Problem mit Exchangeanbindung Outlook über HTTPS

[simonak 10]

Hallo!

 

Habe ein Problem mit der Outlookanbindung extern über HTTPS. Habe einen Windows 2003 Std. Server der Domaincontroller ist und auf dem Exchange 2003 Std. installiert ist. Läuft soweit alles wie es soll. Nach folgender Anleitung bin ich vorgegangen um den Exchangeserver darauf vorzubereiten:

 

Exchange RPC über HTTPS

 

Punkt 3 und 4 habe ich ausgelassen da der Exchangeserver auf dem DC installiert ist und ich keinen ISA Server laufen habe.

 

OWA funktioniert von extern auch über das Iphone. Ich kann das Outlook aber immer noch nicht über HTTPS anbinden, der löst mir die Namen nicht auf und findet nichts. Ist es ein Problem das der interne FQDN des Servers und die externe Adresse auf den Server die gleichen Namen haben, stört aber sonst ja auch nicht?

 

Folgende Fehlermeldung erscheint:

 

Der Name kann nicht aufgelöst werden. Es steht keine Verbindung mit Microsoft Exchange zur Verfügung. Outlook muss im Onlinemodus oder verbunden sein, um diesen Vorgang abzuschließen.

 

bzw.

 

Die Aktion kann nicht abgeschlossen werden. Es steht keine Verbindung mit Microsoft Exchange zur Verfügung. Outlook muss im Onlinemodus oder verbunden sein, um diesen Vorgang abzuschließen.

 

Auf den externen Link https://meineurl/rpc komme ich auch von extern, ein Authentifizierungsfenster erscheint aber ich kann mich nicht anmelden. Nicht als Admin und auch nicht als User, müsste ich dies nicht können?

 

Habe ich noch etwas übersehen? An was kann das liegen? Wie kann ich herausfinden wo mein Problem liegt?

[Zomb 10]

Hallo und guten Morgen,

 

1. Hat der Server eine feste IP-Adresse?

2. Funktioniert das Serverzertifikat?

3. Sind die Berechtigungen im IIS korrekt gesetzt und ist die Authentifizierung korrekt?

 

4. Warum nutzt du keinen ISA?

5. Einen Exchange einfach so offen ins Netz zu stellen ist ne dämliche Idee.

(Meine Meinung)

 

MFG,

Zomb

[simonak 10]

Zu 1: Der Server hat eine feste IP wird aber durch einen DNS Namen von extern angesprochen.

 

Zu 2: Serverzertifikat ist selbst ausgestellt also kein "Gültiges" in dem Sinn. Das Zertifikat nutze ich aber auch für die Anbindung eines Windows Mobile Gerätes an den Exchange, dies funktioniert.

 

Zu 3: Berechtigungen sind gesetzt wie in dem Link von mir beschrieben.

 

Zu 4: Wäre einmal eine Überlegung wert, momentan habe ich aber noch keinen laufen.

 

 

Edit:/ Eine weitere Anfrage habe ich noch im MSX-Forum laufen:

http://portal.msxforum.de/modules/newbb/viewtopic.php?topic_id=11952&post_id=68008#forumpost68008

 

Edit2:/ Eine weitere Sache die evtl. noch erwähnenswert wäre, wenn ich im Exchange Systemmanager auf den Server gehe unter RPC-HTTP und den Haken setze für RPC-HTTP-Back-End-Server kommt folgende Fehlermeldung:

In der Exchange-Organisation ist kein RPC-HTTP-Front-End-Server vorhanden.

In der Organisation muss mindestens ein RPC-HTTP-Front-End-Server vorhanden sein, bevor ein Zugriff auf den RPC-HTTP-Back-End-Server erfolgen kann.

 

Er nimmt die Einstellung dann aber doch an.

 

Habe auch noch einmal alle Einstellungen aus folgendem Link geprüft, sind alle gesetzt wie sie sein sollten:

http://www.msxfaq.de/clients/rpchttp.htm

bearbeitet 9. Juni 2010 von simonak

[Zomb 10]

Ist das Selbst erstellte Zertifikat auch auf dem Client installiert?

 

Und wenn du eine Fehlermeldung beim Backend einrichten bekommst: Du hast ja sicherlich auf der MSXFAQ genau geschaut richtig?

