ottscho
Goto Top

Exchange 2007 und Abwesenheitsassistent

Hallo zusammen,
ich bin in den letzetn Tagen dran, unseren neuen Exchange Server 2007 zum Laufen zu bekommen.
Es sind ein paar Test-Accounts angelegt und OWA funktioniert soweit auch. Es kommt nur eine Meldung mit ungültigem Zertifikat, aber wenn man dies trotzdem zulässt funktioniert es. Wird daran liegen, dass ich mich bis jetzt noch nicht um ein Zertifikat gekümmert habe.

Nun wollte ich den Abwesenheitsassisten aufrufen und es kommt die Meldung: "Ihre Abwesenheitseinstellungen können nichtangezeigt werden, da der Server zur Zeit nicht verfügbar ist. Versuchen Sie es später erneut."

Folgende Befehle habe ich nich in der Shell ausgeführt:

GET-AutodiscoverVirtualDirectory | fl
http://www.myimg.de/?img=bild1633b0.jpg

GET-WebServicesVirtualDirectory | fl
http://www.myimg.de/?img=bild2b2abe.jpg

Nun finde ich direkt kein Fehler bzw. weiß ich nicht was ich machen soll.
InternalUrl was stehen. Aber das tut es nicht!

Wenn ich unter OWA auf den Assistenten gehe, funtioniert es.

Danke für eure Hilfe
Gruß Ottscho

Content-ID: 93282

Url: https://administrator.de/forum/exchange-2007-und-abwesenheitsassistent-93282.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

schiffmeister
schiffmeister 31.07.2008 um 13:03:52 Uhr
Goto Top
Hi,

das wird was mit dem Zertifikat zutun haben! Ich hatte das gleiche Problem. Nur weis ich leider die Lösung nicht mehr.
Es hatte mit Zertifikat und daraus resultierenden Autodiscover Fehlern zu tun... *f#ck*...

Hast du Kopf wie Sieb, musst du notieren...

Guck mal nach folgenden Paramtern (bzw. such mal danach bei Google):
Set-OutlookProvider –id -Server myValueHere

If this value is set (and you never should), it will always override the automatically computed value for >the provider. If it’s EXCH, it will override the Exchange server that’s populated in your profile. If it’s EXPR, it will override the RPCProxy server pushed out by Autodiscover.

To fix it, unset it:

Set-OutlookProvider EXCH –Server $null
Set-OutlookProvider EXPR –Server $null

Ich hab das gerade noch mal in meinem Webprotokoll gefunden...

Vorher solltest du aber ein ordentliches Zertifikat erstellen! Auch mal mit Outlook 2007 (???) das autodiscover testen (Strg+rechte Maustaste auf das Outlook-Symbol neben der Uhr und "Email-Autokonfiguration testen).

[EDIT]
Folgende Seiten hab ich noch gefunden in meinem Protokoll zum Thema "Set-OutlookProvider":
http://scripte.hans-online.de/?p=72
http://forums.msexchange.org/m_1800413213/mpage_1/key_/tm.htm
http://forums.microsoft.com/TechNet/ShowPost.aspx?PostID=618809&Sit ...
ottscho
ottscho 31.07.2008 um 13:19:55 Uhr
Goto Top
danke für die hilfe.
der audiodiscover test funktioniert nicht!

nun werde ich mich wohl oder über mal durch die ganzen artikel durchlesen müssen face-sad
schiffmeister
schiffmeister 31.07.2008 um 14:15:52 Uhr
Goto Top
Erstell dir doch mal ein "persönliches" Zertifikat. Geht ganz einfach u ist schnell gemacht wenn deine PKI bereits vorhanden ist.

