Probleme bei AutoDiscover mit Benutzernamen

[der_Mausbiber 0]

Hallo,

 

Wir wollen bei uns im Büro einen eigenen Exchange-Server installieren.

Dafür habe ich Testweise ein komplettes System aufgesetzt und im Prinzip geht auch alles so wie es soll.

Allerdings habe ich noch ein 1-2 kleinere Probleme.

Aber zuerst will ich mal den grundsätzlichen Aufbau beschreiben, eventuell lauert der Fehler ja schon hier irgendwo:

 

 

Internetzugang im Büro haben wir über die Telekom.

Zusätzlich haben wir eine feste IP bekommen:

- 111.111.111.111

 

Dazu haben wir unsere Domain "www.meine-firma.de" bei 1und1 liegen.

Die eigentliche Homepage soll aber weiterhin bei 1und1 liegen, trotzdem soll Outlook Web über das Internet erreichbar sein.

Also habe ich noch eine Sub-Domain angelegt welche zum einen den MX-Eintrag für die Hauptdomain darstellt und zum anderen den Zugriff übers Internet ermöglicht:

 

www.meine-firma.de

- den DNS-A-Eintrag habe ich so gelassen wie er ist > 222.222.222.222 (verweist auf 1und1 Webspace)

- den DNS-MX-Eintrag habe ich auf die Sub-Domain "mail.meine-firma.de" gesetzt, da ich dort ja keine IP angeben kann.

 

mail.meine-firma.de

- den DNS-A-Eintrag habe ich auf unsere feste Telekom-IP 111.111.111.111 gesetzt

- den DNS-MX-Eintrag habe ich hier nicht verändert, dieser steht wie bisher auf "1und1 Mailserver"

 

Dazu habe ich SSL-Zertifikate für beide Domains beantragt.

Mit diesen habe ich dann entsprechende PFX-Zertifikate erstellt und diese im Exchange Admin Center importiert, bzw. über die Exchange Management Shell zugewiesen.

 

Damit kann ich dann über die Domain "mail.meine-firma.de" auf "Outlook Web" zugreifen, die Haupt-Domain "www.meine-firma.de" zeigt aber weiterhin auf den 1und1 Webspace.

 

Nun zum lokalen Server:

 

Als Betriebssystem kommt Windows Server 2012 R2 als Domänen-Server zum Einsatz, darauf installiert ist Exchange 2016.

Ich weiß das es nicht zu empfehlen ist, Exchange und den Domänen-Controller auf dem gleichen System zu installieren - aber verboten ist es auch nicht.

 

Der Server heißt auch "server" und läuft unter der Domäne "meine-firma.local" - der FQDN des Servers lautet dementsprechend "server.meine-firma.local".

 

Per NAT habe ich folgende Ports an den Server weitergeleitet:

- smtp -> 587

- pop3 -> 995

- imap -> 993

- https -> 443

- exchange -> 25

 

Wie man sieht habe ich die unverschlüsselten Verbindungen direkt weggelassen.

 

Zu den Exchange-Einstellungen:

 

- Akzeptierte Domänen

Nach der Installation habe ich zuerst die Domain "meine-firma.de" als "Internes Relay" bei den Akzeptierte Domänen eingetragen.

Die neu angelegte Domäne habe ich dann auf "Standart" gesetzt.

Obwohl in den meisten Anleitungen "Externes Relay" genutzt wird, funktioniert bei mir nur so rum alles wie es soll.

Ist "Internes Relay" ein Fehler?

 

- E-Mail Adressrichtlinie

Das E-Mail-Adressformat habe ich auf "SMTP|Alias@meine-firma.de" geändert.

 

- Empfangsconnectors

Client Frontend SERVER: Bei den Bereichsdefinitionen habe ich als FQDN "mail.meine-firma.de" eingetragen

Default Frontend SERVER: Bei den Bereichsdefinitionen habe ich als FQDN "server.meine-firma.local" eingetragen

Default SERVER: Bei den Bereichsdefinitionen habe ich als FQDN "server.meine-firma.local" eingetragen

 

- Sendeconnectors

Dort habe ich nur einen Connector "DE" angelegt.

Bei "Zustellung" habe ich "mit der Empfängerdomäne verbundener MX-Eintrag" ausgewählt.

Adressraum = SMTP | * | 1

Quellserver = SERVER

Und als FQDN habe ich "mail.meine-firma.de" eingetragen..

