rolf14
Goto Top

Exchange 2013 für Clients in der Domain nicht zu finden

Hallo Freunde,

ich habe mal ein Problem.

Zur Gegebenheit:

1 Hardware Server mit Windows Server 2012 R2
2 Virtuelle Server mit Windows Server 2012 R2

1 VM ist der DC ( Name DC01 )
2 VM ist der Exchange 2013 Server ( Name FS01 )


Ich habe das Exchange 2013 installiert da ich mit PopCon arbeiten möchte/muss habe ich das Exchange an Hand dieser Anleitung eingerichtet:

http://www.servolutions.de/support/installexchg2013.htm

Nun bin ich dabei die Clients in die Domain aufzunehmen. Das klappt auch ohne Probleme. Wenn ich nun aber die Exchange Konten im Outlook einbinden möchte gibt es Probleme.
Anhand von Autodiscover ( nehme ich an ) werden, bei der Einrichtung die richtigen Daten ( Benutzer und passende E-Mail Adresse ) eingetragen.


Ich bestätige diese Infos und er fängt an sich zu verbinden. Als erstes kommt das Zertifikat.

93405546df3a2ef1d4c938f787b28396

Dieses installiere ich dann auch in den Ordern der vertrauenswürdigen Stammzertifizierungsstellen.

ab7ab29299f6234a4e421cdbb91b161a

Dann folgt diese Meldung

bdf92dad2eae6ea06f6222eaa12b1910

Nun geht es weiter.

b386fc57f31f069eb9014fc5bf5026d0

Dieses Bild steht jetzt etwa 5 Minuten und bricht dann mit dem Fehler ab das kein Microsoft Exchange Server zur Verfügung steht.

OWA funktioniert aber. Die beiden Punkte in dem letzten Screenshot zeigen ja auch das er nen Exchange gefunden hat oder nicht?
Da es sich hierbei um meinen ersten Exchange 2013 handelt denke ich mal das ich vielleicht irgendwo was vergessen oder falsch gemacht habe. Windows Firewall´s habe ich testweise auch ausgeschaltet und ein Virenschutz ist auf dem System auch noch nicht installiert.
Ich weiß leider nicht weiter, vielleicht habt ihr ja einen Hinweis für mich und könnt mir helfen.

Würde mich freuen.
Kommentar vom Moderator Dani am 30.12.2014 um 17:03:17 Uhr
Screenshots aus Datenschutzgründen angepasst.

Content-ID: 258693

Url: https://administrator.de/forum/exchange-2013-fuer-clients-in-der-domain-nicht-zu-finden-258693.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Dani
Dani 30.12.2014 aktualisiert um 12:34:07 Uhr
Goto Top
Moin,
kontrollier bitte ob Autodiscover richtig konfiguriert ist. Hier noch eine kl. Hilfestellung aus dem Technet.
Auf dem Exchange die neustens CU-Packs installiert?
Welche Outlookversion wird eingesetzt?


Gruß,
Dani
Rolf14
Rolf14 30.12.2014 um 12:36:39 Uhr
Goto Top
Hallo Dani,

Outlook´s sind 2007 und 2010 im Einsatz.
Wie finde ich raus welche CU Packs installiert sind?
Dani
Dani 30.12.2014 um 12:43:05 Uhr
Goto Top
Hallo @rolf-hanka.itd,
Wie finde ich raus welche CU Packs installiert sind?
Steht alles hier.


Gruß,
Dani
Rolf14
Rolf14 30.12.2014 aktualisiert um 12:50:02 Uhr
Goto Top
Ok danke,

demnach habe ich Exchange Server 2013 Service Pack 1 (SP1 aka CU4)

Kann ich dann einfach das letzte Update laden und installieren? Oder muss ich jedes zwischen Update mitnehmen?
Dani
Dani 30.12.2014 um 12:54:10 Uhr
Goto Top
Kann ich dann einfach das letzte Update laden und installieren? Oder muss ich jedes zwischen Update mitnehmen?
Du kannst direkt die neuste Version (ca. 1,7GB) installieren. Es handelt sich bei den CU's um Vollinstallationen.


Gruß,
Dani
Rolf14
Rolf14 30.12.2014 um 12:55:00 Uhr
Goto Top
Ok und dann einfach drüber laufen lassen ja?