  1. Verwaltungskonsole von Exchange starten

[PS] C:\>New-ExchangeCertificate -generaterequest:1 -domainname domain.tld, autodiscover.domain.tld, servername, servername.domain.tld –IncludeAcceptedDomains -Privatekeyexportable:1 -path c:\certreq.txt

Die Zertifikatsanfrage wird nun erstellt und unter c:\certreq.txt abgespeicher

  1. Mit dem Browser auf dem Zertifikatsserver gehen (http://localhost/certsrv)
    1. Ein „Zertifikat anfordern“
    2. Anschließend „erweiterte Zertifikatanforderung“ auswählen
    3. Im nächsten Fenster „Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.“
    4. Hier in „Gespeicherte Anforderung“ den Inhalt von „c:\certreq.txt“ eingeben. Unter „Zertifikatsvorlage“ „Webserver“ auswählen. „Erstellen“ klicken und kurz warten.
    5. Dann das erstellte Zerti runterladen (egal welche Version DER encoded" oder "Base 64 encoded").
  2. In der Verwaltungskonsole dann
    1. [PS] C:\>Import-ExchangeCertificate -Path c:\certfile.cer | Enable-ExchangeCertificate -Services SMTP
    2. Falls für den IIS auch eins benötigt wird, den Fingerprint einfach enablen mit:
[PS] C:\>Enable-ExchangeCertificate -thumbprint 3A5F7EA071653C659930A85E06A7AD5AB42FD047 -services iis

  1. Fingerabdruck anzeigen lassen:
    Get-ExchangeCertificate |FL
ottscho
ottscho 31.07.2008 um 14:15:58 Uhr
Goto Top
so, habe mich nun durchgearbeitet und folgendes gemacht.

Create the AutoDiscover DNS Record

- Open the DNS Manager.
- Expand Forward Lookup Zones then expand domain.com
- Now right-click domain.com then select New Host(A)
- Type autodiscover and the IP Address of the E2K7 server, then click Add
- Click OK to close the dialog box then click Done.
- Close the DNS Manager.

Configure Exchange 2007 Server

- Switch to the e2k7 server.
- Open the Exchange Management Shell
- Now type Set-OutlookProvider –id exch –server:servername and then press Enter.

leider ohne erfolg. ich bekomme immer noch die meldung beim öffnen des assisten.

Get-OutlookProvider ergibt folgendes:
http://www.myimg.de/?img=bild3e6564.jpg
schiffmeister
schiffmeister 31.07.2008 um 14:19:50 Uhr
Goto Top
Ich habe bei dem Befehl folgende Ausgabe:

[PS] C:\>Get-OutlookProvider

Name                     Server                   CertPrincipalName        TTL
----                     ------                   -----------------        ---
EXCH                                                                       1
EXPR                                                                       1
WEB                                                                        1
ottscho
ottscho 31.07.2008 um 14:32:27 Uhr
Goto Top
Mit dem Browser auf dem Zertifikatsserver gehen (http://localhost/certsrv)

=> Seite muss über einen Sicherenkanal geöffnet werden

https://localhost/certsrv

=> Seite nicht gefunden. Im IIS gibt es auch keinen Ordner certsrv

ich habe keine PKI, würde daher gerne das mittgelieferte Zertifikate von Exchange nehmen.
Habe dies gemacht, so wie in der beschreibung:


- Option 1: Verwenden Sie das selbstsignierte SSL-Zertifikat, das Exchange 2007 standardmäßig installiert. Die Verwendung des selbstsignierten Zertifikats
Wenn Sie Option 1 wählen, lassen Sie die Schritte 2 und 3 aus, und fahren Sie direkt mit Schritt 4 fort.
Schritt 4: Schreiben Sie die Verwendung von SSL durch die virtuellen Clientzugriffsserver-Verzeichnisse vor.
Standardmäßig ist die Standardwebsite in IIS für das Vorschreiben von SSL für alle virtuellen Verzeichnisse mit Ausnahme des virtuellen Offlineadressbuch-Verzeichnisses konfiguriert. Jedoch können Sie für jedes ClientAccess-Feature zusätzliche virtuelle Verzeichnisse konfigurieren. Sie müssen bestätigen, dass SSL für jedes virtuelle Verzeichnis vorgeschrieben ist. Dies sind die virtuellen ClientAccess-Verzeichisse:
- Virtuelles Verzeichnis für Outlook Web Access 2007: 'owa'.
- Virtuelle Verzeichnisse für Outlook Web Access 2003 und WebDAV: 'exchange' und 'public'.
- Virtuelles Verzeichnis für Exchange ActiveSync: 'Microsoft-Server-ActiveSync'.
- Virtuelles Verzeichnis für Outlook Anywhere: 'Rpc'.
- Virtuelles Verzeichnis für die AutoErmittlung: 'Autodiscover'.
- Virtuelles Verzeichnis für die Exchange-Webdienste: 'EWS'.
- Virtuelles Verzeichnis für Unified Messaging: 'Unified Messaging'.
- Virtuelles Verzeichnis für das Offlineadressbuch: 'OAB'.
Öffnen Sie für jedes der virtuellen ClientAccess-Verzeichnisse oben, das Sie verwenden möchten, den IIS-Manager (Internet Information Services, Internetinformationsdienste), und führen Sie die folgenden Schritte aus:
1. Wählen Sie unter Standardwebsite das gewünschte virtuelle Verzeichnis aus, z. B. 'owa'.
2. Klicken Sie mit der rechten Maustaste auf das virtuelle Verzeichnis und dann auf 'Eigenschaften'.
3. Klicken Sie auf die Registerkarte 'Verzeichnissicherheit'.
4. Klicken Sie im Abschnitt 'Sichere Kommunikation' auf 'Bearbeiten'.
5. Vergewissern Sie sich, dass im Dialogfeld 'Sichere Kommunikation' sowohl das Kontrollkästchen 'Sicheren Kanal voraussetzen (SSL)' als auch das Kontrollkästchen '128-Bit-Verschlüsselung erfordern' aktiviert ist.
6. Klicken Sie auf 'OK', um die Änderungen zu speichern.
7. Starten Sie die POP3- und IMAP4-Dienste erneut, indem Sie das Windows-Verwaltungstool Dienste öffnen, 'Microsoft Exchange POP3' oder 'Microsoft Exchange IMAP4' auswählen, mit der rechten Maustaste auf den Namen des Diensts klicken und anschließend auf 'Neu starten' klicken. IIS muss nicht neu gestartet werden.
Weitere Informationen über SSL auf dem Clientzugriffsserver
- Verwalten der Clientzugriffssicherheit.
ottscho
ottscho 31.07.2008 um 14:36:15 Uhr
Goto Top
komisch, und bei dir gehts?
Das verwirrt mich total...
schiffmeister
schiffmeister 31.07.2008 um 15:55:01 Uhr
Goto Top
Ich war genauso verwirrt. (bin ich zwar immer, aber das tut hier nix zu Sache :-P )

Ich habe diese Einträge auch gemacht, gesehen das es nicht geht u wieder rückgängig gemacht.
Allerdings hatte ich vorher auch schon ein selbstgeneriertes Zertifikat und einen Serviceeintrag im DNS.
ottscho
ottscho 31.07.2008 um 16:58:50 Uhr
Goto Top
naja, ob ich nun ein selbstgeneriertes zertifkat nehme oder das beigelegt dürfte eig. keine rolle spielen. vllt meldet sich ja noch jmd anderst zu wort, wo alles auch durch machen musste...

ich bin mit meinem latein im moment am ende.
Newton
Newton 01.08.2008 um 12:11:56 Uhr
Goto Top
Hallo allerseits,
ich habe dieses Spielchen in meiner Firma auch schon hinter mir.
Zwei MVP's hatten wir hier, um das mit den Zertifikaten und Autodiscover hinzukriegen, der letztere war nach vier Stunden auch mit seinem Latein am Ende und öffnete einfach nen M$ Support Case... face-wink

Schließlich galt es, sich zwischen zwei Enden zu entscheiden :
Wir hatten mit dem Support-Menschen schließlich ein neues Zertifikat erzeugt (self-signed, also eigene CA), das sowohl server.domain.com als auch autodiscover.domain.com enthielt.
Resultat : Mit Outlook 07 alles paletti, Out-of-Office-Assistant und Resource Scheduling gingen jetzt - dafür wollten unsere S90-basierten Nokias nicht mehr sync'en, weil kein trusted-root-CA-Zertifikat vorgezeigt wurde, sondern etwas selbsterstelltes...