 

Der nächste Schritt hat darin bestanden Postfächer anzulegen.

Ich habe dann einen vorhandenen Benutzer ausgewählt und für diesen ein Postfach angelegt.

Dabei ist mir ein Fehler unterlaufen und ich habe das Postfach wieder gelöscht.

 

Und WOW ... auf einmal war nicht nur das Postfach gelöscht, sondern der gesamte Benutzer im Active Directory!

 

Wie kann den sowas sein?

 

Ich habe als Lösung einfach neue Benutzer angelegt, somit gibt es jetzt jeden User 2 x.

Einmal als normaler User fürs Netzwerk & Co, und einmal nur für Exchange.

So funktioniert es ganz gut.

 

Also habe ich ein neues Postfach angelegt und dort einen neuen Benutzer "Hans Mustermann" erstellt.

Für den Alias nehme ich "mustermann" und entsprechend trage ich auch "mustermann" als Benutzeranmeldenamen ein.

Leider kann ich bei der Endung für die Benutzeranmeldung nur "meine-firma.local" auswählen und nicht "meine-firma.de".

Als Email-Adresse trage ich "mustermann@meine-firma.de" ein.

 

In den nächsten Schritten habe ich laut Anleitung

 

https://technet.microsoft.com/en-us/library/jj657728%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396

 

POP3 und Imap aktiviert und den SMTP-Server authentifiziert.

Das lief auch ohne Probleme.

 

Danach habe ich dann erste Tests gemacht und war erstaunt was alles ging.

 

Emails senden und empfangen an externe Adressen macht keine Probleme.

Outlook Web übers Intranet läuft, Outlook Web übers Internet läuft und Outlook 2016 mit manuelle Konteneinrichtung (POP3 & IMAP) läuft auch.

 

Was nicht geht ist die automatische Einrichtung nur mit E-Mail & Passwort (Outlook 2016/Android).

Hier kommt irgendwie eine Abfrage nach den Benutzerdaten.

Das wird wohl daran liegen das er bei der automatischen Einrichtung die E-Mail-Adresse mit dem Benutzernamen gleichsetzt.

Im Exchange Admin Center musste ich beim anlegen der Postfächer aber die Endung "meine-firma.local" nehmen.

Ändere ich beim automatischen Einrichten die Benutzerdaten entsprechend ab, dann klappt es.

D.h. Ports & Server werden richtig eingestellt, nur der Benutzername macht Probleme.

 

Soweit zu meiner ersten Grundinstallation.

Jetzt mal zusammenfassend meine Probleme:

 

1. Ist die Einstellung "Internes Relay" bei den "Akzeptierte Domänen" problematisch?

2. Wie kann es sein das der komplette Benutzer im ActiveDirectory gelöscht wird, wenn ich das entsprechende Postfach lösche?

3. Und zur Zeit am wichtigsten für mich, wie kann ich das Problem bei AutoDiscover mit dem Benutzernamen lösen? Kann ich den intern irgendwie mappen? Oder wie löse ich das Problem am besten?

4. Grundsätzlich die Frage ob ich bisher alles weitesgehend richtig gemacht habe?

 

Bin absoluter Neuling bei Windows Server & Exchange.

Bisher habe ich immer mit CentOS & openXchange gearbeitet, also bitte etwas Gnade mit mir.

 

[NorbertFe 2.035]

Und WOW ... auf einmal war nicht nur das Postfach gelöscht, sondern der gesamte Benutzer im Active Directory!

 

 

 

Wie kann den sowas sein?

Indem man die dicke große Warnung einfach wegklickt, die aufploppt, wenn man auf die Mülltonne klickt. :rolleyes: Du suchst hinter den "..." Deaktivieren.

Für Autodiscover brauchst du noch eine zweite 1&1 Subdomain auf autodiscover. die auch auf deine statische IP weist. In deinem Zertifikat müssen dann logischerweise beide Namen (host.deinedomain.tld und autodiscover.deinedomain.tld) drin stehen.

 

Bye

Norbert

 

PS: Auf deine gleichlautenden Postings in anderen Foren kannst du gern hinweisen: https://social.technet.microsoft.com/Forums/de-DE/home?forum=exchange_serverde

 

PPS: Wer will eigentlich freiwillig POP3 und IMAP4 haben, wenn er OUtlook und Exchange zur Verfügung hat?

bearbeitet 4. Oktober 2016 von NorbertFe

[der_Mausbiber 0]

 

 

Indem man die dicke große Warnung einfach wegklickt, die aufploppt, wenn man auf die Mülltonne klickt.  :rolleyes: Du suchst hinter den "..." Deaktivieren.

