13
Exchange 2010 - Autodiscover - externer Hostname - NTLM
Hallo zusammen,
momentan hänge ich an einem (für mich) merkwürdigen Verhalten eines Exchange 2010 (SP3 RU14).
Generell: Das Autodiscover von den Clients funktioniert - Outlook 2010 läuft der Autodiscovertest ohne Meldung durch, in Outlook 2016 hingegen wird eine Anmeldung verlangt.
Der Aufruf der Autodiscover.xml über die interne FQDN geht direkt ohne Anmeldung, wird jedoch der externe Hostname verwendet (welcher via Split DNS auf den gleichen Server verweist) wird Benutzername & Kennwort verlangt.
OutlookAnywhere ist auch so konfiguriert, dass eine Authentifizierung via NTLM von extern ermöglicht wird.
Der Microsoft Remote Connectivity Analyzer hat auch keinerlei Probleme ein Autodiscover von extern durchzuführen.
Irgendwo klemmt es aber mit NTLM.
momentan hänge ich an einem (für mich) merkwürdigen Verhalten eines Exchange 2010 (SP3 RU14).
Generell: Das Autodiscover von den Clients funktioniert - Outlook 2010 läuft der Autodiscovertest ohne Meldung durch, in Outlook 2016 hingegen wird eine Anmeldung verlangt.
Der Aufruf der Autodiscover.xml über die interne FQDN geht direkt ohne Anmeldung, wird jedoch der externe Hostname verwendet (welcher via Split DNS auf den gleichen Server verweist) wird Benutzername & Kennwort verlangt.
OutlookAnywhere ist auch so konfiguriert, dass eine Authentifizierung via NTLM von extern ermöglicht wird.
Der Microsoft Remote Connectivity Analyzer hat auch keinerlei Probleme ein Autodiscover von extern durchzuführen.
Irgendwo klemmt es aber mit NTLM.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 314047
Url: https://administrator.de/contentid/314047
Printed on: April 16, 2024 at 15:04 o'clock
13 Comments
Latest comment
Moin,
Und was passiert wenn Du die Infos eingibst? Was sagt der Eventlog unter Anmeldungen am Exchange? Ggf. Logs vom IIS prüfen. Als Benutzername mal domain\username getestet? Welche IP ist intern am DNS eingetragen die interne oder externe? Proxy dazwischen irgendwo bzw. Firewall-Logs prüfen.
Viele Grüße,
Ribiku
Und was passiert wenn Du die Infos eingibst? Was sagt der Eventlog unter Anmeldungen am Exchange? Ggf. Logs vom IIS prüfen. Als Benutzername mal domain\username getestet? Welche IP ist intern am DNS eingetragen die interne oder externe? Proxy dazwischen irgendwo bzw. Firewall-Logs prüfen.
Viele Grüße,
Ribiku
Wenn ich Anmeldedaten bereitstelle, werden diese auch angenommen und die XML wird dargestellt.
Eventlog werde ich morgen durchforsten - IP hatte ich beides schon versucht, sowohl interne als auch externe, Proxy hängt hierbei nicht dazwischen, wobei auch hier diverse Szenarien getestet wurden.
Eventlog werde ich morgen durchforsten - IP hatte ich beides schon versucht, sowohl interne als auch externe, Proxy hängt hierbei nicht dazwischen, wobei auch hier diverse Szenarien getestet wurden.
Moin,
und wenn Du sie nicht eingibst und abbrechen drückst kommen dann auch die Mails? Könnt dann das Offline Adressbuch sein. Dort im IIS Verzeichniss auch NTLM aktiv?
Ribiku
Edit: Wenn Du die EventLogs durchsuchst, dann schau doch mal ob Du abgelehnte Loginversuche findest, wo nur der Benutzername drin steht und nicht domain\username.
und wenn Du sie nicht eingibst und abbrechen drückst kommen dann auch die Mails? Könnt dann das Offline Adressbuch sein. Dort im IIS Verzeichniss auch NTLM aktiv?
Ribiku
Edit: Wenn Du die EventLogs durchsuchst, dann schau doch mal ob Du abgelehnte Loginversuche findest, wo nur der Benutzername drin steht und nicht domain\username.
Genau das ist mein "Problem" die Mails kommen, auch kommt der Login Prompt im 2016er Client nur hoch wenn explizit "EMail Autokonfiguration testen" gewählt wird.
Meines Erachtens muss es mit dem Autodiscover zusammenhängen, da ich die Autodiscover.xml ja nicht direkt angezeigt bekomme (via https://mail.domain.com/Autodiscover/Autodiscover.xml), wird hingegen der lokale Hostname verwendet kommt sie direkt (https://mailserver.local/Autodiscover/Autodiscover.xml)
Meines Erachtens muss es mit dem Autodiscover zusammenhängen, da ich die Autodiscover.xml ja nicht direkt angezeigt bekomme (via https://mail.domain.com/Autodiscover/Autodiscover.xml), wird hingegen der lokale Hostname verwendet kommt sie direkt (https://mailserver.local/Autodiscover/Autodiscover.xml)
Moin,
Was kommt sonst 404? Hab selber kein Outlook 2016 weiss nur das es ohne richtigen autodiscover wohl richtig Probleme gibt.
