Outlook 2019 mit Exchange 2019 in fremdem AD

  • Hallo allesamt,

    ich bin mir nicht sicher ob dies ein Outlook Thema ist oder ein Exchange Thema. Was ich mir jedoch sicher bin: Ich weiß nicht mehr weiter :( Folgendes Szenario:

    Exchange 2019 installiert, Clients alle Outlook 2019. Ich denke ich habe das Autodiscover richtig konfiguriert, jedenfalls bekomme ich keinen Fehler bei dem MS-Connectivity-Analyser, Autodiscover innerhalb des AD funktioniert, Autodiscover von "außen" mit einem PC der nicht in der Domäne (AD) hängt funktioniert auch. Mein Problem ist jetzt jedoch, dass ich einen PC habe, der in einem anderen AD eingehängt ist. Dort funktioniert Autodiscover bzw. das einrichten des Outlook Kontos nicht. Bei einem lokalen Benutzer an diesem Rechner - kein Problem, bei einem Domänenbenutzer der fremden AD -> Problem. Hier ein Beispiel:

    Benutzer "Max Mustermann",

    Emailadresse: "Max.Mustermann@Musterdom.de",

    AD des Exchange Servers: "Musterdom.local",

    Benutzername ist "Mustermann"

    Rufe ich jetzt von einem PC, der in _keiner_ Domäne hängt Outlook auf, gebe ich folgende Daten an: Max.Mustermann@Musterdom.de -> Exchange -> Anmeldedialog: Musterdom\Mustermann + Passwort, herzlichen Glückwunsch, Outlook läuft.

    Mache ich das Gleiche von einem PC, der im AD "SecondDom.local" eingebunden ist als _lokaler_ Benutzer: Herzlichen Glückwunsch, Outlook läuft.

    Melde ich mich jedoch als Domänenbenutzer des AD "SecondDom.local" an und gebe ebenfalls die gleichen Daten in Outlook ein, bekomme ich das Ganze nicht zum laufen. Ich habe mit Fiddler mal draufgeschaut und konnte folgendes ausmachen:

    Es sieht so aus, als hängt es an der Authentifizierung des Exchange Servers, genauer gesagt beim Autodiscover. Hier bekomme ich immer 401er bzw. 403er Meldungen. Wenn es funktioniert bekomme ich nach einer 401 (die erste kommt wohl immer) dann eine 200 und alles ist i.O.

    Das Lustige an der Sache: Wenn ich Outlook mit einem IMAP Konto einrichte (damit ich es öffnen kann) und dann über das Icon in der Taskleiste Autodiscover teste, dann funktionierts. Ich gebe dort die Adresse Max.Mustermann@Musterdom.de an, trage das Passwort ein, klicke auf Start, es kommt ein Anmeldefenster, dort erneut Musterdom\Mustermann + Passwort, fertig und läuft.

    Autoermittlung für https://autodiscover.Musterdom.de/autodiscover/autodiscover.xml wird gestartet

    GetLastError=0; httpStatus=401

    GetLastError=0; httpStatus=200

    Autoermittlung für https://autodiscover.Musterdom.de/autodiscover/autodiscover.xml Erfolgreich (0x0)

    Ich habe mit diversen Authentifizierungseinstellungen im Exchange und oder IIS gespielt, habe Versucht Outlook via GPO auf eine NTLM Authentifizierung zu zwingen (software\policies\microsoft\office\16.0\outlook\security\authenticationservice = 10), ich habs mal mit dem UPN versucht statt Musterdom\Mustermann als Name... Mir fällt jetzt nix mehr ein. Hat von euch jemand noch einen Tipp? Oder noch eine Richtung, in die ich suchen kann? Aktuell behelfe ich mir, den Outlook Account auf einem lokalen Benutzer anzulegen und dann das Profil aus der Registry in das "Fremd-Domänen"-Profil zu kopieren. Das kann aber ja nicht die Endlösung sein, oder?

