Exchange 2016 Autodiscover Probleme NACH Einführung SSL Zertifikat

Guten Morgen liebes Forum,

nachdem ich bei einem Kunden mit Exchange Server 2016 gestern den Exchange so angepasst habe, dass die URLs passen und das passende SSL Zertifikat eingebunden habe funktioniert nun das Outlook AutoDiscover nicht mehr richtig (vorher ohne Probleme, da aber noch mit selbstausgestelltem Zertifikat!).
Ich mache das nicht zum 1. Mal und habe sogar gestern das exakt selbe Prozedere bei 2 anderen Kunden durchgeführt OHNE Probleme.

• interne und externe URLs im Exchange gesetzt mit folgendem Script:

https://www.administrator.de/wissen/powershell-konfigurieren-internen-ex ...

Domain ist "email.DOMAIN.TLD"

• AutoDiscover Domain über Powershell angepasst NACH dem Script auf:

Set-ClientAccessService EXCHSRV01 -AutoDiscoverServiceInternalUri "https://autodiscover.DOMAIN.TLD/Autodiscover/Autodiscover.xml"

Domain ist "autodiscover.DOMAIN.TLD"

• Outlook Anywhere URLs in der ECP geprüft

• SSL Zertifikat eingespielt

Das Zertifikat hat die beiden SANs "email.DOMAIN.TLD" und "autodiscover.DOMAIN.TLD" und ist offiziell von Geotrust

• iisreset durchgeführt bzw. sogar den Server neugestartet.

Zugriff und Zertifikat über Browser sowohl intern als auch extern getestet mit Zugriff auf
https://email.DOMAIN.TLD/OWA

Funktioniert und auch ohne Zertifikatswarnung.

Anschließender Test mit dem Microsoft Remote Connectivity Analyzer, sieht auch gut aus:
[Blockierte Grafik: https://www.administrator.de/images/c/1/4/53b292fcc018cb6168886a23b7f3462c.jpg]

Nun zum Problem:
Sobald ich intern ein Outlook starte (im Beispiel Outlook 2010) und das Konto mittels AutoDisover eingerichtet werden soll passiert folgendes:
[Blockierte Grafik: https://www.administrator.de/images/c/1/4/6b122e18dcdc04890868c16a249f985a.jpg]

Er hängt sich dort auf und macht nicht weiter.
Richte ich das Konto allerdings manuell ein über Exchange-Proxyeinstellungen ein, dann funktioniert das Konto einwandfrei. Sowohl intern als auch extern.
[Blockierte Grafik: https://picload.org/image/raipraid/29-12-201614-41-44.png]

PS.: Ich habe im internen DNS 2 primäre Forward-Lookup-Zonen angelegt, einmal "autodiscover.DOMAIN.TLD" und einmal "email.DOMAIN.TLD" und jeweils einen leeren Host-A Eintrag dort gesetzt auf die interne IP des Exchange-Servers.

Für jede Hilfe bin ich dankbar! Wenn noch weitere Informationen benötigt werden reiche ich diese gerne nach!

Liebe Grüße,
Dennis

Zitat von RobertW

Falls noch nicht passiert, installiert bitte das CU 4. Auf welchem Betriebssystem läuft der Exchange? Falls das Windows 2016 ist, muss der komplett durchgepatcht sein und braucht besonders die Updates vom Dezember!

CU4 ist noch nicht installiert, lade ich gerade runter, Danke für den Tipp!
Ist tatsächlich ein Server 2016 (dort pflege ich gerade auch die neuesten Updates nach, auch da Danke für den Tipp).

Ich werde mal patchen und bescheid geben, sobald ich weiß ob es nun wieder geht!

Guten Morgen,

so der Server 2016 ist komplett durchgepatch und das CU4 für Exchange 2016 ist auch installiert.

Das Outlook macht aber leider immer noch Probleme..

Auch, wenn ich das Konto manuell einrichte (mit manueller Angabe des Exchange-Proxys) funktioniert das Konto zwar anfangs. Aber sobald ich das Outlook schließe und mal 5 Minuten warte kann ich es dann auch wieder nicht starten. Da steht dann nur "Profil wird geladen" und nichts passiert.

Ich glaube auch ehrlich gesagt nicht mehr, dass es am Autodiscover liegt, sondern an etwas anderem (URLs etc. habe ich gerade nochmal alle 5 x geprüft).
Wenn man sich folgendes Bild der Automatischen Outlook Konfiguration anschaut, sieht man, dass die Einstellungen anscheinend erfolgreich gefunden werden und "nur" die Anmeldung am Server nicht funktioniert:

Gibt es noch irgendwelche Ideen? Leider ist für keinen der Benutzer aktuell Exchange / Outlook nutzbar, außer über OWA..

Hatte testweise die Autodiscover URL mal auf email.DOMAIN.TLD gesetzt statt auf autodiscover.DOMAIN.TLD.. Leider ohne wirksame Änderung.. Das Zertifikat habe ich auch nochmal überprüft, das enthält auch beide SANs..

Danke im Voraus für die Hilfe!

LG Dennis

Zitat von RobertW

Was sagt denn der Outlook Anywhere Test des Remote Connectivity Analyzers?

Da kommen wir der Sache schon näher, Danke! Hatte immer "nur" den ActiveSync Test auf der Seite durchlaufen lassen.

Dort gibt es nun einen Fehler bei MAPI over HTTP der letzte Step:

Testing HTTP Authentication Methods for URL https://email.DOMAIN.TLD/mapi/emsmdb/?MailboxId=7f51284b-<woltlab-metacode-marker data-name="email" data-uuid="ad9e8dd4-f428-4474-a96e-3788fac09a63" data-source="W2VtYWlsXQ==" data-attributes="WyI2ZjQ0LTQyYTYtODcwYi0wZjNjNGYxODkyMTVARE9NQUlOLlRMRCJd" data-use-text="0" /><woltlab-metacode-marker data-uuid="ad9e8dd4-f428-4474-a96e-3788fac09a63" data-source="Wy9lbWFpbF0=" />.
The HTTP authentication test failed.

Additional Details
A 401 error was received from the server, but no authentication methods are supported.
HTTP Response Headers:
request-id: 0f58da5a-0a2f-42aa-9a03-0eddda06190c
X-FEServer: EXCHSRV01
Content-Length: 0
Date: Fri, 30 Dec 2016 08:36:15 GMT
Server: Microsoft-IIS/10.0
X-Powered-By: ASP.NET
Elapsed Time: 623 ms.

Wo genau muss ich nun schauen?

Hab es gefunden!! Danke für die Hilfe!!

In der ECP waren unter der MAPI ALLE Authentifizierungen AUSGESCHALTET...

Komisch, vorher war NTLM definitv an und ich hab ja EIGENTLICH nur die Verzeichnisse geändert..

Danke trotzdem, der Outlook Test über Microsoft hat mich auf die richtige Fährte geführt!