An sich wird das aber sicher nicht mein Problem lösen oder?
Dani
Dani 30.12.2014 um 13:00:15 Uhr
Goto Top
An sich wird das aber sicher nicht mein Problem lösen oder?
Ich habe keine Glaskugel auf dem Schreibtisch stehen. Wenn du von den einzelnen CUs das Release Notes liest, läuft's dir kalt den Rücken runter. Daher erstmal von allen beteiligen Softwares die SP/CU installieren.


Gruß,
Dani
Rolf14
Rolf14 30.12.2014 um 13:07:40 Uhr
Goto Top
face-big-smile Ok wird gemacht
06Down
06Down 30.12.2014 um 14:36:53 Uhr
Goto Top
Hi,

zu Deiner Zertifikatsmeldung ist folgender Link sehr hilfreich:
http://www.icomundo.de/selbstsigniertes-zertifikat-per-gruppenrichtlini ...

Nachdem Du die Verteilung des Zertifikats per GPO eingerichtet hast würde ich noch sicherstellen, dass alle 2007er Outlooks mit SP3 versorgt sind, sonst könnte es auch hier Probleme geben. Siehe:
http://social.technet.microsoft.com/wiki/contents/articles/845.outlook- ...

Viele Grüße
Jens
Rolf14
Rolf14 30.12.2014 um 16:52:34 Uhr
Goto Top
@Dani:

CU7 ist nun installiert und der Fehler ist leider der selbe. Kannst du mir vielleicht weiter helfen bei dem Problem?

In deinem Technet Link steht das ich die URL einstellen soll, diese sind standardmäßig schon auf den Servernamen gesetzt, ich würde denken das ist so richtig.

@Jens: Testen tue ich bis jetzt gerade nur mit Outlook 2010. Das mit der Zertifikaten könnte man wirklich verteilen lassen, danke für den Tipp.
Das löst jedoch leider nicht mein Problem. Hast du dafür vielleicht noch nen Tipp für mich?

Beste Grüße
Dani
Dani 30.12.2014 aktualisiert um 17:00:56 Uhr
Goto Top
In deinem Technet Link steht das ich die URL einstellen soll
Welche, die Interne oder Externe URL? Intern müsste so aussehen: autodiscover.fqdn.local
Der SRV-Eintrag im DNS-Server deines DCs ist sauber gesetzt und ist identisch mit der internen URL.


Gruß,
Dani

P.S. Besteht die Chance Frau Tille kennenzulernen, wenn das Problem gelöst ist?
Rolf14
Rolf14 30.12.2014 um 18:55:35 Uhr
Goto Top
Ich meine die internen URL und nein so sieht er nicht aus.

8461b310b5678952905e303d0df6469f

Bei Autodiscover steht gar nichts von intern.

66a249722f115ce8b90ba712f81f7743

ee40528286d7ce20ccb6c55037ffccd8

Das steht bei Active Synch

828766f4fb30f03f2173527ed6178e9b

Und so sieht es im DNS aus:

ab41c12efeb03d242ffd4d9e430a40f5

Muss ich da noch was machen? Kannst du mir erklären was?
Dani
Dani 30.12.2014 um 19:05:10 Uhr
Goto Top
Vergiss die Weboberfläche. Dort ist längst nicht mehr alles konfigurierbar!
Hier eine kurze Anleitung was zu tun ist, wenn du Autodiscover über DNS betreiben möchtest.

Die Internet und Externe Adresse findest du mit Hilfe der Powershell heraus:
Get-AutodiscoverVirtualDirectory -server EXCHANGE 
EXCHANGE ersetzt du durch deinen Exchange-Servernamen.


Gruß,
Dani
Rolf14
Rolf14 30.12.2014 aktualisiert um 20:41:04 Uhr
Goto Top
Bei dem Befehl sehe ich nun das

c404f73dedd0762e0edd07ea7a62b473

heißt ja das noch gar keine interneURL angelegt ist. Wie kann ich diese anlegen und wie muss die genau aussehen?

Im DNS habe ich nun eine weitere Zone mit domain.de angelegt und hier einen srv Eintrag erstellt diesen lasse ich auf host "fs01.domain.local" zeigen ist das richtig?

