"https://technet.microsoft.com/de-de/library/dd298140(v=exchg.150).aspx" legt den Schluss nahe, dass das völlig korrekt ist, was ich da sehe, wenn ich das abfrage. Also habe ich den wirklichen Fehler noch immer nicjt gefudnen 
Beiträge von JUMI
-
-
Und ja, genau das meinte ich. Es steht der CN auch als SAN drin.
Ahh - also hab ich es richtig gemacht?!
Wie hast du im internen DNS die Einträge angelegt und welche?
Wie in Post #12 beschrieben: "Ich habe zwei DNS-Zonen; eine für mail.meinedomain.de und eine für autodiscover.meinedomain.de. In beiden Zonen einen HostA ohne Namen mit der IP-Adresse des EX-Servers im lokalen Netz." Gemeint sind natürlich auf dem DC der lokalen Domain (meinedomain.ZZ). Auch das habe ich exakt nach der HowTo aus FrankysWeb gemacht.
In deinen Tests fehlt das owavirtualdirectory
Guter Hinweis!!! Okay. Nachgeholt:
Get-OWAVirtualDirectory ergibt:
Name: owa (Default Web Site)
Server: meinExHostname (ohne Doman; ohne TLD)
OwaVersion: Exchange 2013Das verstehe ich nicht
Wenn ich die Adresse "mail.meinedomain.DE" im Browser auf einem beliebigen PC im lokalen Netz eingebe, funktioniert alles. Ohne Zertifikatsmeldung. Klicke ich das Zertifikat an, dann sehe ich das auf Geotrust lautender Root-CA und alles ist gut. Warum also steht hier nur der (lokale) Hostname?Wie schon beschrieben, habe ich im EAC unter "OWA" "https://mail.meinedomain.de/owa" eingegeben - undzwar sowohl für Intern als auch für Extern!
Soll das mit dem (lokalen) Hostnamen also so, oder ist das ein Fehler? Habe gerade einen Artikel im TechNet gelesen - der widerspricht allerings auch der Beschreibung auf FrankysWeb. Wenn ich das dort nicht falsch interpretiert habe, dannsteht dort:
Autodiscover No external URL displayed
ECP https://owa.contoso.com/ecp
EWS https://mail.contoso.com/EWS/Exchange.asmx
Mapi https://mail.contoso.com/mapi
Microsoft-Server-ActiveSync https://mail.contoso.com/Microsoft-Server-ActiveSync
OAB https://mail.contoso.com/OAB
OWA https://owa.contoso.com/owaPowerShell http://mail.contoso.com/PowerShell
Hätte ich also noch einen SAN gebraucht (owa.meinedomain.de)??? :-()
Gruß Jürgen
-
Hi Norbert,
Im SAN _muss_ auch mail.meindomain.de drin stehen
Wie meinst Du das? Das Zertifikat lautet auf "mail.meinedomain.de". Also der CN lautet darauf!
Wennich mir die Details des Zertifikates anzeigen lasse, dann steht unter "Zertifikatshierarchie" "DigiCert Global Root G2 " --> "GeoTrust TLS RSA CA G1" --> "mail.meinedomain.de"
Unter Zertifikats-Layout steht "mail.meinedomain.de\Zertifkat\Erweiterungen\Zertifikatsgegenstand-Alternativ-Name:
Feld-Wert: Nicht kritisch / DNS-Name: mail.meinedomain.de / DNS-NAme: autodiscover.meinedomain.de".Entspricht das dem, was Du meinst?
Wie schon gesagt: Von außen keinerlei Probleme. Keine Zertifikatsmeldungen/-abfragen. Garnichts. Nur intern taucht unverändert der lokale Hostname (meinExHost.meinedaomain.ZZ) auf
Ich weiß aber nicht, warum!?! Ich habe keine explizite Einstellung, die darauf hinwirkt. Vielleicht DNS-Cache?ich glaube, ich sehe den Wald vor Bäumen nicht ... irgend etwas übersehe ich bestimmt
-
Noch ein paar Nachträge, was ich nun noch versucht habe:
1. Ich prüfe noch einmal den AutodiscoverService in der Exchange-Konsole mit "Get-ClientAccessServer –Identity MeinExHostName | fl AutodiscoverServiceInternalUri" und erhalte "AutodiscoverServiceInternalUri: https://autodiscover.meinedoma…discover/Autodiscover.xml" Das entspricht den Angaben im Zertifikat und den Erwartungen.
2. Ich prüfe als nächstes "Get-AutodiscoverVirtualDirectory | ft InternalUrl,ExternalUrl" Und erhalte … nichts. Also sowohl InternalUrl als auch External Url sind leer.
