Problem mit OL2016

1. offizieller Beitrag

    Hallo Forum,
    ich habe ein Problem bei der Einrichtung eines OL2016 (auf W10Pro), für das ich allein keine Lösung finde. Gegeben ist
    - ein lokaler Exchange 2016.
    - läuft seit anderthalb Jahren beschwerdefrei.
    - das gesamte Netz steht hinter einem Proxy.
    - Diverse Clients (W7 und W8) alle bisher mit OL2010 laufen ohne Probleme


    Beim Versuch, auf dem W10 im OL2016 ein Profil anzulegen, stürzt das das Einrichtungs-Tool einfach ab. Ich starte „e_mail (32 bit)“ aus der Systemsteuerung, belasse dann die Einstellung auf „Konto automatisch einrichten“. Der (am AD) angemeldete User wird erkannt, seine E-Mail-Adresse wird korrekt angezeigt. Ich klicke auf „Weiter“. Es erscheint „Windows Hostprozess (Rundll32) funktioniert nicht mehr“. Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und sie werden benachrichtigt, wenn eine Lösung verfügbar ist.“
    Wähle ich in dem Tool den Weg der manuellen Einrichtung, dann wird der Server nicht gefunden. „An Exchange ActiveSync-E-Mail-Server anmelden (EAS): Der Server wurde nicht gefunden.“ Egal ob ich als Host „meinexhost“, „meinexhost.meinedomain.zz“ oder die IP-Adresse eingebe.


    Was ich bereits versucht habe:
    - alle Zugriffe von außen funktionieren; also über Mobilgeräte und via OWA (Browser)
    - ich habe verschiedene Benutzer aus dem AD verwendet - stets identisches Fehlerbild
    - nslookup auf "meinexhost" wird aufgelöst (forward und reverse)
    - nslookup auf "autodiscover" wird aufgelöst (IP und Alias werden korrekt angezeigt)
    - verschiedene Hosts unter W7 und/oder W8 mit OL2010 geprüft - keinerlei Probleme
    - Zugriff via Browser auf dem W10-System - geht ohne Probleme
    - Prüftool vom OL2016 (STRG+Klick auf das Symbol des OL im Tray) aufgerufen - „Autoermittlung für https://meinexhost.meinedomain.zz/autodiscover/autodiscover.xmlFehlgeschlagen (0x8004005)
    - in der EX-Management-Shell "get-clientaccessservice | fl *uri*"; bekomme im Ergebnis AutoDiscoverServiceInternalUri: https://meinexhost.meinedomain.zz/Autodiscover/Autodiscover.xml


    Was kann ich übersehen haben? Und warum geht es ausschließlich unter OL2016 nicht?
    Hat jemand einen Rat für mich?
    Danke und Gruß
    Juergen

    • Offizieller Beitrag

    Moin und willkommen im Forum!

    Zitat von JUMI

    Und warum geht es ausschließlich unter OL2016 nicht?

    Weil Microsoft an jeder Version was ändert. Und Du hast auch noch das OS gewechselt, da ändert sich dann auch immer viel.


    Ich würde da mal mit Fiddler nebenbei aufzeichnen, was passiert.



    Zitat von JUMI

    „Autoermittlung für https://meinexhost.meinedomain…iscover.xmlFehlgeschlagen (0x8004005)

    Das hier ist aber ein Fehler, den Du beheben musst. Das kann am Zertifkat liegen, an falsch konfigurierten lokalen Proxys, falls vorhanden am Load Balancer und Einstellungen in Exchange könnten da auch Probleme machen.

    Hallo Robert,
    zunächst vielen Dank für die Ratschläge

    Zitat von RobertW

    Das hier ist aber ein Fehler, den Du beheben musst.

    Hast Du einen Rat, wo ich beginnen sollte? Auf einem Outlook2010 (auf einem W8.1) schlägt die Autoermittlung nicht fehl! Ist es also richtig, daraus zu schlussfolgern, dass die Suche nicht am DNS oder am Exchange-Server ansetzen sollte?

    Zitat von RobertW

    Ich würde da mal mit Fiddler nebenbei aufzeichnen, was passiert.

    Okay. Das schau ich mir an. Hast Du vielleicht einen Hinweis, worauf ich konkret achten muss?
    Ich habe natürlich im Vorfeld bereits etliche Artikel bzw. Posts im Netz gelesen, es gibt ja viele USer, die von identischen Problemen berichten. Aber ich fand dabei leider nichts, was sich für mich verwerten ließ.


    Danke & Gruß aus Berlin
    Jürgen

    • Offizieller Beitrag
    Zitat von JUMI

    Hast Du einen Rat, wo ich beginnen sollte? Auf einem Outlook2010 (auf einem W8.1) schlägt die Autoermittlung nicht fehl!

    Nein, der Fehler ist zu unspezifisch.



