16
Authentifizierung Outlook 2013 an Exchange 2013 schlägt fehl
Hallo,
Ich habe heute Windows Updates auf meinem 2012 R2 DC eingespielt und einen Neustart vollzogen, das ganze in der Frühstückspause. Seit dem kann ich mich mit Outlook 2013 von keinem PC aus mehr am Exchange 2013 (auf 2012 R2) anmelden, es kommt einfach wieder und wieder die Abfrage nach Benutzername / Kennwort (obwohl identisch mit Anmeldebenutzer). Vor besagten Updates und Neustart lief alles. In der Mittagspause habe ich dann Exchange und Terminal Server (2012 R2) alle neu gestartet, allerdings aus Zeitmangel keine Windows Updates mit genommen. Das Fehlerbild ist leider geblieben.
Ich kann eigentlich alle anderen Faktoren ausschließen.
- DNS geht nach wie vor, wurde nicht geändert
- Zertifikat auf mail.domain.de ist gültig. Vor dem Neustart des Exchange konnte keine Sperrliste geprüft werden weil meinem Exchange der Zugang zum Internet verwehrt wird. Mit Zugang und nach Neustart wurde auch das als gültig eingestuft.
- Ich habe mit verschiedenen Benutzern getestet.
- Ich habe sowohl von den Terminal Servern, von einem Server der ein Outlook installiert hat sowie von 2 neutralen VMs (Windows 2012 R2 und Windows 2022) mit neur Outlook Installation getestet.
- Ich habe in der Registry die Profile gelöscht und Autodiscover schlägt auch Benuter passend vor, nur kommt dann halt die Anmeldemaske.
- OWA geht, Active Sync geht, EAC natürlich auch
Heute Abend werde ich auf dem Exchange Updates einspielen und nochmal Neustarts durchführen. Wenn das nicht geht die Updates auf dem DC rückgängig machen.
Habt ihr noch Ideen? Mir sind sie ausgegangen. Vom Kopf her habe ich alles auf 7 Windows Updates eingegrenzt. Aber ich bin skeptisch ob die wirklich die Authentifizierung an der AD dermaßen beeinträchtigen.
Ich habe heute Windows Updates auf meinem 2012 R2 DC eingespielt und einen Neustart vollzogen, das ganze in der Frühstückspause. Seit dem kann ich mich mit Outlook 2013 von keinem PC aus mehr am Exchange 2013 (auf 2012 R2) anmelden, es kommt einfach wieder und wieder die Abfrage nach Benutzername / Kennwort (obwohl identisch mit Anmeldebenutzer). Vor besagten Updates und Neustart lief alles. In der Mittagspause habe ich dann Exchange und Terminal Server (2012 R2) alle neu gestartet, allerdings aus Zeitmangel keine Windows Updates mit genommen. Das Fehlerbild ist leider geblieben.
Ich kann eigentlich alle anderen Faktoren ausschließen.
- DNS geht nach wie vor, wurde nicht geändert
- Zertifikat auf mail.domain.de ist gültig. Vor dem Neustart des Exchange konnte keine Sperrliste geprüft werden weil meinem Exchange der Zugang zum Internet verwehrt wird. Mit Zugang und nach Neustart wurde auch das als gültig eingestuft.
- Ich habe mit verschiedenen Benutzern getestet.
- Ich habe sowohl von den Terminal Servern, von einem Server der ein Outlook installiert hat sowie von 2 neutralen VMs (Windows 2012 R2 und Windows 2022) mit neur Outlook Installation getestet.
- Ich habe in der Registry die Profile gelöscht und Autodiscover schlägt auch Benuter passend vor, nur kommt dann halt die Anmeldemaske.
- OWA geht, Active Sync geht, EAC natürlich auch
Heute Abend werde ich auf dem Exchange Updates einspielen und nochmal Neustarts durchführen. Wenn das nicht geht die Updates auf dem DC rückgängig machen.
Habt ihr noch Ideen? Mir sind sie ausgegangen. Vom Kopf her habe ich alles auf 7 Windows Updates eingegrenzt. Aber ich bin skeptisch ob die wirklich die Authentifizierung an der AD dermaßen beeinträchtigen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1520467374
Url: https://administrator.de/contentid/1520467374
Ausgedruckt am: 17.11.2024 um 23:11 Uhr
16 Kommentare
Neuester Kommentar
1
Nein das habe ich tatsächlich übersehen obwohl ich sowas hier und meist auch auf Heise lese. Drucker Probleme haben mich bisher kalt gelassen, aber das mit der Authentifizierung klingt vielversprechend.