Gruß
Dani
Dani 30.12.2014 um 22:29:29 Uhr
Goto Top
Im DNS habe ich nun eine weitere Zone mit domain.de angelegt und hier einen srv Eintrag erstellt diesen lasse ich auf host "fs01.domain.local" zeigen ist das richtig?
Keine weitere Zone, bitte schnell wieder löschen! In deine vorhandenen Zone den Eintrag entsprechend anlegen.

Wie kann ich diese anlegen und wie muss die genau aussehen?
Zum Beispiel:
Set-ClientAccessServer fs01 -AutodiscoverServiceInternalUri https://mailserver.deine-domäne.local/Autodiscover/Autodiscover.xml

Gruß,
Dani
06Down
06Down 30.12.2014 um 22:55:10 Uhr
Goto Top
Hi,

auch für Outlook 2010 wird SP1 benötigt face-wink
Hast Du mal versucht Outlook manuell ohne Autodiscover einzurichten?
Der Login via OWA für den User unter dem Du Outlook konfigurieren willst funktioniert tadellos? Laut Screenshot bleibt die Outlookeinrichtung ja bei der Anmeldung am Server hängen...

Bei der manuelle Konfiguration kannst Du Dich nach folgender Anleitung richten (Ab Schritt 4):
https://hilfe-center.1und1.de/e-mail-und-office-c82645/microsoft-exchang ...

Als Servernamen trägst Du natürlich immer FS01.DeineDomain.local ein.

Viele Grüße
Jens
Rolf14
Rolf14 30.12.2014 um 23:18:02 Uhr
Goto Top
Also so?

bb96e7c60229426f96b14fab64bbbc75

In der vorhandenen Zone als SRV Eintrag.

Der Befehl wird ohne Rückmeldung erledigt oder nicht.
Wenn ich mir dann wieder den Eintrag anzeigen lasse dann steht bei der internalURL noch nichts. Muss ich dafür noch etwas neu starten?
Rolf14
Rolf14 30.12.2014 um 23:20:10 Uhr
Goto Top
Hallo Jens,

Ja er bleibt bei der Anmeldung hängen. Manuell geht es leider auch nicht.

Ich bekomme das Postfach eingebunden wenn ich unter den erweiterten Einstellungen bei Verbindungen die Verbindung über HTTP einstelle und als Proxie den FQDN des Exchange einstelle. Dann geht es, wenn ich dann allerdings das Outlook wieder neu starte verbindet er sich nicht mehr mit dem Outlook.
Dani
Dani 30.12.2014 um 23:22:17 Uhr
Goto Top
In der vorhandenen Zone als SRV Eintrag.
Heißt dein Exchangeserver "fs" oder fs01"?
Hast du DC und Exchange auf einer Maschine?
Rolf14
Rolf14 30.12.2014 um 23:30:31 Uhr
Goto Top
Oh danke!!!!

Flüchtigkeitsfehler zu der Uhrzeit.

Der DC befindet sich auch dc01 ( eine VM mit Windows Server 2012R2 )
Und der Exchange befindet sich auf fs01 ( eine VM mit Windows Server 2012R2 )
Dani
Dani 31.12.2014 um 02:00:30 Uhr
Goto Top
Wenn der DNS-Eintrag gesetzt ist und die interne URL per Powershell konfiguriet ist, versuch dein Glück nochmals.
Windows und Office Patches alle installiert?

Gruß,
Dani
06Down
06Down 31.12.2014 um 09:24:29 Uhr
Goto Top
Hi,

Kannst Du mir noch sagen welche Dienste an das Zertifikat gebunden sind? Der IIS muss daran gebunden sein.

Gruß Jens
Rolf14
Rolf14 31.12.2014 um 10:28:24 Uhr
Goto Top
@Dani:

Ja den DNS Eintrag habe ich jetzt wie gesagt gesetzt.

Die Frage ist nur ob es richtig ist das ich bei Host jetzt den FQDN eingetragen habe des Exchange Servers.

Wegen der internen URL.
Wie gesagt wenn ich deinen Befehl abschicke kommt kein Feedback und wenn ich die Abfrage erneut machen bleibt es bei dem Bild

c404f73dedd0762e0edd07ea7a62b473

Die Frage ist muss ich dafür noch irgendetwas bestimmtes neu starten?