    Zitat von JUMI

    Ist es also richtig, daraus zu schlussfolgern, dass die Suche nicht am DNS oder am Exchange-Server ansetzen sollte?

    Wie gesagt, springst du in Versionen vorwärts, in denen sich viel geändert hat. Zum Beispiel machen beide System TLS-Verschlüsselung vollkommen unterschiedlich. Ist da ein Cipher-Suite auf dem Exchange, die Windows 10 nicht mehr mag, funktioniert kein Office mehr fehlerfrei auf Windows 10. Ist da eine Authentifizierungseinstellung, die Outlook 2016 nicht mag, funktioniert kein Outlook 2016 auf irgendeinem Client.


    Im Prinzip müsstest Du also auch alle Kombinationen testen: Win 7 mit Outlook 2010 + 2016 und Win 10 mit Outlook 2010 und 2016.



    Zitat von JUMI

    Okay. Das schau ich mir an. Hast Du vielleicht einen Hinweis, worauf ich konkret achten muss?

    Lass Fiddler mit SSL-Proxy Funktion laufen und schau Dir genau an, was passiert. Mehr kann man noch nicht sagen, denn Troubleshooting ist wie immer vorallem Erfahrung.

    Okay. Ich habe erneut versucht, ein Profil anzulegen und habe währenddessen Fiddler mitlaufen lassen. Ich habe mir dann die Zeilen angesehen, die auf den Hostnamen des Exchange hinweisen, auf den DC und/oder auf autodiscover. In den Zeilen, wo der Exchange-Host auftaucht, steht jeweils "Connection established". In der Liste der Ciphers wird keiner als "unrecognized" deklariert. Ich versuche es mal in Listenform:


    Host: "Tunnel to" - URL: "meinexhost.meinedomain.zz:443 - Connection established
    Host: "Tunnel to" - URL: "meinedomain.zz:443" - "Service unavailable" (Antwort kommt offenbar vom Proxyserver - was ich nicht verstehe)
    Host: "Tunnel to" - URL: "autodiscover.meinedomain.zz:443 - Connection established
    --> Jetzt erscheint über dem Einrichtungs-Tool der Sicherheitshinweis wegen des selfsigned Zertifikats von "autodiscover.meinedomain.zz"
    --> Ich bestätige das Zertifikat (welches auch bereits lokal gespeichert ist)
    Host: "Tunnel to" - URL: "autodiscover.meinedomain.zz:443 - Connection established
    Host: "autodiscover.meinedomain.zz" - URL "/autodiscover/autodiscover.xml" - 403 FORBIDDEN
    --> Jetzt erscheint über dem Einrichtungs-Tool die Meldung "An Exchange ... anmelden (EAS): Der angegebene Server wurde nicht gefunden"
    --> Ich quittiere die Meldung. Daraufhin ist das Feld "E-Mail-Server" wieder leer.


    Unter der Zeile "... FORBIDDEN" folgen dann
    "Server: Microsoft IIS/8.5"
    "X-FEServer: meinexhost"
    "X-Cache: MISS from meinproxyhost:meinproxyport"
    --> Das macht mich ratlos, weil Proxy für lokale Adressen umgangen werden soll
    --> Und es wundert mich, weil nslookup auf den host "autodiscover.meinedomain.zz" stets IP des Exchange-Servers im lokalen Netz ergibt


    Kannst Du daraus etwas ableiten? Hab ich evtl. doch im DNS Mist gemacht?
    Vielen Dank & Gruß aus Berlin
    Jürgen

    • Offizieller Beitrag

    Na dann haben wir ja schon einen potentiellen Übeltäter:



    Zitat von JUMI

    --> Jetzt erscheint über dem Einrichtungs-Tool der Sicherheitshinweis wegen des selfsigned Zertifikats von "autodiscover.meinedomain.zz"
    --> Ich bestätige das Zertifikat (welches auch bereits lokal gespeichert ist)

    Selfsigned Zertifikate sind für Exchange nicht supported. Es muss ein Zertifikat von einer CA ausgestellt werden, der Windows möglichst ohne Änderungen vertraut.


    Auf keinen Fall darf es aber einen Warnungsdialog geben - egal welches Zertifikat genutzt wird. Ein Warnungsdiaglog heißt bei Outlook immer, dass dann irgendwas nicht korrekt funktioniert. Da kann man auch 100x "bestätigen", die Bestätigung ist wirkungslos.


    Outlook muss ohne Warnungsdialog komplett starten, Einrichtung und auch später.


    Also zuerst mit einem korrekten Zertifikat dafür sorgen, dass Windows und Outlook ohne Fehlermeldung vertrauen.


    Wenn das Problem behoben ist, sehen wir weiter.

