0
Verbindung Status = 0 0x0 NERR_Success
Der Befehl wurde ausgeführt.

Danach habe ich denn Server neugestartet und siehe da, wie von Zauberhand war das Problem behoben.

Der Server startete wieder schneller, Exchange funktionierte, der Zugriff auf die DNS Management Konsole war ohne Probleme möglich und in den Netzwerkeinstellungen war der Server wieder einem Domänennetzwerk zugeordnet.

Quelle: https://davidatkin.com/blog/server-2008-r2-sbs2011-dns-access-denied-network-unauthenticated/


Apple Mail zeigt Mails die nicht mehr vorhanden sind

Ich nutze mein Apple Mail mit einem Exchange Server. Bis auf meinem iMac wurden alle Mails vom entsprechenden Postfach richtig angezeigt.

Dieses Problem kann man jedoch sehr einfach beheben. Dazu geht man auf Postfach und dann Wiederherstellung.

Nach ein paar Sekunden war dann wieder alles in Ordnung.


Exchange 2010/2013/2016 ohne SAN Zertifikat betreiben

Sollte man von einem SAN Zertifikat umsteigen auf ein herkömmliches Zertifikat, so muss man auch noch einige Einstellungen im Exchange vornehmen, damit keine Fehlermeldungen mehr erscheinen beim öffnen von Outlook usw.

Vorbereitungen:

  • In der ECP die externe Adresse unter Nachrichtenfluss > Akzeptierte Domänen einrichten.
  • Danach in der ECP unter Nachrichtenfluss > E-Mail-Adressrichtlinie die Default Policy bearbeiten mit der externen Adresse und Anwenden.
  • Im Internen DNS (AD-DNS und DNS für die echte Emailadresse) sowie im Externen DNS folgendes einrichten:
    • Hosteintrag auf dem das Zertifikat läuft
    • CNAME von autodiscover auf die Zertifikatsadresse.
    • Servicerecord erstellen mit den folgenden Werten:

Service: _autodiscover
Protokoll: _tcp
Priorität: 0
Gewichtung: 0
Port: 443
Host: Adresse des Hostes auf dem das Zertifikat läuft

Danach müssen in der Exchange Management Shell folgende Änderungen vorgenommen werden:

Set-ClientAccessServer -Identity servername -AutoDiscoverServiceInternalUri “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-AutodiscoverVirtualDirectory -Identity “servername\Autodiscover (Default Web Site)” -InternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml” -ExternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-WebServicesVirtualDirectory -Identity “servername\EWS (Default Web Site)” -InternalUrl “https://exchange.domain.de/EWS/Exchange.asmx” -ExternalUrl “https://exchange.domain.de/EWS/Exchange.asmx”

Set-OWAVirtualDirectory -Identity “servername\OWA (Default Web Site)” -InternalUrl “https://exchange.domain.de/owa” -ExternalUrl “https://exchange.domain.de/owa”
Set-ECPVirtualDirectory -Identity “servername\ECP (Default Web Site)” -InternalUrl “https://exchange.domain.de/ecp” -ExternalUrl “https://exchange.domain.de/ecp”
Set-ActiveSyncVirtualDirectory -Identity “servername\Microsoft-Server-ActiveSync (Default Web Site)” -InternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync” -ExternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync”
Set-MapiVirtualDirectory -Identity „servername\mapi (Default Web Site)“ -InternalUrl https://exchange.domain.de/mapi -ExternalUrl https://exchange.domain.de/mapi -IISAuthenticationMethods NegotiateSet-OABVirtualDirectory -Identity “servername\OAB (Default Web Site)” -InternalUrl “https://exchange.domain.de/OAB” -ExternalUrl “https://exchange.domain.de/OAB”
Enable-OutlookAnywhere -Server servername -ExternalHostname “exchange.domain.de” -ClientAuthenticationMethod “Basic”-SSLOffloading:$False

Weitere Infos: