Martint 10 Geschrieben 2. April 2010 Melden Teilen Geschrieben 2. April 2010 Hallo zusammen Ich weiß es ist kein neues Problem und gibt zig Anleitungen dazu im Netz - ich habe schon eine halbe Ewigkeit mit Troubleshooting verbracht. So langsam gehen mir die Ideen aus... 2 Fehler, die sicher die selbe Ursache haben Fehler 1: Ihre Abwesenheitseinstellungen können nicht angezeigt werden, da ihr Server zurzeit nicht verfügbar ist. Versuchen Sie es später erneut. Fehler 2: Gleichzeitig das allbekannte Problem, das OAB nicht downloadbar ist, das Synchprotokoll sagt, es kann den Server nicht finden.... Situation: - Win 2k8 Server SP2 mit Ex2k7 SP1 installiert - lokale Domäne mit domäne.loc - Clients gehen physisch oder per 2k3 Terminalserver mit Outlook 2007 ans Netz - Proxy Betrieb - Ausnahmeliste wurde gepflegt, auch Abschalten von Proxy ändert am Problem leider nichts - Test der OutlookWebServices ist alles erfolgreich - Autodiscover / Zertifikat - irgendwo hier muss der Hund begraben liegen. Der Test bringt eigentlich nur Fehler und er meckert auch einen Cert Error an, aber nicht konkret, was ihm nicht passt Was habe ich schon gemacht: - DNS Eintrag erstellt autodiscover.domäne.de der auf den internen Exchange zeigt - per Zertifikatsdienste / Kommandoshell ein neues Zertifikat erstellt und das vorinstallierte ersetzt, bei dem die DNS Namen autodiscover.domäne.de,Exchange.domäne.loc und einige mehr enthalten sind. - Zertifikat per GPO verteilt. - Zugriff auf OWA im Netz bringt keinen Zert.Fehler - Zugriff per OAB im Netz bringt Zugriff verweigert (so sollte es wohl auch sein) - OAB ist zugeordnet, wurde aktualisiert, Dateien existieren - EWS Verzeichnis neu erstellt - Autodiscover Verzeichnis neu erstellt - als interne URL habe ich überall Exchange.domöne.loc eingetragen - DNS technisch funktioniert das Gibt es noch weitere Ideen, um da weiter zu machen? Kann beim Zert. noch was falsch sein? Vermute es könnte hier der Fehler sein? Danke für den Input vorab Grüße Martin Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 3. April 2010 Melden Teilen Geschrieben 3. April 2010 Hallo Martin, - Autodiscover / Zertifikat - irgendwo hier muss der Hund begraben liegen. Der Test bringt eigentlich nur Fehler und er meckert auch einen Cert Error an, aber nicht konkret, was ihm nicht passt Kannst du den Zertifikatsfehler mal hier posten? Ich bin mir sicher, dass deine Autodiscoverkonfiguration an irgendeiner Stelle nicht passt. Rechtsklicke an einem Client mit gedrückter STRG Taste das Outlook Icon im Systray und wähle aus dem Kontextmenü die Option "Email Autokonfiguration testen". Welche Ausgabe bekommst du? Zitieren Link zu diesem Kommentar
Martint 10 Geschrieben 3. April 2010 Autor Melden Teilen Geschrieben 3. April 2010 Hallo und Danke für das Interesse :) ja ich bin mir auch sicher, dass mit dem XXX Autodiscover etwas nicht passt. Leider stecke ich nur dummerweise fest. Also der Test der Autoermittlung ergibt folgendes: Attempting URL https://mail.int-domain.loc/Autodiscover/Autodiscover.xml'>https://mail.int-domain.loc/Autodiscover/Autodiscover.xml'>https://mail.int-domain.loc/Autodiscover/Autodiscover.xml found through SCP Autodiscover to https://mail.int-domain.loc/Autodiscover/Autodiscover.xml starting Autodiscover to https://mail.int-domain.loc/Autodiscover/Autodiscover.xml FAILED (0x80072F0C) Autodiscover to https://ext-domain.de/autodiscover/autodiscover.xml'>https://ext-domain.de/autodiscover/autodiscover.xml starting Received certificate error with no error context. Failing with cert error. Autodiscover to https://ext-domain.de/autodiscover/autodiscover.xml FAILED (0x800C8203) Autodiscover to https://autodiscover.ext-domain.de/autodiscover/autodiscover.xml'>https://autodiscover.ext-domain.de/autodiscover/autodiscover.xml starting Autodiscover to https://autodiscover.ext-domain.de/autodiscover/autodiscover.xml FAILED (0x80072FoC) Local autodiscover for ext-domain.de starting Local autodiscover for ext-domain.de FAILED (0x8004010F) Redirect check to http://autodiscover.ext-domain.de/autodiscover/autodiscover.xml'>http://autodiscover.ext-domain.de/autodiscover/autodiscover.xml starting Redirect check to http://autodiscover.ext-domain.de/autodiscover/autodiscover.xml FAILED (0x80004005) Srv Record lookup for ext-domain.de starting Srv Record lookup for ext-domain.de FAILED (0x8007251D) Im Synchronierungsprotokoll dann der Fehler zum OAB: 17:18:14 Synchronisiererversion 12.0.6423 17:18:14 Postfach "Administrator" wird synchronisiert 17:18:14 Vorgang abgeschlossen 17:18:14 Microsoft Exchange-Offlineadressbuch 17:18:14 Die Offlineadressbuchdateien werden nicht heruntergeladen. Es wurde kein Server (URL) gefunden. 17:18:14 0X8004010F Die xml Datei kann ich aber erreichen, wenn ich das ganz normal im Browser eingebe. Wie gesagt, für autodiscover.ext-domain.de hab ich ein DNS Eintrag, der zeigt auf den Exchange. Dieser cert error stört mich. Habe aber schon bestimmt 3 mal mit einem neuen Zertifikat getestet. Muss zugeben, der Fehler kommt erst, seitdem ich das vorinstallierte/interne ersetzt hab. Ideen? Grüße Martin Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 7. April 2010 Melden Teilen Geschrieben 7. April 2010 Hallo Martint Poste mal die Eigenschaften deiner Exchange Zertifikate: Get-ExchangeCertificate | fl Wie gesagt, für autodiscover.ext-domain.de hab ich ein DNS Eintrag Was für einen DNS Eintrag? Hast du da mehr Infos? Grüsse fluehmann Zitieren Link zu diesem Kommentar
Martint 10 Geschrieben 7. April 2010 Autor Melden Teilen Geschrieben 7. April 2010 Ja klar, hier ist es: AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System .Security.AccessControl.CryptoKeyAccessRule, System.Securi ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce ssControl.CryptoKeyAccessRule} CertificateDomains : {mail.int-domain.loc, owa, autodiscover.int-domain.loc, mail.ext-domain.de, autodiscover.ext-domain.de, EXCHANGE.int-domain.LOC, EXCHANGE, EXCHANGE.ext-domain.de, MAIL.EXCHANGE.int-domain.LOC, int-domain.loc, ext-domain.de} HasPrivateKey : True IsSelfSigned : True Issuer : CN=mail.int-domain.loc, O=int-domain, C=LOC NotAfter : 02.04.2011 15:12:55 NotBefore : 02.04.2010 15:12:55 PublicKeySize : 2048 RootCAType : Registry SerialNumber : 614D2921679D7FBF45D570E7BFBAB03A Services : IMAP, POP, IIS, SMTP Status : Valid Subject : CN=mail.int-domain.loc, O=int-domain, C=LOC Thumbprint : 17342AF2006222AA67FE0058D2996AA2F96CC4D4 AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System .Security.AccessControl.CryptoKeyAccessRule} CertificateDomains : {jse-EX-SRV-CA} HasPrivateKey : True IsSelfSigned : True Issuer : CN=int-domain-EXCHANGE-CA, DC=int-domain, DC=loc NotAfter : 22.03.2015 15:59:19 NotBefore : 22.03.2010 15:49:21 PublicKeySize : 2048 RootCAType : Enterprise SerialNumber : 06EC93A1AE04C48842021242DC9370ED Services : None Status : Valid Subject : CN=int-domain-EXCHANGE-CA, DC=int-domain, DC=loc Thumbprint : 9989AEFBEA6EFBC1578A3969189D225224F19C3C AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System .Security.AccessControl.CryptoKeyAccessRule, System.Securi ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce ssControl.CryptoKeyAccessRule} CertificateDomains : {EXCHANGE, EXCHANGE.int-domain.loc} HasPrivateKey : True IsSelfSigned : True Issuer : CN=EXCHANGE NotAfter : 29.09.2010 20:00:31 NotBefore : 29.09.2009 20:00:31 PublicKeySize : 2048 RootCAType : None SerialNumber : 7FE121CA0C96E89C4E20B96E6F065162 Services : SMTP Status : Valid Subject : CN=EXCHANGE Thumbprint : 3FEEB2ABAAD673078311288AA9D617437135AF1D Zitieren Link zu diesem Kommentar
Martint 10 Geschrieben 7. April 2010 Autor Melden Teilen Geschrieben 7. April 2010 soviel dazu, nun habe ich aber mal den Test von außen gemacht, recht interessant, habe geprüft auf "mail.ext-domain.de" ich hab jetzt einfach mal einen Baum rausgenommen, weil die Meldungen relativ ähnlich sind: Attempting to test potential AutoDiscover URL https://ext-domain.de/AutoDiscover/AutoDiscover.xml Failed testing this potential AutoDiscover URL Test Steps Attempting to resolve the host name ext-domain.de in DNS. Host successfully resolved Additional Details IP(s) returned: xx.xx.xx.xx Testing TCP Port 443 on host ext-domain.de to ensure it is listening and open. The port was opened successfully. Testing SSL Certificate for validity. The SSL Certificate failed one or more certificate validation checks. Tell me more about this issue and how to resolve it Additional Details A network error occurred while communicating with remote host Exception Details: Message: The handshake failed due to an unexpected packet format. Type: System.IO.IOException Stack Trace: at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken message, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult) at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost, X509CertificateCollection clientCertificates, SslProtocols enabledSslProtocols, Boolean checkCertificateRevocation) at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost) at Microsoft.Exchange.Tools.ExRca.Tests.SSLCertificateTest.PerformTestReally() So ich hoffe das ist lesbar... Er scheint ja wirklich mit dem Zertifikat ein Problem zu haben, wo liegt wohl der Fehler? Grüße Martin Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 7. April 2010 Melden Teilen Geschrieben 7. April 2010 Falls die Clients in die Domain gejoint sind, bin ich der Meinung das diese Autodiscover per SCP im AD auflösen sollten. Gibt es noch Clients die nicht in die Domain gejoint sind? Die Certificate Domains im Zertifikat sehen meiner Meinung nach gut aus. Diese Domains sollten sicher per DNS aufgelöst werden können. Hier noch ein guter Link wie Autodiscover arbeitet und konfiguriert werden kann: Exchange 2007 Autodiscover Service Part 1 17:18:14 Synchronisiererversion 12.0.642317:18:14 Postfach "Administrator" wird synchronisiert 17:18:14 Vorgang abgeschlossen 17:18:14 Microsoft Exchange-Offlineadressbuch 17:18:14 Die Offlineadressbuchdateien werden nicht heruntergeladen. Es wurde kein Server (URL) gefunden. 17:18:14 0X8004010F Sieht mann viel, diese OAB Synch Errors. Helfen könnte folgender Link: Outlook 2007 SP1 + Exchange Server 2007 SP1 = Free/Busy status Error + OOF message Error Grüsse fluehmann Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 7. April 2010 Melden Teilen Geschrieben 7. April 2010 Attempting URL https://mail.int-domain.loc/Autodiscover/Autodiscover.xml'>https://mail.int-domain.loc/Autodiscover/Autodiscover.xml'>https://mail.int-domain.loc/Autodiscover/Autodiscover.xml found through SCP Autodiscover to https://mail.int-domain.loc/Autodiscover/Autodiscover.xml starting Autodiscover to https://mail.int-domain.loc/Autodiscover/Autodiscover.xml FAILED (0x80072F0C) Falls die Clients in die Domain gejoint sind, bin ich der Meinung das diese Autodiscover per SCP im AD auflösen sollten. Genau, das sollte bei Domänenclients ohne Probleme funktionieren. Du hast vermutlich ein Problem mit den Einstellungen des Autodiscover Verzeichnisses. Hast du zufällig irgendwo (auf der Standardwebsite oder dem virtuellen Autodiscover Verzeichnis) den Haken "Require Client Certificate" gesetzt? Zitieren Link zu diesem Kommentar
Martint 10 Geschrieben 7. April 2010 Autor Melden Teilen Geschrieben 7. April 2010 Genau, das sollte bei Domänenclients ohne Probleme funktionieren. Du hast vermutlich ein Problem mit den Einstellungen des Autodiscover Verzeichnisses. Hast du zufällig irgendwo (auf der Standardwebsite oder dem virtuellen Autodiscover Verzeichnis) den Haken "Require Client Certificate" gesetzt? Das ist es ja was mich stört - alle Clients sind in der Domäne, daher sollte es doch übers AD gehen? Wegen den Webseiteneinstellungen hab ich geschaut, bei Default Web Site / OWA / Autodiscover steht bei allen 3en: SSL erforderlich und 128 Bit SSL erforderlich angehakt und bei allen 3en steht Clientzertifikate auf Akzeptieren... Grüße Martin Zitieren Link zu diesem Kommentar
Martint 10 Geschrieben 7. April 2010 Autor Melden Teilen Geschrieben 7. April 2010 Hier noch ein guter Link wie Autodiscover arbeitet und konfiguriert werden kann: Exchange 2007 Autodiscover Service Part 1 Sieht mann viel, diese OAB Synch Errors. Helfen könnte folgender Link: Outlook 2007 SP1 + Exchange Server 2007 SP1 = Free/Busy status Error + OOF message Error Danke, den oberen Link kenn ich zwar schon, aber ich schau es mir nochmal in Ruhe durch... Grüße Martin Zitieren Link zu diesem Kommentar
fluehmann 10 Geschrieben 7. April 2010 Melden Teilen Geschrieben 7. April 2010 Hast du zufällig irgendwo (auf der Standardwebsite oder dem virtuellen Autodiscover Verzeichnis) den Haken "Require Client Certificate" gesetzt? Genau, das wird auch als häufige Ursache genannt (Im zweiten Links zu finden): 3. If you see error 80072f0c in “Test E-mail AutoConfiguration” a. Go to CAS role’s IIS, expand to “AutoDiscover” VD and right-click it, choose “Properties” b. In “Directory Security”->click “Edit” button in “Secure Communications” zone-> set client certificates as "ignore client certificates" and reset the IIS c. Run “Test E-mail AutoConfiguration” and check the error again Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 7. April 2010 Melden Teilen Geschrieben 7. April 2010 Auch unabhängig von irgendwelchen Foren hilft es oftmals die zurückgelieferten Errorcodes umzusetzen. 0x80072F0C bedeutet in diesem Fall ERROR_INTERNET_CLIENT_AUTH_CERT_NEEDED Prüfe mal wie weiter oben schon geschrieben, ob der Haken für Client Zertifikate irgendwo gesetzt ist. Zitieren Link zu diesem Kommentar
