Exchange 2007 - Externer Login nicht mehr möglich - (neuer DC, alter DC entfernt)
Hallo in die Gemeinde,
kurze Vorgeschichte, letzte Woche einen Windows 2012 R2 (erster 2012er) als DC am Hauptstandort installiert. Nachdem alles lief, am Wochenende den zu ersetzenden runtergestuft und ausgeschaltet im AD und DNS auch nicht mehr als DC bzw GC und DNS gelistet. Gestern ist mir dann aufgefallen, dass mein Outlook (2013) über Anywhere immer wieder eine Passwortabfrage bringt und diese auch nicht annimmt/speichert. Wenn ich mit VPN verbunden bin, dann kommt ab und an eine Passwortabfrage, jedoch kann ich Outlook nutzen, was ohne VPN nicht möglich ist.
Da nun die ersten Mac Nutzer kommen (Outlook 2011) besteht das Problem wohl auch über den EWS. Das was interessant ist, wenn ich den https://autodiscover.domain.tld/autodiscover/autodiscover.xml im Browser eingeben (funktioniert nur mit Eintrag in der host Datei) lässt er mich mit meinem Benutzer mich nicht anmelden. Jedoch wenn ich den Admin eingebe, funktioniert es. Wir hatte vor nicht allzu langer Zeit schon mal ein Problem nur mit Mac's, dies war jedoch auf einen Unterschiedlichen Patchstand zurückzuführen und das man die Server (DC und Mailserver) 2x neu Starten musste.
Mailserver (Exchange 2007 auf einem 2008 R2) wurde auch schon neu gestartet und ein /flushdns gemacht. Ich schau gleich noch die Logs an ggf. IIS Einstellungen?
Hat jemand einen Tipp? Ist der alte DC ggf. noch an einer Stelle drin wo ich ihn händisch abändern muss?
Danke schon mal und viele Grüße,
Ribiku
Nachtrag:
- wenn ich mich intern über https://namedesserver/autodiscover/autodiscover.xml über meinen Benutzer anmelde funktioniert es.
- OWA von extern funktioniert auch
kurze Vorgeschichte, letzte Woche einen Windows 2012 R2 (erster 2012er) als DC am Hauptstandort installiert. Nachdem alles lief, am Wochenende den zu ersetzenden runtergestuft und ausgeschaltet im AD und DNS auch nicht mehr als DC bzw GC und DNS gelistet. Gestern ist mir dann aufgefallen, dass mein Outlook (2013) über Anywhere immer wieder eine Passwortabfrage bringt und diese auch nicht annimmt/speichert. Wenn ich mit VPN verbunden bin, dann kommt ab und an eine Passwortabfrage, jedoch kann ich Outlook nutzen, was ohne VPN nicht möglich ist.
Da nun die ersten Mac Nutzer kommen (Outlook 2011) besteht das Problem wohl auch über den EWS. Das was interessant ist, wenn ich den https://autodiscover.domain.tld/autodiscover/autodiscover.xml im Browser eingeben (funktioniert nur mit Eintrag in der host Datei) lässt er mich mit meinem Benutzer mich nicht anmelden. Jedoch wenn ich den Admin eingebe, funktioniert es. Wir hatte vor nicht allzu langer Zeit schon mal ein Problem nur mit Mac's, dies war jedoch auf einen Unterschiedlichen Patchstand zurückzuführen und das man die Server (DC und Mailserver) 2x neu Starten musste.
Mailserver (Exchange 2007 auf einem 2008 R2) wurde auch schon neu gestartet und ein /flushdns gemacht. Ich schau gleich noch die Logs an ggf. IIS Einstellungen?
Hat jemand einen Tipp? Ist der alte DC ggf. noch an einer Stelle drin wo ich ihn händisch abändern muss?
Danke schon mal und viele Grüße,
Ribiku
Nachtrag:
- wenn ich mich intern über https://namedesserver/autodiscover/autodiscover.xml über meinen Benutzer anmelde funktioniert es.
- OWA von extern funktioniert auch
Please also mark the comments that contributed to the solution of the article
Content-Key: 284053
Url: https://administrator.de/contentid/284053
Printed on: April 27, 2024 at 03:04 o'clock
10 Comments
Latest comment
Hallo,
also autodiscover muss auch ohne Hosteintrag in der etc/hosts laufen.
Wenn nicht ist Autodiscover falsch konfiguriert und es gibt Probleme.
War der exchange vor der Installation des 2012R2 auf aktuelles Patchlevel gebracht worden?
Es ist denkbar das der Exchange evrtl in seinen Netzeinstellungen den falschen DC als DNS Server drin hat.