Okay, das heißt also wenn ich einmal ein Postfach für einen vorhandenen Benutzer erstellt habe, dann kann ich dieses nicht löschen ohne das der Benutzer mit gelöscht wird?

Ich kann es also nur deaktivieren?

 

 

 

Für Autodiscover brauchst du noch eine zweite 1&1 Subdomain auf autodiscover. die auch auf deine statische IP weist. In deinem Zertifikat müssen dann logischerweise beide Namen (host.deinedomain.tld und autodiscover.deinedomain.tld) drin stehen.

Also die Subdomain "autodiscover.meine-firma.de" besorgen, dort den A-Eintrag oder den MX-Eintrag auf die statische IP ändern?

Dazu dann noch ein SSL-Zertifikat auf diese Domain kaufen und dieses im Exchange Admin Center importieren?

Und das hilft mir beim Problem mit dem Benutzernamen?

 

 

 

Auf deine gleichlautenden Postings in anderen Foren kannst du gern hinweisen

Da hast du Recht, ich werde das in Zukunft tun.

Entschuldigung dafür.

[NorbertFe 2.035]

Okay, das heißt also wenn ich einmal ein Postfach für einen vorhandenen Benutzer erstellt habe, dann kann ich dieses nicht löschen ohne das der Benutzer mit gelöscht wird?

Ich kann es also nur deaktivieren?

Wie wärs mit Ausprobieren? ;)

 

 

Also die Subdomain "autodiscover.meine-firma.de" besorgen, dort den A-Eintrag oder den MX-Eintrag auf die statische IP ändern?

MX ist egal. Du brauchst nur den Namen Autodiscover der auf deinen Exchange zeigen muß. Intern übrigens sinnvoller Weise ebenfalls.

 

Dazu dann noch ein SSL-Zertifikat auf diese Domain kaufen und dieses im Exchange Admin Center importieren?

Du brauchst ein Zertifikat mit 2 Namen, nicht zwei Zertifikate mit einem Namen.

 

Und das hilft mir beim Problem mit dem Benutzernamen?

Setz den Anmeldenamen (UPN = Userprinzipal Name) identisch zur Emailadresse.

 

 

Bye

Norbert

[der_Mausbiber 0]

 

 

Setz den Anmeldenamen (UPN = Userprinzipal Name) identisch zur Emailadresse.

Auch auf die Gefahr hin mich komplett zu blamieren, aber wie und wo mache ich das?

Im Exchange Admin Center habe ich nicht die Möglichkeit dazu gefunden.

Okay, habe mich zu früh gefreut, Autodiscover geht auch nicht wenn ich den Benutzernamen ändere.

 

Outlook sagt zwar alles okay, fordert dann aber einen Neustart.

Beim nächsten Start meckert Outlook dann, das es keine Verbindung zum Exchange Server hat und dann ist wieder alles wie vor dem einrichten.

 

Ich denke das hat damit zu tun, das aus irgendeinem Grund imap nicht mehr geht.

