Fehler beim setzen der Abwesenheitsnotiz in Outlook - Server zurzeit nicht verfügbar

[NilsK 2.937]

Moin,

 

vor 28 Minuten schrieb ASR:

Nein? 

Wenn ich es mit New-ExchangeCertificate erzeuge ist es auch nicht "selfsigned" 

doch. ;)

 

"Selfsigned" bedeutet bei Zertifikaten, dass der Aussteller des Zertifikats und der "Zertifizierte" identisch sind. Die zertifizierende Stelle stellt also ein Zertifikat für sich selbst aus. Das Zertifikat ist damit technisch nicht weniger sicher als eines, das von einer CA ausgestellt wurde, es ist eben eine Frage der Vertrauenskette. Im internen Betrieb kann man einem selbstsignierten Zertifikat durchaus vertrauen, weil man die zertifizierende Stelle ja kennt, ein Externer wird das aber nicht beurteilen können. Das ist der Sinn dieser Unterscheidung. Ob ein Externer einer dritten Stelle mehr vertraut, muss er dann entscheiden, da liegt die grundsätzliche Schwachstelle des ganzen Systems (das ich, nebenbei, unter anderem aus diesem Grund für "broken by design" halte, aber das steht auf einem anderen Blatt).

 

(Und "self-signed" ist dann einfach ein festgelegter Begriff.)

 

Gruß, Nils

 

[gelöscht 0]

Alles richtig, aber vollkommen irrelevant: es wurde behauptet dass ein Selfsigned Certificate für Exchange "nicht supported" wäre. Das ist und bleibt falsch.

Und ob jetzt das root Certificate meiner CA "selfsigned" ist oder eben das, das auf dem Exchange Server verwendet wird, ändert nichts an den Herausforderungen die es damit gibt.

 

Damit zurück zum Thema dem dieser Exkurs nicht hilft.

 

ASR

[ehcm 0]

Am 19.10.2018 um 12:05 schrieb ASR:

Zum Problem. Wenn Du das Problem reproduzierst. Was steht dazu im IISlog der Server? 400, 401,500?

Kannst Du ein Fiddler Trace (mit SSL decryption) für einen der betroffenen User machen? Evtl. findest Du sowas wie:  “HTTP Error 400. The size of the request headers is too long”

Funktioniert Autodiscover für diesen User? Auch davon ein Fiddler Trace?

Hast Du Layer4 oder Layer7 am LoadBalancer? SSL Bridging?

 

ASR

 

Meinst du mit dem IISlog folgendes ...\inetpub\LogFiles\W3SVC1 bzw. W3SVC2?

Hier finde ich leider gar keine Einträge zu meinem Benutzer zu dem Zeitpunkt wo ich die automatische Antwort teste.

 

Bei Fiddler erscheinen folgende Einträge, wenn ich versuche eine automatische Antwort zu erstellen:

 

...und beim Autodiscover:

 

Der Loadbalancer arbeitet auf Layer 7 mit SSL reencrypt.

bearbeitet 22. Oktober 2018 von ehcm
unnötige Leerzeilen entfernt

[gelöscht 0]

Sieht ja nicht so verkehr aus. Der erste 401 ist ok. Was steht denn in dem 990bytes bzw. 11381bytes body wenn in Fiddler in "RAW" data schaust?

Zumindest hat es nichts mit der Token Size für den User zu tun.

 

ASR

[ehcm 0]

Einmal die RAW beim Klick auf automatisch Antworten.

POST https://exchange.domain.com/ews/exchange.asmx HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Pragma: no-cache
Content-Type: text/xml; charset=utf-8
User-Agent: Microsoft Office/15.0 (Windows NT 10.0; Microsoft Outlook 15.0.5059; Pro)
X-User-Identity: bxxx.axxx@domain.com
Depth: 0
Content-Length: 471
Host: exchange.domain.com
Authorization: Negotiate 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
Cookie: OutlookSession="{8F188690-0906-44B2-ACBD-A4D5200D2DE7}"; ClientId=LZTQLJSUWBBVDKHVXBKU

<?xml version="1.0"?>
<q:Envelope xmlns:q="http://schemas.xmlsoap.org/soap/envelope/"><q:Body><ex12m:GetUserOofSettingsRequest xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages"><ex12t:Mailbox xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types"><ex12t:Address>bxxx.axxx@domain.com</ex12t:Address><ex12t:RoutingType>SMTP</ex12t:RoutingType></ex12t:Mailbox></ex12m:GetUserOofSettingsRequest></q:Body></q:Envelope>

 

Daraufhin konnte ich mit der ClientID im W3SVC2-Log noch etwas finden:

2018-10-23 07:39:41 192.168.72.236 POST /ews/exchange.asmx &CorrelationID=<empty>;&ClientId=LZTQLJSUWBBVDKHVXBKU&cafeReqId=6a8afd76-08cf-44af-83ea-010776fa84cb; 443 - 192.168.72.233 Microsoft+Office/15.0+(Windows+NT+10.0;+Microsoft+Outlook+15.0.5059;+Pro) - 401 1 2148074254 31

 

 

Und die RAW aus dem Autodiscover, wobei mir hier auffällt, dass es sich um eine andere Client-ID handelt.