LG und guten Rutsch face-smile

@Jens:

Du meinst sicher das hier:

9b433f2a56717099bb3268af683281bf

f27cfe577d02d89ada1a658238d4e131

Das war alles so gesetzt, daran habe ich nichts geändert. Ist das so ok?

Gruß und auch dir einen guten Rutsch face-smile
06Down
06Down 31.12.2014 um 10:54:41 Uhr
Goto Top
Hi,

ja, genau das meinte ich.
Also bei mir ist es so konfiguriert, dass der Dienst IIS nur einmal gebunden ist. Das Zertifikat an den der Dienst IIS gebunden ist, habe ich per GPO verteilt.
an das Zertifiakt "Microsoft Exchange Server Auth Certificate" ist bei mir nur SMTP gebunden.

Ich würde das Zertifikat "Microsoft Exchange" mal neu erstellen. Im Screenshot steht dort bei Aussteller lediglich FS01.
Der FQDN lautet aber FS01.DeineDomain.local. Beim Erstellen weist du einfach die gleichen Dienste (IIS, SMTP, POP, IMAP) zu und wählst im Schritt vorher alle internen und externen URLs aus, die über das Zertifikat abgedeckt werden sollen. Danach exportierst Du das Zertifikat über die MMC (wie in der Anleitung die ich verlinkt habe beschrieben) und installierst es am Client in den Ordner "Vertrauenswürdige Stammzertifizierungsstellen". Erst danach erstellst Du ein neues Outlook Profil. Das alte vorher am besten nochmal löschen.

Viel Glück und Dir auch einen guten Rutsch,
Jens
Dani
Dani 31.12.2014 um 12:23:16 Uhr
Goto Top
Mein Fehler... so sollte funktionieren:
Set-ClientAccessServer -Identity "fs01" -AutoDiscoverServiceInternalUri "https://mailserver.deine-domäne.local/Autodiscover/Autodiscover.xml" -AutoDiscoverSiteScope "Mail"  
Quelle: http://technet.microsoft.com/en-us/library/bb125157%28v=exchg.150%29.as ...


Gruß,
Dani
colinardo
colinardo 31.12.2014 aktualisiert um 12:35:13 Uhr
Goto Top
Aber dann bitte nicht nur einseitig die URLs ändern sondern besser gleich alle auf die richtigen Werte setzen face-wink
Powershell-Script: Konfigurieren der internen und externen URLs von Exchange Server 2013

Dann kommen hinterher keine Tränen wenn
wieder was nicht so läuft wie man es sich vorgestellt hat.

Grüße Uwe
Rolf14
Rolf14 01.01.2015 um 20:29:59 Uhr
Goto Top
Ich habe nun das Skript von colinardo ausgeführt.
Der SRV Eintrag existiert nun auch.

Leider alles ohne erfolg. Die Clients finden den Exchange noch immer nicht. Habt ihr vielleicht noch einen Tipp?
06Down
06Down 01.01.2015 um 20:35:09 Uhr
Goto Top
Das neue Zertifikat wäre doch einen Versuch wert oder? Dauert doch nicht lange face-wink
Rolf14
Rolf14 01.01.2015 um 20:38:16 Uhr
Goto Top
Klar, aber ich dachte das wäre nur ne Schönheitssache. Kann das mein Problem verursachen?

Hier mal nen nslookup vom client. Sieht soweit doch gut aus oder?

d368cb16afbc61c4f6e8e8fcf22de1e7
colinardo
colinardo 01.01.2015 aktualisiert um 21:37:14 Uhr
Goto Top
Klar, aber ich dachte das wäre nur ne Schönheitssache. Kann das mein Problem verursachen?
Nix nur Schönheitssache, das kann einen erfolgreichen Verbindungsaufbau verhindern, also als erstes beheben!

Dann in Outlook STRG + Rechtsklick auf das Icon im Tray und Verbindungsstatus wählen. Dort lässt sich auch ein Autodiscover-Test anstoßen. Die Ausgabe hier mal bitte Posten ...
http://www.puryear-it.com/blog/2013/03/19/how-to-test-autodiscover-with ...