So alle Test wurden nach erneuter Benutzer-Anmeldung durchgeführt.
Test #1:
Fix KB5008603 auf DC installiert
Neustart DC => keine Veränderung
Neustart Exchange => keine Veränderung
Neustart RD-SH => keine Veränderung
Test #2:
Fix KB5008603 auf DC deinstalliert
Neustart DC
KB5007247 und KB5007255, beide 2021-11, auf DC deinstalliert
Neustart DC => keine Veränderung
Neustart Exchange => keine Veränderung
Neustart RD-SH => keine Veränderung
Test #3:
KB5007247 und KB5007255 erneut auf DC installiert
(erstmal kein Fix)
Neustart DC
Alle ausstehenden Updates auf Exchange und RD-SH installiert
(auch Office Updates)
Neustart Exchange, RD-SH => keine Veränderung
Test #4:
Fix KB5008603 auf DC erneut deinstalliert
Neustart DC => keine Veränderung
- Zwischendurch habe ich noch mit einer anderen VM und Outlook drauf aktualisiert und getestet
- Zwischendurch habe ich immer mal wieder das Outlook-Profil über die Registry und wenn vorhanden auch Anmeldeinformationen gelöscht
- "keine Veränderung" stimmt fast. Er fragt mich wieder nach meinem Standard-Profil das ich verwenden will, der Dialog kam vorher nicht
Alles in Allem: keine verdammte Veränderung. Obwohl gem. https://borncity.com/win/2021/11/11/november-2021-patchday-probleme-wsus ... alles nach KB5008603 schreit.
Ich spiele mit dem Gedanken Windows 2022 als DC aufzusetzen, ich muss aber ehrlich sagen so oft mache ich das nicht und die Ruhe fehlt. Außerdem gibt es da möglicherweise das selbe Problem.
Test #1:
Fix KB5008603 auf DC installiert
Neustart DC => keine Veränderung
Neustart Exchange => keine Veränderung
Neustart RD-SH => keine Veränderung
Test #2:
Fix KB5008603 auf DC deinstalliert
Neustart DC
KB5007247 und KB5007255, beide 2021-11, auf DC deinstalliert
Neustart DC => keine Veränderung
Neustart Exchange => keine Veränderung
Neustart RD-SH => keine Veränderung
Test #3:
KB5007247 und KB5007255 erneut auf DC installiert
(erstmal kein Fix)
Neustart DC
Alle ausstehenden Updates auf Exchange und RD-SH installiert
(auch Office Updates)
Neustart Exchange, RD-SH => keine Veränderung
Test #4:
Fix KB5008603 auf DC erneut deinstalliert
Neustart DC => keine Veränderung
- Zwischendurch habe ich noch mit einer anderen VM und Outlook drauf aktualisiert und getestet
- Zwischendurch habe ich immer mal wieder das Outlook-Profil über die Registry und wenn vorhanden auch Anmeldeinformationen gelöscht
- "keine Veränderung" stimmt fast. Er fragt mich wieder nach meinem Standard-Profil das ich verwenden will, der Dialog kam vorher nicht
Alles in Allem: keine verdammte Veränderung. Obwohl gem. https://borncity.com/win/2021/11/11/november-2021-patchday-probleme-wsus ... alles nach KB5008603 schreit.
Ich spiele mit dem Gedanken Windows 2022 als DC aufzusetzen, ich muss aber ehrlich sagen so oft mache ich das nicht und die Ruhe fehlt. Außerdem gibt es da möglicherweise das selbe Problem.
Ich hatte vor ein paar Monaten einen sehr ähnlichen Fall.
Bei mir haben dann diese Registry-Einträge am Client geholfen:
Für Outlook 2016 / 2019:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeScpLookup"=dword:00000001
"ExcludeExplicitO365Endpoint"=dword:00000001
Für Outlook 2013
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeScpLookup"=dword:00000001
"ExcludeExplicitO365Endpoint"=dword:00000001
Manchmal hat es sofort funktioniert, manchmal war noch eine Reboot vom Client nötig.