    Ich bin nicht sicher, ob ich mich hier korrekt ausgedrückt habe: Das Zertifikat ist vom Exchange. Es ist im Kontext der Installation entstanden. Mit selfsigned meinte ich, dass es also nicht von Geotrust, Verisign oder einer anderen Zertifizierungsstelle authorisiert ist. Der Hostname meines Exchangeservers steht also an oberster Stelle der Zertifikatshierarchie. "Ausgestellt von" und "ausgestellt für" lauten auf den Hostnamen des Exchangeservers.


    Ich hatte das Zertifikat auch vor meinen ganzen Versuchen in den Zertifikatspeicher des lokalen PCs geladen und als vertrauenswürdig klassifiziert.

    Zitat von RobertW

    Outlook muss ohne Warnungsdialog komplett starten,

    Das tut es auf allen anderen Systemen. Spätestens, sofern einmalig das Zertifikat als vertrauenswürdig deklariert und gespeichert wurde.



    Zitat von RobertW

    Also zuerst mit einem korrekten Zertifikat dafür sorgen ...

    Was meint "korrekt" hier? Ich bin davon ausgegangen, dass ich die beim Setup entstandenen Zertifikate einsetzen kann. War das unzutreffend? In dem Fall ergibt sich die Frage, wie ich hier vorgehen soll - ich habe eine TLD für interne Verwendung (das ".zz" in meinen Posts war kein Platzhalter).


    Danke & Gruß
    Jürgen

    • Offizieller Beitrag
    Zitat von JUMI

    Das Zertifikat ist vom Exchange. Es ist im Kontext der Installation entstanden.

    Exchange stellt beim Setup immer ein selfsigned Zertifikat aus, sonst könnte man das EAC und die PowerShell (auch die ist SSL verschlüsselt) nicht aufrufen.


    Eine der wichtigsten Aufgaben vor der Produktivsetzung ist der Austausch durch ein ordentliches Zertifikat. Das kann theoretisch von einer internen Windows-CA kommen (Nachteil: Das Stammstellenzertifikat muss auf den Client verteilt werden) sollte aber besser bei einer kommerziellen CA gekauft werden. Mittlerweile gibt es sogar Scripte für Let's Encrypt.



    Zitat von JUMI

    Das tut es auf allen anderen Systemen. Spätestens, sofern einmalig das Zertifikat als vertrauenswürdig deklariert und gespeichert wurde.

    Sie sind trotzdem nicht supported, d.h. sie tun es jetzt. Aber morgen vielleicht nicht mehr. Das es keine Garantie auf die Funktion gibt, ist ein Bestandteil des "nicht-support".



    Zitat von JUMI

    War das unzutreffend? In dem Fall ergibt sich die Frage, wie ich hier vorgehen soll - ich habe eine TLD für interne Verwendung (das ".zz" in meinen Posts war kein Platzhalter).

    Das ist absolutes Basiswissen für jeden Exchange-Admin! Da braucht es auch kein Studium für, einfach einen der dutzenden Installationsleitfaden im Internet lesen oder direkt den von Microsoft nehmen.


    Zusammengefasst:
    - Du hast eine Mail-Domäne (extern) - "beispiel.de"
    - Du legst fest, über welchen Namen die Webdienste (OWA, EWS, OAB, etc.) aufgerufen werden - "owa.beispiel.de"
    - der Name für Autodiscover ist automatisch festgelegt auf "autodiscover.beispiel.de"
    - der Zertifikatsrequest wird in Exchange erstellt, das Zertifikat gekauft und danach auf dem Exchange eingerichtet
    - die ganze URLs werden angepasst (GUI oder Scripte)

    Zunächst noch einmal vielen Dank für Eure Hilfe! Ich habe das jetzt alles so umgesetzt, wie auf "https://www.frankysweb.de" beschrieben. Ich habe im Ergebnis jedoch noch ein Problem, bei dem ich noch einmal um Eure Hilfe bitte:
    Wenn ich jetzt ein neues Benutzerprofil auf dem PC und dann im Outlook anlege, dann erscheint der Assistent ("Konto hinzufügen"), dann "Nach Ihren E-Mail-Servereinstellungen suchen". Es erscheint ein grünes Häkchen bei "Netzwerkverbindung herstellen". Dann ein grünes Häkchen bei "Nach vorname.nachname@domain.tld-Einstellungen suchen". Und dann erscheint ein Sicherheitshinweis bei dem oben plötzlich "MeinExchangeHost.MeineDomain.zz" (also der Hostname der lokalen Domäne!!) steht. Klicke ich hier jedoch auf die Schaltflkäche "Zertifikat anzeigen", dann wird das korrekte Zertifikat (ausgestellt von Geotrust auf den Namen "mail.MeineDomain.DE" und SAN "autodiscover.MeineDomain.DE") angezeigt. Ein "iisreset" hatte ich nach Einbindung der neuen Zertifikate durchgeführt.
    Die Zuweisung des Geotrust-Zertifikates an die betreffenden Dienste habe ich auch durchgeführt. Was habe ich also übersehen?


    Danke & Gruß aus Berlin
    Jürgen