Und alle Maschinen und Server einmal durchstarten und die DNS-Caches auf den Clients und den des Servers(dnscmd /clearcache) leeren !
Rolf14
Rolf14 01.01.2015 um 22:22:49 Uhr
Goto Top
Auch mit dem neuen Zertifikat funktioniert es leider nicht. Ich habe alle Server und den Client neu gestartet, alle DNS Caches geleert.
Via nslookup löst er den autodiscover richtig auf.
Bei dem Verbindungstest über Outlook kommt folgender Fehler:

ba1b3329e50e90be041a73c284997422

eb4c092168a6831442a49beea711024f

Sagt euch das was?

Jetzt wo ich das alles geändert und ausprobiert habe startet das ECP auch nicht mehr. Die Anmeldung kommt und wird auch angenommen, nur dann bleibt die Browser-Seite weiß.
colinardo
colinardo 02.01.2015 aktualisiert um 00:35:06 Uhr
Goto Top
Jetzt wo ich das alles geändert und ausprobiert habe startet das ECP auch nicht mehr.
also kaputt"probiert" .... da du mir schon via PM das falsche CMDLet präsentiert hast kann ich nur mutmaßen das du auch mit Set-AutoDiscoverVirtualDirectory im IIS herumgepfuscht hast und den Link zum virtuellen Verzeichnis verstellt hast. Deswegen auch die HTTP-ErrorCodes 401 und 503.

Der Fehler mit einer weißen ECP kommt meistens
auch wenn man die Zertifikate in der ECP falsch ändert.
Dazu findest du auch jede Menge Beiträge im
Web
http://www.google.de/search?q=exchange+white+ecp

Also starte mal clean und lese dich vorher nochmal intensiv in die Materie Exchange ein. Das ist halt ein System was man nicht mal eben so auf die Schnelle hopplahopp einrichtet.

Diese Anleitungen schön und gut, aber die verschweigen halt eine Menge Hintergrundwissen, die für einen reibungslosen Betrieb unbedingt vorhanden sein sollten. Deswegen halte dich besser von Anfang an gleich an die Technet- oder MS-Doku zur Einrichtung, dann bekommst du auch gleich mehr Hintergrundinformationen geliefert.

Die Leute die mit diesen Problemen hier ankommen haben sich
meistens an solche simplen Anleitungen gehalten und stoßen deswegen schon bei kleinen Probleme an Ihre Grenzen. Deswegen besser gleich von Anfang an tief in die Materie einsteigen, auch wenns weh tut ... der Lerneffekt ist einfach viel größer als sich nur nach Bildchen zu orientieren!

Sorry wenn das hart klingen mag, aber so ist nun mal die Realität.

Grüße Uwe
06Down
06Down 02.01.2015 um 09:39:49 Uhr
Goto Top
Hey,

vermutlich ist es wirklich leichter nochmal komplett bei Null zu beginnen.
Aber bei Deinen VMs und der Snapshot-Funktion dürfte das wohl relativ schnell gehen (sofern du von der grünen Wiese Snapshots erstellt hast).

Bzgl. DNS Einträge und Zertifikat kann Dir noch folgender Artikel helfen:
http://www.johnlose.de/2014/03/exchange-200720102013-und-interne-hostna ...

Ist insofern interessant, da in SAN Zertifikaten keine internen Servernamen mehr auftauchen dürfen.

Viel Erfolg!
Jens
Rolf14
Rolf14 02.01.2015 um 09:46:02 Uhr
Goto Top
Ja da hast du wohl komplett recht.

Ich bin nun auch gerade dabei. Habe den Server neu aufgesetzt und anhand des Technets gehe ich nun alles genau durch.

Leider habe ich jetzt bei der Installation einen Fehler:

faf09e54b63d0d332ff999d553e6a0de

Es liegt daran das im AD (das habe ich nicht bzw. kann ich nicht neu aufsetzten) noch steht das es einen Exchange gibt.

Ich habe alle Schritte für das vorbereiten der AD ausgeführt ( wie hier beschrieben http://technet.microsoft.com/de-DE/library/bb125224(v=exchg.150).aspx )
Das habe ich vorher nicht gewusst und nicht gemacht ( Soviel zu den schlechten Anleitungen )

Zu meinem Fehler habe ich nun folgendes gefunden.

http://technet.microsoft.com/de-de/library/cc411332(v=exchg.80).aspx

Nun allerdings doch eine Frage, könnt ihr mir sagen was ich genau wie löschen muss? Wenn ich mir den ADSI Editor öffne sehe ich die gesamte Domain.