Bei mir haben dann diese Registry-Einträge am Client geholfen:
Für Outlook 2016 / 2019:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeScpLookup"=dword:00000001
"ExcludeExplicitO365Endpoint"=dword:00000001
Für Outlook 2013
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeScpLookup"=dword:00000001
"ExcludeExplicitO365Endpoint"=dword:00000001
Manchmal hat es sofort funktioniert, manchmal war noch eine Reboot vom Client nötig.
Hab gerade noch einen Artikel gefunden:
https://docs.microsoft.com/de-de/exchange/troubleshoot/client-connectivi ...
Vielleicht trifft das bei Dir zu?
https://docs.microsoft.com/de-de/exchange/troubleshoot/client-connectivi ...
Vielleicht trifft das bei Dir zu?
Also die Registry-Keys testen wir grade, noch kein direkter Erfolg aber wenn man bei der Authentifizierung jetzt Credentials eingeibt dauert es gefühlt länger.
Ich würde mal schnell noch Event ID 37 hier unterbringen, die habe ich nämlich am DC. Dazu gibt es hier auch schon einen Thread:
Seit KB5008380 Eventid 37 Kerberos-Key-Distribution-Center
Wir haben einen Microsoft Case geöffnet, ist mein Erster...
PS: Microsoft beschreibt die Updates hier:
https://support.microsoft.com/en-us/topic/kb5008380-authentication-updat ...
Ich würde mal schnell noch Event ID 37 hier unterbringen, die habe ich nämlich am DC. Dazu gibt es hier auch schon einen Thread:
Seit KB5008380 Eventid 37 Kerberos-Key-Distribution-Center
Wir haben einen Microsoft Case geöffnet, ist mein Erster...
PS: Microsoft beschreibt die Updates hier:
https://support.microsoft.com/en-us/topic/kb5008380-authentication-updat ...
Betrifft nur Windows 7. Microsoft hat vor ein paar Monaten anscheinend TLS 1.2 für den Kontakt mit dem Server vorgeschrieben. Das geht solange noch gut, bis mal ein neues PWD gebraucht wird. Dann muss 1.2 aktiv sein.
Einmal Outlook neu starten, dann bekommt Outlook wieder Kontakt.
Windows Registry Editor Version5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword: 00000800
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword: 00000800 Einmal Outlook neu starten, dann bekommt Outlook wieder Kontakt.
Habe auch diesen Hinweis von Microsoft noch dazu gefunden:
https://support.microsoft.com/de-de/topic/outlook-und-mobile-clients-aut ...
https://support.microsoft.com/de-de/topic/outlook-und-mobile-clients-aut ...
Zitat von @pirate1990:
Habe auch diesen Hinweis von Microsoft noch dazu gefunden:
https://support.microsoft.com/de-de/topic/outlook-und-mobile-clients-aut ...
Habe auch diesen Hinweis von Microsoft noch dazu gefunden:
https://support.microsoft.com/de-de/topic/outlook-und-mobile-clients-aut ...
KB5008603 habe ich ausgiebig getestet und ist derzeit auch auf dem DC installtiert.
Zitat von @pirate1990:
Für Outlook 2013
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeScpLookup"=dword:00000001
"ExcludeExplicitO365Endpoint"=dword:00000001
Manchmal hat es sofort funktioniert, manchmal war noch eine Reboot vom Client nötig.
Für Outlook 2013
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Outlook\AutoDiscover]
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeScpLookup"=dword:00000001
"ExcludeExplicitO365Endpoint"=dword:00000001
Manchmal hat es sofort funktioniert, manchmal war noch eine Reboot vom Client nötig.
- Das hat definitiv zu einer Verbesserung geführt. Vorher wurde der Exchange Hostname in den Outlook Profil Setting mit einer GUID komisch aufgelöst, jetzt ist wieder der DNS Name zu sehen.
- Die Anmeldung dauert lange und wechselt auch bei einem Anmeldeversuch mit email@domain.de auf loginname@intern.domain.de also er erkennt das Postfach und versucht sich anzumelden.
Nur funktionieren tut es nicht, auch nach Reboot.
Zitat von @haichen:
Betrifft nur Windows 7. Microsoft hat vor ein paar Monaten anscheinend TLS 1.2 für den Kontakt mit dem Server vorgeschrieben. Das geht solange noch gut, bis mal ein neues PWD gebraucht wird. Dann muss 1.2 aktiv sein.
Einmal Outlook neu starten, dann bekommt Outlook wieder Kontakt.