 

 

Und das hier auch durchgeführt:

 

*ZITAT von MSXFAQ*

 

Backend-Server:

Allerdings vereinfacht diese Karteikarte nur die Konfiguration bei einer Frontend/Backend Konstellation. Bei einem einzelnen Server ist weitere Konfigurationen erforderlich. Die Einstellung "Back-End-Server" sorgt unter anderem dafür, dass auf dem Server folgende Schlüssel gesetzt werden:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem]

"Rpc/HTTP Port"=dword:00001771

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters]

"HTTP Port"=dword:00001772

"Rpc/HTTP NSPI Port"=dword:00001774

 

Prüfen Sie diese Einträge, denn ich habe es schon erlebt, dass diese Werte NICHT gesetzt wurden oder irrtümlich lokalisiert warten (also RPC/HTTP-Anschluss" und "HTTP-Anschluss".

 

Diese Einträge müssen auf jedem Backend Server durchgeführt werden und werden erst nach dem Neustart der Exchange Dienste aktiv. Die Funktion sollten Sie dann mit dem Befehl NETSTAT prüfen:

 

netstat -a -o | find "600"

TCP nawsv001:6001 srv01.msxfaq.test:0 ABHÖREN 3996

TCP nawsv001:6002 srv01.msxfaq.test:0 ABHÖREN 3152

TCP nawsv001:6004 srv01.msxfaq.test:0 ABHÖREN 476

 

Dieser Server "lauscht" also auf den Port 6001,6002 und 6004.

 

Auf dem RPC-Proxy-Server muss nun der Zugriff auf eben diese Server ebenfalls eingetragen werden. So muss der bei einer Single Server Installation der Eintrag "ValidPorts" gepflegt werden:

 

Windows Registry Editor Version 5.00

 

[HKLM\Software\Microsoft\Rpc\RPCproxy]

"ValidPorts"="srv01:6001-6002;srv01.msxfaq.test:6001-6002;srv01:6004;srv01.msxfaq.test:6004"

 

Hier muss sowohl der "kurze" NETBIOS-Name als auch der lange FQDN eingetragen werden. Nach der Installation und dem Start sollten Sie im Eventlog kontrollieren, ob der RPC-Proxy korrekt gestartet ist.

 

Weiterhin müssen Sie natürlich ihrem Domaincontroller eventuell den Port für RPC/HTTP eintragen, wenn diese zugleich Exchange Backend Server ist.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\NSPI interface protocol sequences: Multi_SZ = ncacn_http:6004

 

Diese Änderung wird erst nach einem Neustart des Servers erforderlich. Auch Microsoft liefert einige sehr viel aussagekräftigere Informationen z.B. auf:

 

* 833401 How to configure RPC over HTTP in Exchange Server 2003

* Technet Exchange Server 2003 RPC over HTTP Deployment Scenarios

ms-help://MS.TechNet.2006NOV.1033/exchange/tnoffline/prodtechnol/exchange/exchange2003/proddocs/library/ex2k3rpc.htm

 

Gruß,

Zomb

[simonak 10]

Das Zertifikat habe ich auf dem Client installiert.

 

Die genannten Punkte von MSXFAQ bin ich durchgegangen, habe die Registry Keys überprüft bzw. angepasst und auch der Server wurde danach neu gestartet. Schon irgendwie komisch das es noch nicht klappt.

[simonak 10]

Habe im MSX-Forum noch einen Tipp bekommen folgenden Test laufen zu lassen:

https://www.testexchangeconnectivity.com/

 

Folgendes kommt dabei heraus:

ExRCA is testing RPC/HTTP connectivity.

The RPC/HTTP test failed.

 

Test Steps

 

Attempting to resolve the host name server.domain.de in DNS.

Host successfully resolved

 

Additional Details

IP(s) returned: richtige IP

Testing TCP Port 443 on host slserver.sl-schweisstechnik.de to ensure it is listening and open.

The port was opened successfully.

ExRCA is testing the SSL certificate to make sure it's valid.

 

The SSL certificate failed one or more certificate validation checks.

 

Test Steps

 

The certificate name is being validated.

Successfully validated the certificate name

 

Additional Details

Found hostname server.domain.de in Certificate Subject Common name

Certificate trust is being validated.

Certificate trust validation failed.

Tell me more about this issue and how to resolve it

 

Additional Details

The certificate chain did not end in a trusted root. Root = CN=server.domain.de

 

Also habe ich ein Zertifikatsproblem weil ich es selbst ausgestellt habe? Aber z.B. mit einem Windows Mobile Gerät komme ich auch über das Handy auf den Exchange. Was kann ich tun?

[Zomb 10]

Installier den RPC-Dienst bitte nochmal neu und gehe die RPC-Schritte erneut durch. Danach würde ich erst einmal OWA zum laufen bringen. Wenn du da drauf kommst, bist du schonmal nen guten Schritt weiter.

 

Die Authentifizierung scheint nicht ganz rund zu laufen bei dir und mit dem Zertifikat stimmt wohl auch irgendwas noch nicht so ganz.