85fbf41fe4dc1dd3c40aec00cee64250

Ich will nun natürlich nichts falsch machen oder etwas falsches löschen. Die Vorbereitungen für das AD kann ich ja noch einmal machen, das ist nicht das Problem. Aber was muss weg damit die Installation klappt?

Einfach beide Einträge von Microsoft Exchange?
Rolf14
Rolf14 02.01.2015 um 09:59:14 Uhr
Goto Top
Ah ich hab es, war ja in der ganz falschen "Ebene".
06Down
06Down 02.01.2015 um 10:01:39 Uhr
Goto Top
Hey,

schau Dir mal folgenden Beitrag aus dem Forum an:
Exchange 2013 aus dem Active Directory löschen

Gruß Jens
Rolf14
Rolf14 02.01.2015 um 11:46:05 Uhr
Goto Top
Mach ich danke.
Rolf14
Rolf14 02.01.2015 aktualisiert um 23:49:47 Uhr
Goto Top
Und weiter geht es.

Ich habe den Server nun noch einmal neu aufgesetzt. Ich habe vorher aus dem AD alles von dem alten Exchange Server entfernt.
Nun bin ich anhand des Technet´s ( http://technet.microsoft.com/de-de/library/aa998636(v=exchg.150).aspx ) alles Punkt für Punkt durchgegangen.

Bin jetzt gerade wieder vor dem Punkt der URL´s und des Zertifikates.
Nun habe ich dir frage was ich als erstes einstellen sollte? Als erstes Anhand dieses Skriptes die URL´s oder erst ein neues selbstsigniertes Zertifikat? Also was ist der nächste Schritt um das Rad zum laufen zu bewegen?

Etwas habe ich gerade zusätzlich festgestellt und ich hoffe das ist kein Problem. Die User haben sich wohl vom AD in das Exchange eingetragen und bei jedem User kommt diese Meldung. Muss ich etwas tun?

0e22bd700f02428b14c2c8cc7ed08cc9
06Down
Lösung 06Down 02.01.2015, aktualisiert am 05.01.2015 um 20:54:14 Uhr
Goto Top
Hi,

Lösung des Problems Deiner Fehlermeldung:
http://der-windi.de/index.php/database-ist-fuer-usermailbox-verbindlich ...

Bevor Du jetzt aber wieder loslegst mach am besten einen Snapshot Deiner VM.

Da Du den DC nicht neu installiert hast musst Du erstmal alle DNS Änderungen rückgängig machen. Danach würde ich wieder alles laut Servolution Anleitung ausführen (vor allem wegen der akzeptierten Domänen). Anschließend Zertifikat neu erstellen, exportieren und bei den Clients ins richtige Verzeichnis importieren. An den URLs würde ich bis dahin noch nichts ändern.

Nach der Neuerstellung des Zertifikates den Server mal durchstarten. Wenn alles richtig eingestellt wurde sollte ECP weiterhin funktionieren. Die Outlook Verbindung ebenso.

EDIT: Der Name Deiner Domäne ist im Screenshot sichtbar face-wink

Viel Erfolg
Jens
Rolf14
Rolf14 02.01.2015 aktualisiert um 23:50:48 Uhr
Goto Top
Super danke dein Link war erfolgreich!

Das Zertifikat sollte ich also in jedem Fall neu erstellen und muss ich das jetzige danach löschen?
Wird das neue Zertifikat dann automatisch aktiviert und gebunden?

Mein Microsoft Exchange Zertifikat sieht gerade so aus:

cc01d45ef4936ea8da08c020411f446f
Rolf14
Rolf14 03.01.2015 um 01:01:24 Uhr
Goto Top
Jetzt habe ich das Zertifikat neu erstellt und via GPO verteilen lassen.

Leider ohne Erfolg. Bei dem Verbindungstest vom Outlook kommt nun folgendes:

d46e0083797fc7fb2defbafc9aad33fe
Dani
Dani 03.01.2015 um 01:34:29 Uhr
Goto Top
kannst du die erste URL-Adresse aus dem Screenshot im Browser überhaupt aufrufen? Falls nach Benutzername und Passwort gefragt wird, einen Benutzer mit einem E-Mailpostfach angeben.