Es kann sein das noch Einträge im DNS auf den alten DC verweisen, das muss sauber gemacht werden.
Normalerweise sollte die Eingabe des FQDN vom Exchange zu FQDN/owa führen.
Ich tippe mal auf unter anderem unsauberes DNS.
Gruß
Chonta
also autodiscover muss auch ohne Hosteintrag in der etc/hosts laufen.
Wenn nicht ist Autodiscover falsch konfiguriert und es gibt Probleme.
War der exchange vor der Installation des 2012R2 auf aktuelles Patchlevel gebracht worden?
Es ist denkbar das der Exchange evrtl in seinen Netzeinstellungen den falschen DC als DNS Server drin hat.
Es kann sein das noch Einträge im DNS auf den alten DC verweisen, das muss sauber gemacht werden.
Normalerweise sollte die Eingabe des FQDN vom Exchange zu FQDN/owa führen.
Ich tippe mal auf unter anderem unsauberes DNS.
Gruß
Chonta
Hallo,
Das macht nicht viel sinn....
Wenn mit dem alten alles läuft, dann hat etwas im DNS oder mit der Autentifizierung nicht hin. Auf dem 2012R2 hätte man mal ntlm2 erlauben können um zu sehen ob es dann geht.
401 kann durchaus bedeuten, das eine Autentifizierungsmethode verwendet wird die nicht vom DC akzeptiert wird.
Und alles geht über autodiscover, vor allem outlook.
Wie die Clients die Verbindung aufbauen bei denen es geht und bei denen es nicht geht hilft evtl der Hai.
Gruß
Chonta
alten DC wieder die Domänen Dienste installiert, neuen DC aus und alles läuft erstmal wieder.
Der alte war doch schon aus der Domäne raus? Und jetzt extra wieder riengenommen, repizieren lassen und dan den neune DC aus gemacht?Das macht nicht viel sinn....
Wenn mit dem alten alles läuft, dann hat etwas im DNS oder mit der Autentifizierung nicht hin. Auf dem 2012R2 hätte man mal ntlm2 erlauben können um zu sehen ob es dann geht.
401 kann durchaus bedeuten, das eine Autentifizierungsmethode verwendet wird die nicht vom DC akzeptiert wird.
Und alles geht über autodiscover, vor allem outlook.
Wie die Clients die Verbindung aufbauen bei denen es geht und bei denen es nicht geht hilft evtl der Hai.
Gruß
Chonta
Hallo,
Vorraussetzung alle wagen GC.
Evtl. unterstützen die Clients bei denen es geht auch einfach nur die geforderten Sicherheitsstandards (alle gleicher Patchstand?)
Und wie gesagt wenn Du bei irgendweclhen Rechnern mit der /etc/hosts arbeiten musst, dann ist was im DNS nicht sauber.
Gruß
Chonta
keine Möglichkeit gefunden, dem Exchange einen Server für die Authentifizierung mitzuteilen.
Das macht man auch nicht, wenn das DNS richtig funktioniert machen die das von selber.dass die Clients die liefen, sich an einem der anderen DC mit GC angemeldet hatten?
Wieviele DC hast Du denn? Sinn ist es das alle DC bis auf einen ausfallen und abfackeln können und trotzdem alles weiter läuft.Vorraussetzung alle wagen GC.
Evtl. unterstützen die Clients bei denen es geht auch einfach nur die geforderten Sicherheitsstandards (alle gleicher Patchstand?)
ntlm2 erlauben so finde.
Per GPO für den DC freischalten das der das animmt und auch sendet.Und wie gesagt wenn Du bei irgendweclhen Rechnern mit der /etc/hosts arbeiten musst, dann ist was im DNS nicht sauber.
Gruß
Chonta
Hallo,
wenn einige Clients normal gehen und andere nicht, dann muss es ja was am Client sein, "verstekcte Einstellungen" andere Konfiguration etc.
Und dann muss man die Clients untersuchen. Z.B. Wireshark mitschneiden beim Verbindungsaufbau.
Was für Ordner auf dem IIS gibt ist dem DC egal.
Wenn Du eine Lösung findest bin ich auf jedenfall an Ursache und der Lösung interessiert
Gruß
Chonta
wenn einige Clients normal gehen und andere nicht, dann muss es ja was am Client sein, "verstekcte Einstellungen" andere Konfiguration etc.
Und dann muss man die Clients untersuchen. Z.B. Wireshark mitschneiden beim Verbindungsaufbau.
Was für Ordner auf dem IIS gibt ist dem DC egal.
Wenn Du eine Lösung findest bin ich auf jedenfall an Ursache und der Lösung interessiert
Gruß
Chonta