 

Und sehe ich das richtig, das dein Server den FQDN "Server.meinedomain.de" hat?

 

Hast du die Ports auch in eurem Router an den Server weitergeleitet?

Und da kommen wir auch wieder zu dem Punkt "Server offen ins Netz stellen".

Ich habe mal eine ähnliche Testumgebung aufgestellt und diese dann wieder verworfen und einen ISA dazu genommen. Damit das so funktioniert, hängst du vom Server nämlich die Ports vom Exchange und vom AD / Global Katalog ins Netz und das ist wirklich keine schöne Sache.

Bevor du das produktiv in den Einsatz nimmst, lass dir die Risiken durch den Kopf gehen und überdenke bitte deine Konfiguration. Nimm dir auch ein Beispiel an meiner Signatur bitte ;)

 

MFG,

Zomb

[simonak 10]

War gestern leider nicht in der Firma.

 

Bin alle Schritte noch einmal durchgekommen, gleiches Ergebnis.

 

OWA geht aber, ging immer, von daher kein Authentifizierungsproblem in meinen Augen!

 

Das mit dem FQDN siehst du richtig.

 

Port 443 wird durch den Router weitergeleitet, mehr braucht es ja nicht, oder?

 

Das mit dem ISA werde ich mir noch einmal durch den Kopf gehen lassen und eine Teststellung aufbauen. Die HTTPS Anbindung muss aber eigentlich schon laufen daher würde ich dies schon gerne erst freischalten wollen bevor ich das System neu aufsetze damit ich in Ruhe testen kann.

 

Habe hier noch einen Link gefunden den mir https://www.testexchangeconnectivity.com/ ausgespuckt hat:

Vertrauensfehler bei SSL-Zertifikat.

 

Hier heißt es:

Allerdings erfordern die Verbindungstests für Outlook Anywhere (RPC-über-HTTP) momentan ein öffentlich vertrauenswürdiges Zertifikat, dem auch unser Server vertraut.

 

Bedeutet das es funktioniert sowieso nur mit einem vertrauenswürdigen öffentlichen Zertifikat oder nur der Test kommt dann nicht weiter?

[Zomb 10]

Das beutet, das an der Stelle der Test der Seite nicht mehr weiter geht.

 

Ports sind 80 und 443.

 

Bist du den IIS nochmal genauer durchgegangen? Und das ereignislog ist auch immer ne feine Sache, was gibt das denn aus?

 

MFG,

Zomb

[simonak 10]

Port 80 muss ich aber nicht nach außen freigeben wenn ich im IIS Verschlüsselte Verbindung aktiviert habe, dann geht es ja über Port 443, richtig?

 

Bin alle Einstellungen noch einmal durchgegangen, alles soweit korrekt wie ich das sehe.

 

Das Eventlog spuckt mir leider gar nichts aus bis auf die Meldung das der RPC Proxy ordnungsgemäß gestartet wurde, so soll dies ja auch sein.

[simonak 10]

So, Problem gelöst. Zuerst einmal allen die mir geholfen haben noch einmal ein großes Dankeschön!:)

 

Habe bei Microsoft diesbezüglich eine Supportanfrage gestellt. Nach der ersten Diagnose sahen auch alle meine Einstellungen in Ordnung aus.

 

Größtes Problem war wohl das Zertifikat das ich mir nur selbst über SelfSSL ausgestellt hatte. Habe dann die Microsoft Zertifizierungsstelle installiert und mir hierrüber ein neues Zertifikat ausgestellt. Wichtig, das Zertifizierungsstellenzertifikat muss natürlich auf dem Client, der die Verbindung Outlook über HTTPS aufbauen muss, installiert werden. Aber dies ist ja eh klar.

 

In meinem Fall tat sich nach dem neuen Zertifikat aber immer noch nichts, erst nach folgenden Schritten:

 

- RPC uninstall

- Neustart

- RPC install

- Win 2003 SP2 noch einmal drübergespielt

- Neustart

- noch einmal alle Einstellungen nach folgendem Link vorgenommen wie aber bereits schon zuvor:

Exchange RPC über HTTPS

 

Mit oben genanntem Link sollte man normalerweise schon alleine klar kommen wenn nicht wieder irgend wo etwas hängt wie bei mir.

 

Hier noch ein weiterer interessanter Link:

How can I configure RPC over HTTP/S on Exchange 2003 (single server scenario)?

 

Ein gutes Tool um RPC von intern und extern zu testen ist RPC-Ping, in den Windows Server 2003 Resource Kit Tools erhältlich:

Download details: Windows Server 2003 Resource Kit Tools

 

 

Gruß

 

simonak