POST https://exchange.domain.com/autodiscover/autodiscover.xml HTTP/1.1
Cache-Control: no-cache
Connection: Keep-Alive
Pragma: no-cache
Content-Type: text/xml
User-Agent: Microsoft Office/15.0 (Windows NT 10.0; Microsoft Outlook 15.0.5059; Pro)
Client-Request-Id: {EFC3FA52-D057-4A15-A70B-32EF8C43DA84}
X-MapiHttpCapability: 1
Depth: 0
X-AnchorMailbox: bxxx.axxx@domain.com
X-User-Identity: bxxx.axxx@domain.com
Content-Length: 368
Host: exchange.domain.com
Authorization: Negotiate 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
Cookie: OutlookSession="{D290FFC0-AFF8-4AF0-8DD3-E3014A078132}"; ClientId=LFDOKQHJIEUXDBIQDYW

<?xml version="1.0" encoding="utf-8"?><Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2006"><Request><EMailAddress>bxxxaxxx@domain.com</EMailAddress><AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a</AcceptableResponseSchema></Request></Autodiscover>

 

[ehcm 0]

Um nochmal das Zertifikatsthema aufzugreifen...

 

Auf unseren Exchange-Servern sind derzeit folgende Zertifikate installiert:

(Das zweite Zerifikat ist gleich aufgebaut)

 

Habe ich es richtig verstanden, dass es besser wäre von unserer internen Zeritfizierungsstelle jeweils ein Zertifikat ausstellen zu lassen und hinzu zufügen?

[NorbertFe 2.035]

vor 12 Minuten schrieb ehcm:

Habe ich es richtig verstanden, dass es besser wäre von unserer internen Zeritfizierungsstelle jeweils ein Zertifikat ausstellen zu lassen und hinzu zufügen?

Wenn ihr derzeit auf den Exchange zugreift bekommt ihr dieses Zeritfikat? Falls ja, dann ja es wäre besser ein Zertifikat eurer CA zu nutzen oder ein öffentliches. Da aber niemand ausser dir weiß, wie eure Konfiguration aussieht... :) Hinzufügen alleine reicht nicht. Du müßtest es dann schon an den jeweiligen Dienst binden.

 

Bye

Norbert

[ehcm 0]

Nein, dass ist nur das Zertifikat, wenn ich auf den Server direkt zugreife und den Loadbalancer umgehe.

Auf dem normalen Weg ist das Wildcard-Zertifikat hinterlegt.

[NorbertFe 2.035]

Wenn euer Loadbalancer Layer7 nutzt, dann ist es im Allgemeinen egal, was hinten am Exchange genutzt wird. Wohin loadbalanced denn der Loadbalancer? Also sprich, ganz vorn war ein Screenshot, und da war der Name einfach falsch. Ist das inzwischen korrigiert?

[ehcm 0]

Am 19.10.2018 um 10:36 schrieb ehcm:

Meinst du diesen Screenshot? Dass war zu dem Zeitpunkt, wo ich durch einen angepassten Host-Eintrag den Loadbalancer umgangen habe und einen Exchange-Server direkt angesteuert habe.

bearbeitet 29. Oktober 2018 von ehcm
Tippfehler

[NorbertFe 2.035]

Aha. Und wie sieht die Konfiguration im Zertifikat am Loadbalancer aus? Welche Namen stehen drin und welche Namen sind in den virtuellen Verzeichnissen und im SCP konfiguriert? Wenn das alles stimmt, kanns eigentlich normalerweise nur noch ein Proxyproblem sein.

[ehcm 0]

Ich konnte das Problem in der Zwischenzeit weiter eingrenzen. Wenn ich die Dateien im Verzeichnis "C:\Users\%Username%\AppData\Roaming\Microsoft\Credentials" lösche tritt das Problem nicht mehr auf, bis ich mich unter dem Benutzer mit einem anderen Outlookkonto anmelde und das Kennwort speichere.

 

Für mich wirkt es derzeit wie ein Bug. Derzeit habe ich die Möglichkeit entweder das Kennwort nicht zu speichern oder dem anderen Benutzer Vollzugriff auf das andere Postfach zu geben.

Habt ihr hierfür eine Lösung?