Betrifft nur Windows 7. Microsoft hat vor ein paar Monaten anscheinend TLS 1.2 für den Kontakt mit dem Server vorgeschrieben. Das geht solange noch gut, bis mal ein neues PWD gebraucht wird. Dann muss 1.2 aktiv sein.
Windows Registry Editor Version5.00
>
> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
> "DefaultSecureProtocols"=dword: 00000800
>
> [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
> "DefaultSecureProtocols"=dword: 00000800 Einmal Outlook neu starten, dann bekommt Outlook wieder Kontakt.
Das ändert leider nichts.
Die Sache wird auch immer beklopter. Das Update auf dem DC habe ich am 17.11. eingespielt, davor lief Outlook danach nicht mehr. Am 16.11.habe ich die Updates auf dem Datensicherungsserver gemacht, davor hat noch kein Server das besagt Update gehabt.
Jetzt habe ich einen Restore aus der Datensicherung vom 09.11. genommen und in ein eigenes VLAN gepackt. es gab nie Kontakt zum Produktivnetz aber der DC und der Exchange haben natürlich gemerkt das es sich um ein "unbekanntes Netzwerk" handelt. Der Fehler tritt hier genau so auf obwohl das Update auf keinem System jemals installiert war.
Ich kann mir das nur so zusammen reimen das sowas wie gültige Kerberos-Tickets existiert haben die in der Produktivumgebung mit dem Update des DC und in der Restore-Umgebung durch den Restore-Vorgang oder durch das "unbekannte Netzwerk" ungültig geworden sind und nicht erneuert werden konnten.
Jetzt habe ich einen Restore aus der Datensicherung vom 09.11. genommen und in ein eigenes VLAN gepackt. es gab nie Kontakt zum Produktivnetz aber der DC und der Exchange haben natürlich gemerkt das es sich um ein "unbekanntes Netzwerk" handelt. Der Fehler tritt hier genau so auf obwohl das Update auf keinem System jemals installiert war.
Ich kann mir das nur so zusammen reimen das sowas wie gültige Kerberos-Tickets existiert haben die in der Produktivumgebung mit dem Update des DC und in der Restore-Umgebung durch den Restore-Vorgang oder durch das "unbekannte Netzwerk" ungültig geworden sind und nicht erneuert werden konnten.
moin...
ist den der Exchange2013 mit allen Wasser gewaschen? (also aktuelle Updates und CU) ?
der oder die DCs auch?
was sagen unsere Freunde vom Ereignisprotokoll dazu?
nutzt du MAPIoverHTTP oder RPCoverHTTP?
Frank
ist den der Exchange2013 mit allen Wasser gewaschen? (also aktuelle Updates und CU) ?
der oder die DCs auch?
was sagen unsere Freunde vom Ereignisprotokoll dazu?
nutzt du MAPIoverHTTP oder RPCoverHTTP?
Frank
Der Exchange ist CU23, das letzte Update für CU23 habe ich erst nach der Problematik eingespielt, aber das ist aktuell auch drauf.
Ich hatte RPCoverHTTP im Einsatz, das war mir eigentlich auch nicht bewusst, es lief halt
Wir haben ein Ticket bei Microsoft auf gemacht und Microsoft hat sich auch am Freitag um eine Lösung bemüht (Dabei wurde auf MAPI umgestellt). Das Problem wurde dem Exchange zugeordnert (die Dame konnte halt Exchange), nicht den November Updates! Außerdem wunderte man sich darüber das es überhaupt funktioniert hat... Der zugesagte Folgetermin für Gestern wurde nicht eingehalten, das Ticket liegt brach (Kurzfassung).
Ich hatte RPCoverHTTP im Einsatz, das war mir eigentlich auch nicht bewusst, es lief halt
Wir haben ein Ticket bei Microsoft auf gemacht und Microsoft hat sich auch am Freitag um eine Lösung bemüht (Dabei wurde auf MAPI umgestellt). Das Problem wurde dem Exchange zugeordnert (die Dame konnte halt Exchange), nicht den November Updates! Außerdem wunderte man sich darüber das es überhaupt funktioniert hat... Der zugesagte Folgetermin für Gestern wurde nicht eingehalten, das Ticket liegt brach (Kurzfassung).
So wenn auch verspätet hier ein Fazit von mir. Das Problem ist behoben, zur Zeit arbeitetet Outlook wieder (fast) so wie vorher.
