Interne Outlook Clients unter Exchange 2013

[Domo 4]

Hallo zusammen,

 

Ich habe hier einen Server 2012 R2 mit installiertem Exchange Server 2013. Konfiguriert habe ich ihn unter anderem mithilfe dieses Artikels:

https://technet.microsoft.com/de-de/library/jj218640%28v=exchg.150%29.aspx

 

Grundsätzlich funktioniert der Server wunderbar. Ich habe aber noch zwei kleine Eigenheiten entdeckt, die mir keine Ruhe lassen.

 

Nummer 1: Wenn ich interne Outlook Clients per Autodiscover verbinden lasse muss ich trotzdem den Benutzer und das Passwort eingeben. Per default versucht Outlook sich mit der Mail Adresse anzumelden was logischerweise nicht klappen kann. Dann melde ich micht mit Netzwerkdomain\User an und die Verbindung klappt einwandfrei, bei Outlookneustarts müssen auch keine Zugangsdaten eingegeben werden. Bei Exchange 2010 ging das immer vollautomatisch. An was könnte das liegen, bzw. wo müsste ich näher hinschauen?

 

Nummer 2: Die Authentifizierung möchte ich gerne auf Aushandeln setzen damit alles möglichst automatisch von statten geht. Outlook Anywhere habe ich entsprechend konfiguriert. Die Einstellungen im Outlook werden jedoch nach einigen Neustarts wieder überschrieben. Im Register "Sicherheit" habe ich dann "Anonym" und unter den HTTPS Proxy Einstellungen "NTLM". Kann mir jemand sagen woran das liegt, bzw. ob das unter Exchange 2013 sogar normal ist?

 

Ich hatte bereits bei einigen Migrationen von Exchange 2010 auf Exchange 2013 ähnliche Symptone. Exchange 2010 unterstützt aber (nach meinem bescheidenen Wissen) die Methode Aushandeln nicht. Bei oben genanntem handelt es sich aber um eine komplett neue Installation.

 

Beide Punkte sind nicht wirklich dramatisch, nach der einmaligen Anmeldung funktioniert Outlook perfekt. Jedoch mag ich keine Sachen die ich nicht ergründen kann...

 

Da ich in Zukunft viel mit Exchange arbeiten werde, besuche ich im September auch einen entsprechenden Kurs. Ich möchte aber bereits vorher möglichst viel Wissen erarbeiten können... :)

 

Vielen Dank

 

Gruss

Claudio

[NorbertFe 2.039]

Dein Autodiscover ist demzufolge falsch konfiguriert. Mußt du eigentlich nur per get-clientaccessserver | fl *uri* mal schauen, was genau als SCP eingetragen ist.

[Domo 4]

Hallo Norbert,

Danke für deine Rückmeldung.

 

Als SCP habe ich per Powershell "autodiscover.domain.ch/Autodiscover/Autodiscover.xml" eingetragen. Autodiscover.domain.ch zeigt dann im internen DNS auf den Exchange Server.

Ist das nicht korrekt so?

 

Grüsse,

 

Claudio

[NorbertFe 2.039]

Und der Namen steht auch im Zertifikat? Ich würde da zwar eher den Servernamen reinschreiben mit dem du von aussen zugreifst, aber das sollte egal sein.

[Domo 4]

Nochmals danke für die Rückmeldung :-)

 

Im Zertifikate ist autodiscover, remote sowie der Servername selber eingetragen. Das Zertifikat wird auch entsprechend gezogen, sprich ich habe keine Zertifikatswarnmeldung.

 

Zugegriffen wird von extern über den Remote Eintrag.

 

Ist der folgende Gedankengang richtig:

 

In AD integrierte Outlook Clients fragen übers AD den SCP (autodiscover.domain.ch) ab. Danach wird über DNS intern auf den Exchange Server geleitet. Dort versucht sich der Client am Exchange Server anzumelden.

 

Mir ist aufgefallen dass jeweils bei der Passworteingabe die Email Adresse vorgeschlagen wird. Also scheint irgendwie nicht automatisch auf den Domain AD User gewechselt zu werden. Weisst du wo, bzw. wie ich diese Verlinkung prüfen könnte?

[NorbertFe 2.039]

Dann konfigurier zum Test doch mal den UPN eines Users gleichlautend zu seiner email Adresse. Welchen Patchstand hat dein Exchange?

bearbeitet 31. August 2015 von NorbertFe

[Domo 4]

Guten Abend Norbert,

 

Ich glaube fast ich habe mich bei der Eingabe des SCP vertippt. Ich habe ihn direkt mal neu gesetzt und jetzt scheint die Autoconfig zu greifen.

Hättest du mir netterweise trotzdem noch einen Tipp zu meiner Frage betr. Authentifizierung? :-) Ansonsten warte ich einfach bis September :p

 

LG

 

Claudio

[NorbertFe 2.039]

Was stört dich denn an ntlm? Welchen Patchstand hast du im Exchange? Wie ist die Authentifizierung denn derzeit konfiguriert? Hast du mal im IIS nachgeschaut? Oder schau auch mal mit "get-outlookanywhere |fl *auth*" nach.