    Falls dies noch hilfreich sein sollte: Der Exchange Server wurde ursprünglich mal mit 2007 aufgesetzt, dann irgendwann nach 2013 migriert und jetzt vor kurzem auf 2019 migriert.

    Danke schon mal im Voraus!

    CyborgWeasel

  • Moin,

    mich interessiert erst mal das Zertifikat vom Exchange und der Stand:

    CSchulenb
    April 23, 2024 at 8:00 PM

    Ist in dem Fremden LAN ein Proxy im Einsatz?

    Du kannst mir gerne die echte Domain per PN oder Mail schicken, ich gucke mir gerne an ob Autodiscover etc. passen

    :)

  • Moin,

    also Stand ist aktuell CU12, Version 15.2 (Build 1118.7). Dateiversion der ExSetup.exe ist 15.02.1118.007.

    Proxy ist keiner im Einsatz, weder im Exchange LAN noch im "Fremd"-LAN und als Zertifikat haben wir ein Wildcard-Zertifikat von DigiCert im Einsatz.

    Schon mal danke für deine Hilfe!!

    Gruß

  • UPDATE: Jetzt habn wir den Stand 15.2 (Build 1544.4) sowie ExSetup 15.02.1544.004, leider keine Besserung des Problems :( . Lokale Windowsanmeldung geht, Nutzer fremd-AD geht nicht

  • Danke für die Info

    Hätte mich gewundert, wenn es mit dem CU14 anders gewesen wäre

    Ich wiederhole mein Angebot, schick mir eine Mail…

    Wenn der BPA von MS nichts zu meckern hat, liegt es an der fremden Domain - meiner Meinung nach

    Kann ich aber erst behaupten, wenn selber geprüft…

    Schönen Ostersonntag! 🐣

  • So ich bin nochmal einen Schritt weiter. Nach dem Update auf CU14 gab es auch innerhalb der eigenen Domäne Probleme mit der Anmeldung. Hier hat Outlook plötzlich nach Benutzername und Passwort gefragt und sich auch nicht nach 10 maligem Eingeben überreden lassen zu arbeiten. Erst hab ich natürlich an einen Fehler von mir gedacht, weil ich ja ziemlich viel ausprobiert habe (wobei ich mir schon ziemlich Sicher war nichts gravierendes am Exchange Server verstellt zu haben, das meiste wurde am Client ausprobiert) aber das war es nicht. Es hing an der Extended Protection die mit CU14 aktivert wurde. Nachdem ich diese deaktiviert hatte, lief auch wieder alles... Irgendwas ist hier faul :(

    Gruß

  • So, hier mal ein kurzes Status-Update:

    NobbyausHB hat mich auf ein paar DNS Fehler hingewiesen, danke hierfür. Zwar ist dies nicht die Ursache des Problems, aber dennoch war der DNS eben unsauber. Weiter hat sich herausgestellt, dass das Problem ein Outlook 2019 spezifisches Problem ist. Denn mit Outlook 2016 und Outlook 2021 ist das Problem nicht da. Wir haben einiges ausprobiert, z.B. das Wildcard-Zertifikat durch ein mit korrekt eingetragenen SANs für den Exchange Server ersetzt, diverse Einstellungen in der Registry bzgl. Autodiscover Korreturen, aber nichts hat aktuell geholfen. Ich bleibe hier weiter dran...

    Zur Extended Protection möchte ich auch noch was loswerden: Was mir hier den Tag versaut hatte war mein guter alter Freund Herr Kaspersky. Dieser untersucht standardmäßig auch SSL Verbindungen, was einem Man-In-The-Middle-Angriff gleich kommt. Nachdem ich hier für Outlook eine Ausnahme erstellt hatte ("Verschlüsselten Netzwerkverkehr untersuchen" o.ä. heißt die Option, die abgeschaltet wurde), lief auch die Extended Protection ohne Probleme.

    Vielleicht hilft das bereits jemandem weiter :-), zum Rest folgen nochmal Updates...

    Grüße