Anbei meine imap-Einstellungen

RunspaceId                        : c265aabd-ce39-4688-b453-791c65fc0a08
ProtocolName                      : IMAP4
Name                              : 1
MaxCommandSize                    : 10240
ShowHiddenFoldersEnabled          : False
UnencryptedOrTLSBindings          : {[::]:143, 0.0.0.0:143}
SSLBindings                       : {[::]:993, 0.0.0.0:993}
InternalConnectionSettings        : {server.meine-firma.local:993:SSL, server.meine-firma.local:143:TLS}
ExternalConnectionSettings        : {mail.meine-firma.de:993:SSL}
X509CertificateName               : mail.meine-firma.de
Banner                            : The Microsoft Exchange IMAP4 service is ready.
LoginType                         : SecureLogin
AuthenticatedConnectionTimeout    : 00:30:00
PreAuthenticatedConnectionTimeout : 00:01:00
MaxConnections                    : 2147483647
MaxConnectionFromSingleIP         : 2147483647
MaxConnectionsPerUser             : 16
MessageRetrievalMimeFormat        : BestBodyFormat
ProxyTargetPort                   : 1993
CalendarItemRetrievalOption       : iCalendar
OwaServerUrl                      :
EnableExactRFC822Size             : False
LiveIdBasicAuthReplacement        : False
SuppressReadReceipt               : False
ProtocolLogEnabled                : False
EnforceCertificateErrors          : False
LogFileLocation                   : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Imap4
LogFileRollOverSettings           : Daily
LogPerFileSizeQuota               : 0 B (0 bytes)
ExtendedProtectionPolicy          : None
EnableGSSAPIAndNTLMAuth           : True
Server                            : SERVER
AdminDisplayName                  :
ExchangeVersion                   : 0.10 (14.0.100.0)
DistinguishedName                 : CN=1,CN=IMAP4,CN=Protocols,CN=SERVER,CN=Servers,CN=Exchange Administrative Group
                                    (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Meine Firma,CN=Microsoft
                                    Exchange,CN=Services,CN=Configuration,DC=meine-firma,DC=local
Identity                          : SERVER\1
Guid                              : e7037287-fc04-4484-9c15-75ac7069c0ff
ObjectCategory                    : meine-firma.local/Configuration/Schema/ms-Exch-Protocol-Cfg-IMAP-Server
ObjectClass                       : {top, protocolCfg, protocolCfgIMAP, protocolCfgIMAPServer}
WhenChanged                       : 04.10.2016 23:54:17
WhenCreated                       : 25.09.2016 16:58:38
WhenChangedUTC                    : 04.10.2016 21:54:17
WhenCreatedUTC                    : 25.09.2016 14:58:38
OrganizationId                    :
Id                                : SERVER\1
OriginatingServer                 : server.meine-firma.local
IsValid                           : True
ObjectState                       : Unchanged

[testperson 1.680]

In Active Directory-Domänen und -Vertrauensstellung (domain.msc) fügst du den UPN-Suffix deine-firma.de hinzu und im Benutzer-Objekt in Active Directory-Benutzer und -Computer (dsa.msc) änderst du den UPN-Suffix dann für deine User.

 

Wenn du Outlook (in Verbindung mit Exchange) nutzt, bist du bei IMAP komplett falsch.

bearbeitet 5. Oktober 2016 von testperson

[NorbertFe 2.035]

Gibt's den autodiscoverhost? Was gibt get-clientaccesserver | fl *uri*

 

Bye

Norbert

 

Ps: vielleicht wärs ja auch sinnvoll sowas mit einer Schulung zu kombinieren.

[Nobbyaushb 1.471]

Moin, ergänzend - wie ist das Split-DNS eingerichtet, passen interne und externe URL´s?

 

;)

[der_Mausbiber 0]

Erstmal danke für die vielen Antworten, ich will versuchen darauf zu antworten.

 

 

In Active Directory-Domänen und -Vertrauensstellung (domain.msc) fügst du den UPN-Suffix deine-firma.de hinzu und im Benutzer-Objekt in Active Directory-Benutzer und -Computer (dsa.msc) änderst du den UPN-Suffix dann für deine User.

Das sollte ich hinbekommen, werde es später ausprobieren.

 

 

Wenn du Outlook (in Verbindung mit Exchange) nutzt, bist du bei IMAP komplett falsch.

Ich dachte das hätte vielleicht was damit zu tun, weil pop3 Abruf geht, imap Abruf nicht..

 

 

Gibt's den autodiscoverhost?

Es gibt die Sub-Domain "autodiscover.meine-firma.de" und bei dieser verweist der A-Eintrag auf unsere feste IP von der Telekom.

Was ich noch nicht habe, ist ein SSL-Zertifikat, gibt da Probleme mit 1 & 1 und der Subdomain "autodiscover."

 

 

Was gibt get-clientaccesserver | fl *uri*

[PS] C:\Windows\system32>Get-ClientAccessServer |fl *uri*
WARNUNG:  Das Cmdlet "Get-ClientAccessServer" wird in einer künftigen Version von Exchange entfernt. Verwenden Sie
stattdessen das Cmdlet "Get-ClientAccessService". Wenn in Skripts das Cmdlet "Get-ClientAccessServer" verwendet wird,
aktualisieren Sie die Skripts, sodass sie das Cmdlet "Get-ClientAccessService" verwenden. Weitere Informationen finden
Sie unter "http://go.microsoft.com/fwlink/p/?LinkId=254711".