Microsoft
Gelöst hat es letzendlich der offizielle Microsoft Support, auch wenn nicht alles optimal lief. Hier die wichtigesten Punkte zum Support:
- Das Ticket hat unser Systemhaus über einen Partnervertrag bei MS erstellt. Diese Partnerverträge decken (vermutlich üblicherweise) nur die jeweils aktuelle Exchange Version + Vorgänger-Version ab, also eigentlich nicht mehr Exchange 2013 CU23. Der Fall wurde aber dennoch freundlicherweise von MS angenommen.
- Die Priorisierung bei MS ist - interessant. Das geht los mit einer angegebenen Reaktionszeit, zu der aber keine Zeiteinheit zu gehören scheint. Also 2 Stunden oder 2 Tage, ein bischen Glücksrad. Auch weiß man ja nicht ob schon die Annahme des Falls durch den Support die Reaktion darstellt... Jedenfalls hat es dann noch etwas gedauert bis wir einen Telefontermin hatten. Dann wurde auch direkt los gelegt aber irgendwie kam man zu keinem Ergebnis und am Montag darauf verstrich der Termin und erst am Dienstag, ein weiteres Ticket später, gab es überhaupt eine Reaktion. Der Fall wurde dann einen weiteren Tag später von einem Vorgesetzten übernommen, ich weiß nicht aus welchen Gründen. Alles in allem war die Kommunikation echt mager und das in einer Stress-Situation, das geht sicher besser.
- Fachlich hatte ich vor allem drei Erkentnisse:
a) Ich war sehr fasziniert wie man direkt auf den Exchange los gegangen ist, die AD Patches spielten irgendwie keine Rolle, es wurde gleich ziemlich viel rum gefummelt, Zertifikate getauscht, getan gemacht. Für mich als Beobachter schlecht nachvollziehbar, das ist natülrich für den Admin nicht so toll. Bemerkungen meiner Seits wurden zur Kentnis genommen aber es entstand das Gefühl: Ich kann Exchange also suche ich das Problem halt dort, AD wäre ein anderer Fachberreich gewesen.
b) Technisch haben die es schon drauf (intern greifen die auch parallel auf Dokumentation zu) aber am Ende schien es auch ein bischen wie Stochern im Nebel mit bekannten Problemlösungen einfach mal ein Feuerwerk abfahren.
c) DNS ist zwar immer irgendwie mit Schuld an allem und eigentlich sollte jeder IT'ler wissen was er hier tut aber auch der MS Support ist vor Fehlannahmen nicht gefeilt. Ich habe aufgrund der Aussage DNS sei "falsch" konfiguriert sehr viel geändert, bin aber am Ende fast in der selben Konfiguration angekommen wie auch vorher (lief ja auch vorher schon). Ausschlaggebend war hier nslookup, das ohne Punkt hinter dem DNS-Namen sein Domänenpräfix nochmal anhängt. Das liefert dann natürlich andere Ergebnisse als mit einem abschließenden Punkt. Durch das ganze rumgefummel im DNS gab es dann auch eine lange Phase in der wir immer wieder mit unserem Outlook versuchten uns am Webserver unseres Homepage-Hosters zu authentifizieren. Ich kann immer noch nicht wirklich sagen warum das passiert ist, sehr verwirrend.
Ablauf
Ein bischen schlauer bin ich dann doch geworden. Über das Problem habe ich selbst mehrere Überlegungen, hier erstmal die meiner Meinung nach relevanten Ereignisse:
15.03.2021 - Nach HAFNIUM befasse ich mich tiefgreifender mit dem Thema Exchange, AD-Integration und vor allem AD-Kompromitierung durch die erhöhten Rechte des Exchange Trusted Subsystems. Ich beschließe mich auf eine Acitve Directory-Split Permissions Konfiguration einzulassen. Das läuft auch, bis auf Kleinigkeiten, zunächst erstaunlich gut.
11.08.2021 - letzter Neustart des alleinigen DC, ohne Probleme
10.11.2021 - Die Datensicherung (Veeam B&R) hat aus heiterem Himmel ein Authentifizierungsproblem an der AD, nicht Exchange related sondern einfach so.
17.11.2021 - Wie ich so alles mögliche i.S. Veeam teste beschließe ich den DC zu patchen und in der Frühstückspause neu zu starten. Unmittelbar im Anschluss an den Neustart tritt das Problem auf, unmittelbar davor nicht.
