117471
Goto Top

Exchange 2010 vs. Outlook 2016

Ich habe mir heute mal die Office 2016 Lizenz aus unserem Actionpack genommen und das Outlook in meinem Testnetz an den Exchange angebunden. Akut ist das nicht, aber ich möchte es halt "schon mal durchgespielt haben, falls man zukünftig mal damit konfrontiert wird".

In meinem Testnetz habe ich ein CAS-Array mit vorgeschaltetem Netzwerklastenausgleich. Die machen Hub Transport und Client Access. Der Cluster hat den Hostnamen mail.xyz.de und autodiscover.xyz.de

Dahinter befindet sich eine Datenbankverfügbarkeitsgruppe mit zwei Datenbankservern, die ich momentan aber als nebensächlich betrachte.

Das Outlook 2016 hat den Exchanger gefunden und konnte sich problemlos verbinden. Sämtliche Probleme, von denen ich im Vorfeld gelesen habe (Passwort wird nicht gespeichert usw.) sind nicht aufgetreten - alle Tippi-Toppi.

Jetzt melde ich mich gerade über einen OpenVPN-Tunnel an, kann mail.xyz.de und autodiscover.xyz.de problemlos anpingen, kriege auch die IPs vom Cluster und Outlook 2016 fragt ständig nach dem Kennwort (dass ich natürlich korrekt eingebe).

Ich habe an allen Ecken und Enden nach Fehlern gesucht - der Exchanger scheint perfekt dazustehen.

Wie kann ich den Fehler weiter eingrenzen? Outlook Anywhere steht bei beiden CAS-Servern auf "Standardauthentifizierung", die SSL-Verschiebung ist nicht aktiviert. Gibt es z.B. die Möglichkeit, irgendwelche Schritte an dieser Autodiscover-Geschichte "von Hand" (z.B. via Browser) durchzuführen und "einfach mal zu schauen, ob da konsistente Daten kommen"?

Anzumerken wäre noch, dass mail.xyz.de und autodiscover.xyz.de auch extern existieren und von dort auf einen Apache2 zeigen, der als reverser Proxy vor dem Exchangecluster hängt. Das funktioniert auch nicht; allerdings lege ich da im Moment keinen Wert drauf. Ich habe in dem Zusammenhang natürlich sichergestellt und immer wieder überprüft, dass ich via DNS aus dem LAN/VPN die internen IPs "erwische".

Content-Key: 291187

Url: https://administrator.de/contentid/291187

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: SmartLightning
SmartLightning 18.12.2015 um 00:16:02 Uhr
Goto Top
Hi FA-jka,

Ich habe ein ähnliches Problem allerdings schon mit Office 2010/2013.
Ich befürchte bzw. vermute das es mit der Namensauflösung und somit den Zertifikaten zusammenhängt. Interessanterweise habe ich Clienten, bei denen es funktioniert, bei anderen wiederum nicht. Die Konfiguration ist hierbei auf den ersten Blick 100% Identisch.

Ich lausche gerne deinem Post und hoffe ebenfalls aus den Antworten zu lernen.

Grüße Daniel
Mitglied: 117471
117471 18.12.2015 um 17:56:41 Uhr
Goto Top
Das vermute ich auch.

Was ich momentan mache ist, dass ich auf einem 2008 R2 Enterprise eine vollwertige Zertifizierungsstelle etabliere, Zertifikate für alle Hostnamen (mail.xyz.de, autodiscover.xyz.de sowie die internen Namen aller beteiligten Server und Komponenten) "vernünftige" Zertifikate austelle, diese an die jeweiligen Server / Dienste knüpfe und dann das Stammzertifikat "ordentlich" etabliere.

Das kann allerdings dauern - bin seit heute morgen im Weihnachtsurlaub und es ist ja letztendlich ein Lernprojekt face-smile

Was aber auf jeden Fall interessant werden dürfte, ist der Apache, den ich da als reversen Proxy vorgeklemmt habe. Hier gilt es ja zukünftig auch "irgendwie" zwei namensbasierte, virtuelle Hosts zu etablieren und mit diesen die Zertifikate von der Windows-CA anzubieten. Aber, wie gesagt - der externe Zugriff ist "erst einmal Nebensache".
Mitglied: 117471
117471 22.12.2015 um 18:37:55 Uhr
Goto Top
Sodele, ich habe:

a) eine Zertifizierungsstelle gegründet
b) Im Exchange 2010 ein Zertifikat angefordert
c) Die Anforderung mit der Zertifizierungsstelle signiert
d) Das Ergebnis im Exchange eingebaut
e) Das Ergebnis in Schlüssel und Zertifikat zerlegt und beides im Apache2 (Reverse-Proxy vor dem Exchange-Server) "verbaut"

Ergebnis: Der Outlook-Autoermittlungstest unter https://testconnectivity.microsoft.com/ sagt "alles grün".

Ich habe es noch nicht weiter getestet, bin aber zuversichtlich face-smile

Im Großen und Ganzen bin ich nach dieser Anleitung vorgegangen: https://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zerti ...

Allerdings habe ich das Zertifikat nicht über die MMC beantragt (Abschnitt "Beantragen eines SAN-Zertifikats für Exchange"), sondern die Bentragung direkt über den Exchange ausgeführt.

Das lief am Besten über das Webinterface von der Zertifizierungsstelle: http://www.icomundo.de/neues-selbstsigniertes-zertifikat-fuer-exchange- ...

Achja, vorab: Interner und externer Hostname müssen im Exchange sauber durchkonfiguriert sein. Das setze ich jetzt einfach mal voraus...^^