AutoDiscoverServiceInternalUri : https://mail.meine-firma.de/autodiscover/autodiscover.xml

 

Ps: vielleicht wärs ja auch sinnvoll sowas mit einer Schulung zu kombinieren.

Tja, ich dachte mit meinen Linux Erfahrungen wäre es leichter für mich.

Ansonsten habe ich aber nur noch 2-3 Probleme, dann läuft es ja.

Und da bisher keiner was gesagt hat, scheint meine oben beschriebene Konfiguration ja nocht so falsch zu sein.

 

 

wie ist das Split-DNS eingerichtet, passen interne und externe URL´s

Hmm, ich dachte das hätte ich am Anfang alles genau beschrieben?
Weiter oben steht doch welche DNS-Einstellungen ich beim Provider vorgenommen habe.

Welche Internen und externen URL's meinst du genau?

 

 

 

Das seltsame für mich ist, das eine manuelle Eingabe des Exchange-Kontos z.Bsp. in einem Android-Smartphone funktioniert.

Bei Outlook 2016 hingegen sagt er zwar alles okay, nach einem Neustart meckert er dann aber über eine fehlende Verbindung zum Exchange Server.

 

Das gleiche bei imap.

Wenn ich die Daten von meinem Test-Account bei https://testconnectivity.microsoft.com/ eingebe, dann bekomme ich als Rückmeldung das alles geht.

In den Details kann ich auch sehen das die Anmeldung klappt.

Nehme ich nun genau die gleichen Daten und trage den imap-Account manuell beo Outlook 2016 ein, dann nimmt er Benutzernamen/Passwort nicht an.

Outlook 2016 ist irgendwie seltsam.

[NorbertFe 2.035]

Split-DNS ist interne und externe DNS Konfiguration. ;)

Tja, ich dachte mit meinen Linux Erfahrungen wäre es leichter für mich.

Mir hilft meine Exchange Erfahrung bei Linux auch nur begrenzt. Also irgendwie merkwürdiges Argument. :)

[testperson 1.680]

Mir hilft meine Exchange Erfahrung bei Linux auch nur begrenzt. Also irgendwie merkwürdiges Argument.

Also "telnet exchange 25" blinkt mit ein bisschen Glück genau so wie ne Linux Shell

 

Und dein Outlook 2016 wird streiken, da im Zertifikat nur der Host mail.deine-firma.de ist und der autodiscover.deine-firma.de fehlt. Alternativ einen SRV Record bei 1und1 veröffentlichen. Ich würde allerdings das Zertifikat erweitern.

bearbeitet 5. Oktober 2016 von testperson

[NorbertFe 2.035]

Ich weiß das es nicht zu empfehlen ist, Exchange und den Domänen-Controller auf dem gleichen System zu installieren - aber verboten ist es auch nicht.

Übrigens, wenn man sowas das erste Mal macht, sollte man auch auf Empfehlungen hören, und nicht auf "ist ja nicht verboten, also ignoriere ich das mal, weil ich das jetzt nicht besser kann" setzen. Das hat schon Gründe, warum man so eine Empfehlung lesen kann.

 

Bye

Norbert

[der_Mausbiber 0]

Split-DNS ist interne und externe DNS Konfiguration. ;)

 

Mir hilft meine Exchange Erfahrung bei Linux auch nur begrenzt. Also irgendwie merkwürdiges Argument. :)

Okay, meinte auch meine openXchange & Linux Erfahrung.

Dachte naiv wie ich bin, ein Windows Server mit Exchange könnte nicht komplizierter sein als sein Linux-Gegenstück.

Mein Fehler :(

 

Kann mir bitte jemand sagen wie ich Split-DNS in meinem Fall konfiguriere?

[NorbertFe 2.035]

Interne Zone autodiscover.deineexternedomain.tld anlegen und dort einen leeren host mit der internen IP des Exchangeservers. Das gleiche auch für mail.deineexternedomain.tld

[der_Mausbiber 0]

also folgende DNS-Einträg:

 

autodiscover.meine-firma.de > 192.168.178.2

mail.meine-firma.de > 192.168.178.2

 

Richtig?

 

Vielen herzlichen Dank.

Ehrlich, ich weiß eure Hilfsbereitschaft zu schätzen und das Ihr trotz meiner Naivität sachlich und freundlich bleibt.

 

Danke :)

 

Ich werde das alles nachher testen.

bearbeitet 5. Oktober 2016 von der_Mausbiber