Also hieß es: Kommando zurück, die mobile Konnektivität hatte Vorrang, da hier vom Management ausgiebig genutzt, und somit wurde wieder aufs alte Zertifikat umgestellt... mit dem bekannten Resultat bei allen OUTLK 2007 Nutzern.... "Sync Error" (bei jedem ! MAPI-Fetch), Out-Of-Office nicht nutzbar und frei/gebucht (available/busy) nicht nutzbar...

Die einzige Lösung, wenn man ActiveSync braucht, ist ein kommerzielles Wildcard-Zertifikat, das die autodiscover-Domain im "SAN"-Feld mit beinhaltet, ausgestellt von einer bekannten root CA. GeoTrust, VeriSign, Thawte, usw... und das kostet jährlich mal eben doppelt soviel.

PS: Hat jemand von Euch mal mit der neuen libmapi.so gespielt und Evolution als Exchange-Client ans Laufen bekommen ?

Beste Grüße,
== Newton ==
schiffmeister
schiffmeister 02.08.2008 um 20:14:04 Uhr
Goto Top
Also ich würde es mal ausprobieren wenn du auf die von Newton genannten Einschränkungen verzichenten kannst, oder das Zertifikat von einem Trusted CA unterzeichnen lassen kannst.

Wie sieht denn das standard Zertifikat aus? Hat es den Eintrag für "autodiscover.domain.tld" z.B.?
Denn dies war auf unseren Exchange nämlich nicht so...
Newton
Newton 04.08.2008 um 10:14:31 Uhr
Goto Top
Leider nicht, das ist es ja.
Standard-Zertifikate sehen eben nur server.domain.tld als CN vor, und
keine weiteren (fully qualified) Names.
schiffmeister
schiffmeister 04.08.2008 um 10:33:34 Uhr
Goto Top
Dann versuch es doch mal mit einem
New-ExchangeCertificate -generaterequest:1 -domainname domain.tld, autodiscover.domain.tld, servername, servername.domain.tld –IncludeAcceptedDomains -Privatekeyexportable:1 -path c:\certreq.txt
Newton
Newton 04.08.2008 um 10:40:41 Uhr
Goto Top
Im Prinzip richtig, aber Exchange/Outlook wollen wohl partout alle weiteren Namen im "SAN"-Feld abgespeichert haben - ("Server Alternative Name") - und das war, soweit ich weiß, per CmdLet nicht möglich.
Ich lasse mich da aber gern eines besseren belehren...
SKU160974
SKU160974 02.06.2010 um 16:46:58 Uhr
Goto Top
Hallo Ottscho,

ist bei eurer Konfiguration ein Proxy-Server im Einsatz. welcher verschiedene Adressen sperrt?
Falls das der Fall sein sollte ist es notwendig, auf den Clients als Proxyausnahme den FQDN des Mailservers einzutragen, als https-Verbindung.
(https://"fqdn des mailservers"*)
Der Stern bewirkt ja, dass alle Unterseiten der Verbindung ebenfalls nicht über den Proxy laufen, was dringend nötig ist.

Auf dem Client, auf welchem der Abwesenheitsassistent nicht geht kann die Verbindung wie folgt getestet werden:

Im IE die Adresse: https://"fqdn des mailservers"/EWS/Exchange.asmx aufrufen.

Bekommt man die Meldung "Die Seite kann nicht angezeigt werden...." ist die Problemlösung die oben beschriebene Proxy-Ausnahme.
Bekommt man dagegen eine Anmeldemaske ist die Lösung leider an einer anderen Stelle zu suchen.