3. Ich prüfe "Get-WebServicesVirtualDirectory | ft InternalUrl,ExternalUrl". Hier erhalte ich zu meiner Überraschung: "InternalUrl: https://mail.meinedomain.de/EWS/Exchange.asmx" ExternalUrl: "https://mail.meinedomain.de/EWS/Exchange.asmx". Das passt!
4. Ich prüfe „Get-ActiveSyncVirtualDirectory | fl internalurl,externalurl“ und erhalte"InternalUrl: https://mail.meinedomain.de/Microsoft-Server-ActiveSync" "ExternalUrl: https://mail.meinedomain.de/Microsoft-Server-ActiveSync"
5. Ich prüfe „Get-ECPVirtualDirectory | fl internalurl,externalurl“ und erhalte "InternalUrl: https://mail.meinedomain.de/ecp" "ExternalUrl: https://mail.meinedomain.de/ecp"
6. Ich prüfe „Get-OABVirtualDirectory | fl internalurl,externalurl“ und erhalte "InternalUrl: https://mail.meinedomain.de/OAB" "ExternalUrl: https://mail.meinedomain.de/OAB"
7. Ich prüfe als nächstes „Get-ActiveSyncVirtualDirectory | fl internalurl,externalurl“ und erhalte"InternalUrl: https://mail.meinedomain.de/Microsoft-Server-ActiveSync" "ExternalUrl: https://mail.meinedomain.de/Microsoft-Server-ActiveSync"
Das deckt sich mit der Beschreibung in der HowTo auf FrankysWeb und einigen anderen Artikeln die ich fand. Denen zufolge müssen die Einträge für Autodiscover ("leer") ebenso wie für Powershell unverändert bleiben.
Ich hoffe, ich habe das so genau beschrieben, dass einer den Nagel in meinem Kopf findet
Danke & Gruss
Jürgen -
By the way: Einen kompletten Neustart des Servers habe ich nach Feierabend dann auch noch gemacht. iisreset vorher natürlich auch!
Gruß Jürgen
-
Hallo Norbert,
um offen zu sein - ich verstehe die Frage leider nicht ganz.Ich habe ein Zertifikat auf "mail.meinedomain.de" und als SAN "autodiscover.meinedomain.DE". Ich habe zwei DNS-Zonen; eine für mail.meinedomain.de und eine für autodiscover.meinedomain.de. In beiden Zonen einen HostA ohne Namen mit der IP-Adresse des EX-Servers im lokalen Netz.
Die URLs sind nach der Anleitung von Franky gesetzt - also PowerShell und Autodiscover wurden nicht verändert; alle anderen auf "mail.meinedomain.de" undzwar jeweils für intern und extern. Also im Detail:
ECP - https://mail.meinedomain.de/ecp (intern und extern)
EWS - https://mail.meinedomain.de/EWS/Exchange.asmx (intern und extern)
MSAS - https://mail.meinedomain.de/Microsoft-Server-ActiveSync (intern und extern)OAB - https://mail.meinedomain.de/OAB (intern und extern)
OWA - https://mail.meinedomain.de/owa (intern und extern)Es funktioniert von außen ohne irgendwelche Probleme! Keine Abfrage. Keine Zertifikatsmeldung. Alles bestens. Intern via Browser ebenfalls keinerlei Probleme. Keine Zertifikatsmeldung. Nach Aufbau der Verbindung wird das Zertifikat als vertrauenswürdig angezeigt.
Beantwortet das Deine Frage?
-
Zunächst noch einmal vielen Dank für Eure Hilfe! Ich habe das jetzt alles so umgesetzt, wie auf "https://www.frankysweb.de" beschrieben. Ich habe im Ergebnis jedoch noch ein Problem, bei dem ich noch einmal um Eure Hilfe bitte:
Wenn ich jetzt ein neues Benutzerprofil auf dem PC und dann im Outlook anlege, dann erscheint der Assistent ("Konto hinzufügen"), dann "Nach Ihren E-Mail-Servereinstellungen suchen". Es erscheint ein grünes Häkchen bei "Netzwerkverbindung herstellen". Dann ein grünes Häkchen bei "Nach vorname.nachname@domain.tld-Einstellungen suchen". Und dann erscheint ein Sicherheitshinweis bei dem oben plötzlich "MeinExchangeHost.MeineDomain.zz" (also der Hostname der lokalen Domäne!!) steht. Klicke ich hier jedoch auf die Schaltflkäche "Zertifikat anzeigen", dann wird das korrekte Zertifikat (ausgestellt von Geotrust auf den Namen "mail.MeineDomain.DE" und SAN "autodiscover.MeineDomain.DE") angezeigt. Ein "iisreset" hatte ich nach Einbindung der neuen Zertifikate durchgeführt.