 

Bye

Norbert

bearbeitet 31. August 2015 von NorbertFe

[Domo 4]

Guten Abend,

 

Zuerst noch kurz zum Autodiscover (intern): Ich hab mich wohl zu früh gefreut. Mit dem Administrator funktioniert das Einrichten automatisch ohne Murren. Sobald ich aber einen User einrichte (natürlich mit dem Profil des Users angemeldet) ploppt wieder die Loginbox auf und Outlook versucht sich mit user@domain.ch anstatt user@domain.local anzumelden.

Vielleicht kurz zur Info: Die User existieren im AD schon länger, bisher war aber kein Exchange Server vorhanden. Kann es sein, dass dem Exchange Server der Link ins AD fehlt um die User abzufragen? Grundsätzlich erkennt aber der Exchange Server alle User. Die Emailpostfächer konnte ich auf Basis von bereits existierenden AD User anlegen.

 

Grundsätzlich stört mich an NTLM nichts, ich mag es nur nicht das mir Outlook meine Exchange Einstellungen überschreibt und ich nicht weiss wieso :-)

 

Patchstand ist Version 15.0 Build 847.32. Im Exchange ECP ist unter "Server\Server" aktuell die Methode Aushandeln definiert.

 

Mittels Get-OutlookAnywhere erhalte ich folgendes:

Internal: NTLM

External: Negotiate

IIS AuthenticationMethods: Basic, NTLM, Negotiate

 

Müsste ich noch die interne Methode mittels Powershell auf Negotiate setzen? Bzw. würde das überhaupt Sinn machen oder würdest du mir empfehlen das so zu lassen?

Grundsätzlich ist mein Ziel eine (möglichst automatische) funktionierende Exchange Umgebung :-)

 

Vielen Dank nochmals für deine Hilfestellungen!

 

LG & gute Nacht

Claudio

[NorbertFe 2.039]

Dein Exchange ist uralt. INstallier erstmal CU9.

[Domo 4]

Hallo Norbert,

 

Hm okay, das werde ich wohl mal an die Hand nehmen. Kann ich CU9 bedenkenlos während eines Wartungsfenster installieren? Ich habe bisher erst einmal CU6 installiert, danach traten aber einige Probleme auf (Outlook Profile defekt, Mailflow nicht mehr vorhanden, etc.)

 

Danke nochmals für deine Hilfe :-)

 

LG

 

Claudio

[NorbertFe 2.039]

Ja kann man. Also manche können das, andere... ;)

[Domo 4]

Guten Morgen,

 

Ich gehöre nun wohl auch zu den Leuten die das können :-) Konnte am Wochenende erfolgreich updaten.

 

Das Phänomen ist lustigerweise immer noch dasselbe. Verwende ich einen User den ich neu erstellt habe, funktioniert der interne Autodiscover korrekt. Verwende ich einen User den es vorgängig im Active Directory schon gab, versucht Outlook sich mit der Email Adresse anzumelden. Ich habe nun mal alle Active Directory Attribute überprüft und verglichen, konnte aber keine Differenz feststellen...

 

Hättest du mir evtl. noch eine weitere Idee?

 

Lg

 

Claudio

[Nobbyaushb 1.471]

Moin,

 

da der Thread auf erledigt steht, habe ich nicht weitergelesen.

 

Haben die vorhandenen User denn den korrekten UPN, sprich die Mailadresse gesetzt bekommen?

Wird gerne übersehen.

 

;)

[Domo 4]

Guten Morgen,

 

Ja, Autodiscover war (peinlicherweise) auch zuerst falsch konfiguriert. :rolleyes:

 

Als UPN wird aktuell die .local Adresse verwendet. Der Administrator, sowie alle anderen neu erstellten User, haben ebenfalls die Netzdomain als Anmeldeadresse. Bei diesen Konten klappt der interne Autodiscover einwandfrei. Aktuell habe ich aber das Gefühl, es ist eher ein "PC Problem" als ein Exchange Problem. Auf dem Terminalserver klappt der Autodiscover auch intern bei den meisten Usern. Auf zwei Computern versucht Outlook sich beim Autodiscover nach wie vor mit der Mailadresse anzumelden. Ich bin auf den folgenden Link gestossen:

https://social.technet.microsoft.com/Forums/en-US/3441a154-8eb6-40d7-85d6-d1aeca1bd442/outlook-prompts-with-the-wrong-default-credentials?forum=exchangesvrclientslegacy

 

Ich denke das werde ich mal testen :) :thumb1:

 

Zum Thema UPN hätte ich da noch eine Frage: Gibt es irgendwo einen BestPractive Guide? Mir wurde mal beigebracht, die Emailadresse als Username zu verwenden könne zu Problemen führen. Da bin ich aber total offen für neue Inputs, möchte ja was dazulernen..

 

Vielen Dank nochmals für die Rückmeldung!

 

LG

 

Claudio