Nach Migration 2010->2016 kein Login mit Outlook möglich

Hallo Community,

habe gestern meine 20 Mailboxen von Exchange 2010 (auf Server 2008 R2, alles aktuelle Updates & RUs) auf den neuen Exchange 2016 (auf Server 2016) migriert. Nur der Domain-Admin sowie alle öffentlichen Ordner liegen noch auf dem alten Exchange. Nachdem ich viele Probleme mit OWA hatte (migrierte Nutzer bekamen immer einen "Ups, da ist was schiefgelaufen" Fehler im Web-Interface) geht auch das schonmal wieder. Mails kommen auch auf allen Nutzern an und werden ggf. korrekt vom Exchange 2016 weitergeleitet.

Mein größtes Problem ist nun noch der Zugriff mit Outlook, welcher nicht klappt. Ich bekomme immer wieder die Aufforderung zur Kennwort Eingabe und die Verbindung schlägt fehl.

Ich habe einen Autodiscover Test gemacht, das scheint zu klappen:

[Blockierte Grafik: https://preview.ibb.co/eivoAf/test-ex-1.jpg]
[Blockierte Grafik: https://preview.ibb.co/jUNqO0/test-ex-2.jpg]
[Blockierte Grafik: https://preview.ibb.co/i62qO0/test-ex-3.jpg]

Ich vermute dass ich irgendwo noch Anmelde-Arten vermischt habe (Basic, NTLM, etc.). An welcher Stelle kann ich genauere Infos zu meinen erfolglosen Anmeldeversuchen mit Outlook einsehen: Ereignisanzeige vom Client, vom Domain-Controller oder vom Exchange-Server oder noch ganz woanders?

Danke

Ist alles genau die gleiche adresse "mail.domain.de". Habe Split-DNS und das ist für intern und extern identisch.

Weil es von Beginn an nicht geklappt hat habe ich ja schon einiges geändert, hier mal der aktuelle Status für die aktivierten Methoden in den Virtuellen Verzeichnissen:

• Autodiscover (2016) - Einfach, NTLM, Windows (integriert), OAuth, SharePoint-Sicherheit
• Autodiscover (2010) - Einfach, NTLM, Windows (integriert), SharePoint-Sicherheit
• ECP (2016) - Einfach, FBA
• ECP (2010) - Einfach, FBA, NTLM, Windows ‎(integriert)‎
• EWS (2016) - NTLM, Windows ‎(integriert)‎, Windows SharePoint-Sicherheit, OAuth
• EWS (2010) - NTLM, Windows ‎(integriert)‎, Windows SharePoint-Sicherheit
• MAPI (nur 2016) - NTLM, OAuth, Aushandeln
• OWA (2016) - Einfach, FBA
• OWA (2010) - NTLM, Windows ‎(integriert)‎

Mir fällt grad auf dass im IIS bei der Default Web Site das nicht alles mit den hier aufgeführten Einstellungen übereinstimmt.

Windows Server 2016 Build 1607

Exchange Server 2016 CU8

December 19, 2017

15.01.1415.002

Zum einen weil ich den Exchange beim neu-ausfsetzen vor 2 Wochen mit dem grad noch rumliegenden CU8 installiert hatte

und zum anderen weil ich offenbar im windows update die einstellung "auch andere produkte updaten" nicht aktiviert hatte Danke @NobbyausHB für diesen wertvollen Tipp

Ich hoffe dass ich hier gleich was neues vermelden kann bzgl meines Problems...wobei ich sooo richtig zuversichtlich aktuell nicht bin

Ich verwende eine SophosUTM als eingehenden Mailfilter. Dort ist der neue Exchange als einziger Mailserver hinterlegt (was scheinbar auch klappt, denn Mails an den Admin oder die öffentlichen Ordner, welche beide noch auf dem alten Exchange 2010 liegen, kommen an - sprich: der neue exchange bekommt sie und leitet sie weiter).
Zudem ist die weiterleitung für ankommende anfragen an mail.domain.de inkl. des Lets Encrypt Zertifikates (für mail.domain.de und autodiscover.domain.de) an den neuen Exchange hinterlegt (bei sophos sind das sog. "virtuelle server", je nach angefragter adresse leitet die UTM das unterschiedlich intern weiter)

Im Domain Controller ist im DNS jeweils ein A-Record hinterlegt für "mail.domain.de" sowie "autodiscover.domain.de" (war vorher der alte Exchange, ist jetzt der neue exchange).

Weitere Verweise auf den Mailserver sollte es im Netz bei mir eigentlich nicht mehr geben.

Proxyserver setze ich nicht ein. Meine ausgehenden Mails reicht der Exchange an die SophosUTM weiter und von dort gehts dann zum Smarthost des Providers