Gruß,
Dani
06Down
06Down 03.01.2015 aktualisiert um 07:21:22 Uhr
Goto Top
Hi,

hast Du alle DNS Änderungen rückgängig gemacht, die Du vorher erstellt hattest?
Sieht für mich nicht so aus, denn woher kommt die *.de/autodiscover/autodiscover.xml wenn du via ECP oder CMDlet noch keine externe URL angegeben hast? Geht ECP und OWA noch?

Sofern das neue Zertifikat richtig ausgestellt wurde, kannst Du das alte löschen.
Die gebundenen Dienste musst Du selbst anpassen.

Gruß
Jens
Rolf14
Rolf14 03.01.2015 um 10:42:21 Uhr
Goto Top
Ja habe ich, habe danach den SRV Eintrag für das Autodiscover aber wieder neu gesetzt. Den brauch ich doch auf jeden fall um im AD zu sagen wo das autodiscover zu finden ist oder etwa nicht?

OWA und das ECP funktionieren einwandfrei.

Bei dem neue Zertifikat habe ich nun POP, IMAP, SMTP und IIS ausgewählt. Und das alter Zertifikat habe ich gelöscht.
colinardo
colinardo 03.01.2015 aktualisiert um 10:58:15 Uhr
Goto Top
Ich vermute mal er hat nach dem Entfernen des Exchange im IIS noch alte Leichen und Einstellungen liegen, den IIS hättest du ebenfalls entfernen sollen, nach deiner Vorgeschichte. Der Service Connection Point liefert ja die richtige URL nur antwortet der IIS eben nicht (httpStatus=0).
Überprüfe auch in im IIS das richtige Zertifikat gebunden ist.
Eventuell eingetragene externe URLs sollten natürlich erreichbar sein, wenn man sie denn einträgt (Thema: Split-DNS).
A-Eintrag für Mailserver und Autodiscover anlegen und SRV-Eintrag anlegen.
Zertifikat mit allen benutzten Domains(autodiscover.xxx.local,xxx.local,owa.xxx.local, etc.) anlegen, importieren und den Diensten zuweisen(überschreiben). Zertifikat bzw. die Root-CA auf den Clients in den Computerstore importieren. Alle URLs entsprechend dem Script anpassen und schon passt das ganze.

Grüße Uwe

p.s. und dem DNS Cache auf dem Client löschen
Rolf14
Rolf14 03.01.2015 um 11:06:20 Uhr
Goto Top
Hallo Uwe,
ich habe den ganzen Server neu aufgesetzt, somit auch den IIS.

Im IIS ist bei Default Web Site das richtige Zertifikat gebunden. Bei der Exchange Back End Seite ist keine Bindung vorhanden ist das so richtig?

Der A Eintrag für fs01 besteht und den SRV Eintrag für _autodiscover habe ich auch angelegt. Du schreibst
"A-Eintrag für Mailserver und Autodiscover anlegen und SRV-Eintrag anlegen."
habe ich noch etwas vergessen?

Den Rest habe ich soweit gemacht, außer das mit den URL´s. Muss ich dein Skript ausführen damit der Exchange von den Clients erreicht werden kann?

LG
colinardo
colinardo 03.01.2015 aktualisiert um 11:18:28 Uhr
Goto Top
Zitat von @Rolf14:

Im IIS ist bei Default Web Site das richtige Zertifikat gebunden. Bei der Exchange Back End Seite ist keine Bindung vorhanden ist
das so richtig?
Müsste stimmen, kanns aber gerade nicht verifizieren, sitze bei Schneetreiben im Auto (Stau) face-wink
Der A Eintrag für fs01 besteht und den SRV Eintrag für _autodiscover habe ich auch angelegt. Du schreibst
"A-Eintrag für Mailserver und Autodiscover anlegen und SRV-Eintrag anlegen."
habe ich noch etwas vergessen?
einen A-Eintrag für autodiscover kannst du auch noch anlegen.
Den Rest habe ich soweit gemacht, außer das mit den URL´s. Muss ich dein Skript ausführen damit der Exchange von
den Clients erreicht werden kann?
Zumindest die URLs die via Set-ClientAccessServer festgelegt werden sollten stimmen, aber wenn du sowieso schon dabei bist setzte sie gleich alle korrekt.

und ab und zu Server mal neu starten.
Rolf14
Rolf14 03.01.2015 um 11:30:46 Uhr
Goto Top
Zitat von @colinardo:

Müsste stimmen, kanns aber gerade nicht verifizieren, sitze bei Schneetreiben im Auto (Stau) face-wink

Oh dann hoffe ich für dich das es bald weiter geht und du nicht zu lange fest steckst!