Theorie
Meine Annahme beruht darauf das AD-Split Permissions dafür verantwortlich ist das die Authentifizierung von Outlook fehl geschlagen ist. Ich kann mir vorstellen das es irgend ein Kerberos-Ticket gibt das vermutlich so 6 Monate gültig ist. Das ist dann abgelaufen und das wurde beim Neustart (über 6 Monate später) dann plötzlich relevant. Das würde auch erklären warum eine völlig ungepatchte Umgebnung aus der Datensicherung exakt das selbe Fehlerbild hatte. Natürlich gibt es auch Gegenargumente: Die Authentifizierung von AD-Benutzern über OWA z.B. lief durchgehend. Die Authentifizierung völlig neuer Benutzer in Outlook lief bis zum besagten Neustart problemlos.
Lösung
Am Ende einer langen Kette von wenig gezielten Maßnahmen (Zertifikate ausgetauscht, DNS umgestellt, Autodiscover-/IIS-Pfade angepasst, etc. etc.) hat dann ein Befehl zur Erweiterung der Rechte des Exchange in der AD plötzlich klick gemacht und es lief wieder. Der Supportler war selbst irritiert weil er genau diesen Lösungsweg schon erfolglos probiert hatte. Ich habe versucht die Lösung auf meiner wiederhergestellten Test-Umgebnung nach zu stellen, ohne Erfolg.
Hier noch die letzten Aktionen bevor es wieder lief:
Aftermath
AD-Split Permissions halte ich immer noch für einen interessanten Ansatz aber es ist offensichtlich eine wenig praktizierte Methode. Da mein Exchange nicht mehr von Extern erreichbar sein wird (VPN für Active Sync hat sich nach HAFNIUM sehr bewährt) werde ich darauf verzichten.
Server OS und Exchange Version sollen sowieso angehoben werden, das wird aber ein längerer Übergang bis alles migriert ist. Der Exchange sollte danach hoffentlich wieder im Zustand einer "handelsüblichen" Installation sein. Danke auch an Frank der mir zwischendurch telefonisch noch zur Seite stand und seine Erfahrungen geteilt hat.
Microsoft
Gelöst hat es letzendlich der offizielle Microsoft Support, auch wenn nicht alles optimal lief. Hier die wichtigesten Punkte zum Support:
- Das Ticket hat unser Systemhaus über einen Partnervertrag bei MS erstellt. Diese Partnerverträge decken (vermutlich üblicherweise) nur die jeweils aktuelle Exchange Version + Vorgänger-Version ab, also eigentlich nicht mehr Exchange 2013 CU23. Der Fall wurde aber dennoch freundlicherweise von MS angenommen.
- Die Priorisierung bei MS ist - interessant. Das geht los mit einer angegebenen Reaktionszeit, zu der aber keine Zeiteinheit zu gehören scheint. Also 2 Stunden oder 2 Tage, ein bischen Glücksrad. Auch weiß man ja nicht ob schon die Annahme des Falls durch den Support die Reaktion darstellt... Jedenfalls hat es dann noch etwas gedauert bis wir einen Telefontermin hatten. Dann wurde auch direkt los gelegt aber irgendwie kam man zu keinem Ergebnis und am Montag darauf verstrich der Termin und erst am Dienstag, ein weiteres Ticket später, gab es überhaupt eine Reaktion. Der Fall wurde dann einen weiteren Tag später von einem Vorgesetzten übernommen, ich weiß nicht aus welchen Gründen. Alles in allem war die Kommunikation echt mager und das in einer Stress-Situation, das geht sicher besser.
- Fachlich hatte ich vor allem drei Erkentnisse:
a) Ich war sehr fasziniert wie man direkt auf den Exchange los gegangen ist, die AD Patches spielten irgendwie keine Rolle, es wurde gleich ziemlich viel rum gefummelt, Zertifikate getauscht, getan gemacht. Für mich als Beobachter schlecht nachvollziehbar, das ist natülrich für den Admin nicht so toll. Bemerkungen meiner Seits wurden zur Kentnis genommen aber es entstand das Gefühl: Ich kann Exchange also suche ich das Problem halt dort, AD wäre ein anderer Fachberreich gewesen.
b) Technisch haben die es schon drauf (intern greifen die auch parallel auf Dokumentation zu) aber am Ende schien es auch ein bischen wie Stochern im Nebel mit bekannten Problemlösungen einfach mal ein Feuerwerk abfahren.