Martint 10 Geschrieben 7. April 2010 Autor Melden Teilen Geschrieben 7. April 2010 Hallo zusammen und Danke für die Ansätze das Umsetzen des Schalter bei der Webseite Autodiscover auf Clientzertifikate ignoerieren scheint zumindest schonmal dazu zu führen, dass der Autodiscover nun erstmals ohne Fehler durchläuft, sieht so aus: Autoconfiguration has started, this may take up to a minute Autoconfiguration found the following settings: Display Name: Administrator Protocol: Exchange RPC Server: EXCHANGE.int-domain.loc Login Name: Administrator Availability Service URL: https://mail.int-domain.loc/ews/exchange.asmx'>https://mail.int-domain.loc/ews/exchange.asmx OOF URL: https://mail.int-domain.loc/ews/exchange.asmx OAB URL: https://mail.int-domain.loc/oab/xxxxx/ Unified Message Service URL: https://mail.int-domain.loc/unifiedmessaging/service.asmx'>https://mail.int-domain.loc/unifiedmessaging/service.asmx Auth Package: Unspecified Protocol Exchange HTTP Server: EXCHANGE Login Name: Administrator SSL: Yes Mutual Authentication: Yes Availability Service URL: https://mail.ext-domain.de/EWS/Exchange.asmx'>https://mail.ext-domain.de/EWS/exchange.asmx OOF URL: https://mail.ext-domain.de/EWS/Exchange.asmx OAB URL: https://mail.ext-domain.de/oab/xxxxx/ Unified Message Service URL: https://mail.int-domain.loc/unifiedmessaging/service.asmx Auth Package: Unspecified Certificate Principal Name: msstd:EXCHANGE unter Protokoll zeigt er an: Attempting URL https://mail.int-domain.loc/Autodiscover/Autodiscover.xml'>https://mail.int-domain.loc/Autodiscover/Autodiscover.xml'>https://mail.int-domain.loc/Autodiscover/Autodiscover.xml found through SCP Autodiscover to https://mail.int-domain.loc/Autodiscover/Autodiscover.xml starting Autodiscover to https://mail.int-domain.loc/Autodiscover/Autodiscover.xml succeeded (0x00000000) ABER... Nun habe ich wieder den netten Effekt, dass ich diesen Anmeldedialog im Outlook bekomme, er will sich immer anmelden an mail.ext-domain.de - auch wenn ich dann auch Abwesenheitsassistent gehe, kommt sofort der Anmeldedialog. Kann es sein, dass auf der Default Web Site was nicht passt? Außerdem wenn ich mir die Ausgabe vom Autodiscover so anschaue, scheint der ja das per HTTP dann abzufragen? Allein wenn ich mir den DomainNamen anschaue... - achso Abwesenheitsassistent bringt dann leider immer noch den Fehler, dass der Server nicht erreichbar wäre - hängt aber sicher an dem Anemldedialog. Ideen? Grüße Martin Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 7. April 2010 Melden Teilen Geschrieben 7. April 2010 Ideen? Jetzt wäre doch der ideale Zeitpunkt den Exchange auf einen aktuellen Stand zu bekommen, oder? ;) http://www.microsoft.com/downloads/details.aspx?familyid=4c4bd2a3-5e50-42b0-8bbb-2cc9afe3216a&displaylang=de Downloaddetails: Updaterollup 3 für Exchange Server 2007 Service Pack 2 (KB979784) Zitieren Link zu diesem Kommentar
Martint 10 Geschrieben 8. April 2010 Autor Melden Teilen Geschrieben 8. April 2010 So hat ein klein wenig gedauert. Nun hab ich upgedatet auf SP2 und danach auch gleich auf das Updaterolleup 3 für SP2. Leider alles unverändert... Grüße Martin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.