Hast Du mal im IIS das Verzeichniss und die Logs geprüft? Zertifikat passt und läuft auch auf auf autodiscover.deinserver.tld?
Ribiku
Was kommt sonst 404? Hab selber kein Outlook 2016 weiss nur das es ohne richtigen autodiscover wohl richtig Probleme gibt.
Hast Du mal im IIS das Verzeichniss und die Logs geprüft? Zertifikat passt und läuft auch auf auf autodiscover.deinserver.tld?
Ribiku
Ansonsten bekomme ich vom IIS die Meldung "Sie sind nicht berechtigt, dieses Verzeichnis oder diese Seite anzuzeigen."
Genau das ist es ja, Autodiscover funktioniert auch irgendwie, das ist das was mich so kirre macht.
In den Logs finde ich nichts großartig, gebe ich falsche Daten ein wird eine fehlgeschlagene Anmeldung protokolliert, breche ich den vorgang ab und erhalte die oben genannte Meldung, wird nichts vermerkt.
Zertifikat ist ein Wildcard, also ja.
EDIT:
Nochmal was getestet - jetzt verzweifle ich wirklich.
https://mail.domain.com/Autodiscover/Autodiscover.xml -> Anmeldung erforderlich
https://mailserver.domain.local/Autodiscover/Autodiscover.xml -> Anmeldung erforderlich
https://172.25.xxx.xxx/Autodiscover/Autodiscover.xml -> Anmeldung erforderlich
https://mailserver/Autodiscover/Autodiscover.xml -> Geht
Die Einträge sind im Endeffekt identisch - DNS habe ich auch geprüft nur die eine IP Adresse sonst nichts.
Ich habe das nun extra von zwei Maschinen mit verschiedenen Benutzern getestet.
Genau das ist es ja, Autodiscover funktioniert auch irgendwie, das ist das was mich so kirre macht.
In den Logs finde ich nichts großartig, gebe ich falsche Daten ein wird eine fehlgeschlagene Anmeldung protokolliert, breche ich den vorgang ab und erhalte die oben genannte Meldung, wird nichts vermerkt.
Zertifikat ist ein Wildcard, also ja.
EDIT:
Nochmal was getestet - jetzt verzweifle ich wirklich.
https://mail.domain.com/Autodiscover/Autodiscover.xml -> Anmeldung erforderlich
https://mailserver.domain.local/Autodiscover/Autodiscover.xml -> Anmeldung erforderlich
https://172.25.xxx.xxx/Autodiscover/Autodiscover.xml -> Anmeldung erforderlich
https://mailserver/Autodiscover/Autodiscover.xml -> Geht
Die Einträge sind im Endeffekt identisch - DNS habe ich auch geprüft nur die eine IP Adresse sonst nichts.
Ich habe das nun extra von zwei Maschinen mit verschiedenen Benutzern getestet.
Bei mir gibt er eine 600 zurück "invalid request". Also nach Eingabe des Logins im Browser. Sind im IIS auf den Ordnern ggf. Mal dieAuthentifizierungen geändert worden? Also im autodiscover oab ews etc...
Profil im Outlook mal neu angelegt?
Ribuku
Profil im Outlook mal neu angelegt?
Ribuku
Ja, 600 ist die korrekte Rückmeldung, da keine Konfiguration angefragt wurde.
Nein, an denen wurde nichts geändert, an sich ist das kein Outlook Thema, da ich ja generell ein Problem mit Aufruf der Autodiscover.xml habe, aber ja, habe ich bereits schon gemacht, was auch immer problemlos funktioniert. Nur beim 2016er Client geht der Test nicht.
Nein, an denen wurde nichts geändert, an sich ist das kein Outlook Thema, da ich ja generell ein Problem mit Aufruf der Autodiscover.xml habe, aber ja, habe ich bereits schon gemacht, was auch immer problemlos funktioniert. Nur beim 2016er Client geht der Test nicht.
Dann würde mir nur noch das einfallen:
https://testconnectivity.microsoft.com/
Aber den hast ja sicher schon gemacht.
Viele Grüße,
Ribiku
https://testconnectivity.microsoft.com/
Aber den hast ja sicher schon gemacht.
Viele Grüße,
Ribiku
Genau, das habe ich schon und dort treten keinerlei Fehler auf.. Wie gesagt ich weiß nicht wo ich hingreifen soll.
https://www.frankysweb.de/exchange-2010-und-outlook-2016-autodiscover/
Dort findest du weiter unten ein paar get-befehle für die powershell, wenn du die mal nutzt kommen da Fehler? Ist ggf. AD noch ein alter Exchange Server der quer läuft und nicht richtig deinstalliert wurde?
Was sagt der BPA vom Exchange, irgendwelche Fehler?
Ribiku
Dort findest du weiter unten ein paar get-befehle für die powershell, wenn du die mal nutzt kommen da Fehler? Ist ggf. AD noch ein alter Exchange Server der quer läuft und nicht richtig deinstalliert wurde?
Was sagt der BPA vom Exchange, irgendwelche Fehler?
Ribiku
Bei den Befehlen treten keine Fehler auf uns sind soweit auch korrekt.
Der BPA makelt auch nichts an..
Der BPA makelt auch nichts an..
Noch jemand einen guten Tipp ?