c) DNS ist zwar immer irgendwie mit Schuld an allem und eigentlich sollte jeder IT'ler wissen was er hier tut aber auch der MS Support ist vor Fehlannahmen nicht gefeilt. Ich habe aufgrund der Aussage DNS sei "falsch" konfiguriert sehr viel geändert, bin aber am Ende fast in der selben Konfiguration angekommen wie auch vorher (lief ja auch vorher schon). Ausschlaggebend war hier nslookup, das ohne Punkt hinter dem DNS-Namen sein Domänenpräfix nochmal anhängt. Das liefert dann natürlich andere Ergebnisse als mit einem abschließenden Punkt. Durch das ganze rumgefummel im DNS gab es dann auch eine lange Phase in der wir immer wieder mit unserem Outlook versuchten uns am Webserver unseres Homepage-Hosters zu authentifizieren. Ich kann immer noch nicht wirklich sagen warum das passiert ist, sehr verwirrend.
Ablauf
Ein bischen schlauer bin ich dann doch geworden. Über das Problem habe ich selbst mehrere Überlegungen, hier erstmal die meiner Meinung nach relevanten Ereignisse:
15.03.2021 - Nach HAFNIUM befasse ich mich tiefgreifender mit dem Thema Exchange, AD-Integration und vor allem AD-Kompromitierung durch die erhöhten Rechte des Exchange Trusted Subsystems. Ich beschließe mich auf eine Acitve Directory-Split Permissions Konfiguration einzulassen. Das läuft auch, bis auf Kleinigkeiten, zunächst erstaunlich gut.
11.08.2021 - letzter Neustart des alleinigen DC, ohne Probleme
10.11.2021 - Die Datensicherung (Veeam B&R) hat aus heiterem Himmel ein Authentifizierungsproblem an der AD, nicht Exchange related sondern einfach so.
17.11.2021 - Wie ich so alles mögliche i.S. Veeam teste beschließe ich den DC zu patchen und in der Frühstückspause neu zu starten. Unmittelbar im Anschluss an den Neustart tritt das Problem auf, unmittelbar davor nicht.
Theorie
Meine Annahme beruht darauf das AD-Split Permissions dafür verantwortlich ist das die Authentifizierung von Outlook fehl geschlagen ist. Ich kann mir vorstellen das es irgend ein Kerberos-Ticket gibt das vermutlich so 6 Monate gültig ist. Das ist dann abgelaufen und das wurde beim Neustart (über 6 Monate später) dann plötzlich relevant. Das würde auch erklären warum eine völlig ungepatchte Umgebnung aus der Datensicherung exakt das selbe Fehlerbild hatte. Natürlich gibt es auch Gegenargumente: Die Authentifizierung von AD-Benutzern über OWA z.B. lief durchgehend. Die Authentifizierung völlig neuer Benutzer in Outlook lief bis zum besagten Neustart problemlos.
Lösung
Am Ende einer langen Kette von wenig gezielten Maßnahmen (Zertifikate ausgetauscht, DNS umgestellt, Autodiscover-/IIS-Pfade angepasst, etc. etc.) hat dann ein Befehl zur Erweiterung der Rechte des Exchange in der AD plötzlich klick gemacht und es lief wieder. Der Supportler war selbst irritiert weil er genau diesen Lösungsweg schon erfolglos probiert hatte. Ich habe versucht die Lösung auf meiner wiederhergestellten Test-Umgebnung nach zu stellen, ohne Erfolg.
Hier noch die letzten Aktionen bevor es wieder lief:
ionMethod ntlm -ExternalClientAuthenticationMethod negotiate
gpresult /scope computer /r
Get-ClientAccessServer | Add-ADPermission -AccessRights ExtendedRight -ExtendedRights “ms-Exch-EPI-Token-Serialization”, “ms-Exch-EPI-Impersonation” -User <exchange-hostname>Aftermath
AD-Split Permissions halte ich immer noch für einen interessanten Ansatz aber es ist offensichtlich eine wenig praktizierte Methode. Da mein Exchange nicht mehr von Extern erreichbar sein wird (VPN für Active Sync hat sich nach HAFNIUM sehr bewährt) werde ich darauf verzichten.
Server OS und Exchange Version sollen sowieso angehoben werden, das wird aber ein längerer Übergang bis alles migriert ist. Der Exchange sollte danach hoffentlich wieder im Zustand einer "handelsüblichen" Installation sein. Danke auch an Frank der mir zwischendurch telefonisch noch zur Seite stand und seine Erfahrungen geteilt hat.