Die Zuweisung des Geotrust-Zertifikates an die betreffenden Dienste habe ich auch durchgeführt. Was habe ich also übersehen?Danke & Gruß aus Berlin
Jürgen -
Ich bin nicht sicher, ob ich mich hier korrekt ausgedrückt habe: Das Zertifikat ist vom Exchange. Es ist im Kontext der Installation entstanden. Mit selfsigned meinte ich, dass es also nicht von Geotrust, Verisign oder einer anderen Zertifizierungsstelle authorisiert ist. Der Hostname meines Exchangeservers steht also an oberster Stelle der Zertifikatshierarchie. "Ausgestellt von" und "ausgestellt für" lauten auf den Hostnamen des Exchangeservers.
Ich hatte das Zertifikat auch vor meinen ganzen Versuchen in den Zertifikatspeicher des lokalen PCs geladen und als vertrauenswürdig klassifiziert.
Outlook muss ohne Warnungsdialog komplett starten,
Das tut es auf allen anderen Systemen. Spätestens, sofern einmalig das Zertifikat als vertrauenswürdig deklariert und gespeichert wurde.
Also zuerst mit einem korrekten Zertifikat dafür sorgen ...
Was meint "korrekt" hier? Ich bin davon ausgegangen, dass ich die beim Setup entstandenen Zertifikate einsetzen kann. War das unzutreffend? In dem Fall ergibt sich die Frage, wie ich hier vorgehen soll - ich habe eine TLD für interne Verwendung (das ".zz" in meinen Posts war kein Platzhalter).
Danke & Gruß
Jürgen -
Okay. Ich habe erneut versucht, ein Profil anzulegen und habe währenddessen Fiddler mitlaufen lassen. Ich habe mir dann die Zeilen angesehen, die auf den Hostnamen des Exchange hinweisen, auf den DC und/oder auf autodiscover. In den Zeilen, wo der Exchange-Host auftaucht, steht jeweils "Connection established". In der Liste der Ciphers wird keiner als "unrecognized" deklariert. Ich versuche es mal in Listenform:
Host: "Tunnel to" - URL: "meinexhost.meinedomain.zz:443 - Connection established
Host: "Tunnel to" - URL: "meinedomain.zz:443" - "Service unavailable" (Antwort kommt offenbar vom Proxyserver - was ich nicht verstehe)
Host: "Tunnel to" - URL: "autodiscover.meinedomain.zz:443 - Connection established
--> Jetzt erscheint über dem Einrichtungs-Tool der Sicherheitshinweis wegen des selfsigned Zertifikats von "autodiscover.meinedomain.zz"
--> Ich bestätige das Zertifikat (welches auch bereits lokal gespeichert ist)
Host: "Tunnel to" - URL: "autodiscover.meinedomain.zz:443 - Connection established
Host: "autodiscover.meinedomain.zz" - URL "/autodiscover/autodiscover.xml" - 403 FORBIDDEN
--> Jetzt erscheint über dem Einrichtungs-Tool die Meldung "An Exchange ... anmelden (EAS): Der angegebene Server wurde nicht gefunden"
--> Ich quittiere die Meldung. Daraufhin ist das Feld "E-Mail-Server" wieder leer.Unter der Zeile "... FORBIDDEN" folgen dann
"Server: Microsoft IIS/8.5"
"X-FEServer: meinexhost"
"X-Cache: MISS from meinproxyhost:meinproxyport"
--> Das macht mich ratlos, weil Proxy für lokale Adressen umgangen werden soll
--> Und es wundert mich, weil nslookup auf den host "autodiscover.meinedomain.zz" stets IP des Exchange-Servers im lokalen Netz ergibtKannst Du daraus etwas ableiten? Hab ich evtl. doch im DNS Mist gemacht?
Vielen Dank & Gruß aus Berlin
Jürgen -
Hallo Robert,
zunächst vielen Dank für die RatschlägeDas hier ist aber ein Fehler, den Du beheben musst.
Hast Du einen Rat, wo ich beginnen sollte? Auf einem Outlook2010 (auf einem W8.1) schlägt die Autoermittlung nicht fehl! Ist es also richtig, daraus zu schlussfolgern, dass die Suche nicht am DNS oder am Exchange-Server ansetzen sollte?
Ich würde da mal mit Fiddler nebenbei aufzeichnen, was passiert.
Okay. Das schau ich mir an. Hast Du vielleicht einen Hinweis, worauf ich konkret achten muss?
Ich habe natürlich im Vorfeld bereits etliche Artikel bzw. Posts im Netz gelesen, es gibt ja viele USer, die von identischen Problemen berichten. Aber ich fand dabei leider nichts, was sich für mich verwerten ließ.Danke & Gruß aus Berlin
Jürgen