Bei dem Outlook Test sieht es jetzt so aus

76c6ececc3808d14c4769a696e7e2504

Ok dann lasse ich jetzt mal dein Skript drüber laufen. Ansonsten sieht es ja soweit schon ganz gut aus. Das Postfach bekomme ich jedoch immer noch nicht eingebunden, immer noch die gleiche Meldung das der Client den Exchange Server nicht finden kann.
Rolf14
Rolf14 03.01.2015 um 11:53:43 Uhr
Goto Top
Ich habe nun das Skript ausgeführt.

Nun scheint es wieder größere Probleme zu geben:

af53c4ab67fdcc3702d381565650cdfa
8a398dfee6c6df5c6fe8bd5f02f385c9
Rolf14
Rolf14 03.01.2015 um 12:02:52 Uhr
Goto Top
Das ECP bleibt nun auch wieder weiß nach dem aufführen des Skripts und nach einem Neustart des Servers.
In die Management Console komme ich auch nicht mehr rein, folgender Fehler tritt dabei auf.

dd0591767cacbdc9fb2e731f64075a90
Rolf14
Rolf14 03.01.2015 um 13:40:14 Uhr
Goto Top
Dank eines Snapshots konnte ich nochmal zurück gehen.

Ich habe nun als erstes mal dein Skript ausgeführt. Dieses lauft auch ohne Probleme durch und nach einem Neustart ist auch alles soweit gut (Außer die Verbindung vom Client)
Dann habe ich ein neues Zertifikat erstellt, dieses exportiert und via GPO verteilen lassen. Dann wieder Neustart und siehe da das ECP und die Management Konsole gehen nicht mehr.

Ich muss also beim Zertifikat etwas falsch machen aber was?

Ich habe bei dem Zertifikat den Weg des selbstsigniertes Zertifikats gewählt. Dann habe ich den Server hinzugefügt und die URL´s mit den DNS Namen schlägt er automatisch vor. Dabei habe ich es auch belassen und das Zertifikat erstellt.

Was könnte ich falsch machen?
colinardo
colinardo 03.01.2015 aktualisiert um 15:47:07 Uhr
Goto Top
Also, wenn du den Weg eines selbstsignierten Zertifikates gegangen bist, stelle erst mal sicher das diesem Zertifikat der Server selber vertraut indem du es bei Bedarf in die vertrauenswürdigen Stammzertifizierungsstellen (Computerkonto) importierst. Dem Zertifikat die Dienste zugewiesen hast du hoffentlich, und das alte Zertifikat gelöscht. Dann wie gehabt das Zertifikat auf die Clients gepusht (wieder in den Computerzertifikatsstore).
Stelle sicher das im IIS das richtige Zertifikat an Port 443 gebunden ist, sowohl bei den Einträgen unter 127.0.0.1 also auch bei der Bindung an [*]. Überprüfe mit dem Aufruf der ECP oder OWA, das das richtige (und nicht mehr das alte) Zertifikat ausgeliefert wird (Schlosssymbol > Zertifikat anzeigen lassen / Bitte genau prüfen !!), und kein Zertifikatsfehler auftritt.
Wenn jetzt alle DNS-Einträge vorhanden sind und die URLs alle stimmen solltest du keine Probleme mehr mit Outlook bekommen.
Wenn es noch immer nicht läuft, machst du grundlegend etwas falsch was wir hier nicht sehen können. Dann würde ich mal sagen TeamViewer-Meeting wo ich dir das anhand einer Test-VM mal zeige.

Grüße Uwe
Rolf14
Rolf14 03.01.2015 um 16:43:01 Uhr
Goto Top
Das Zertifikat ist bei dem Server selber bei vertrauenswürdigen Stammzertifizierungsstellen (Computerkonto) eingetragen.

Dem Zertifikat habe ich die Dienste POP,IMAP,SMTP und IIS zugewiesen. Das "alte" Zertifikat habe ich gelöscht.

Im IIS ist der Zertifikat an die Default Web Site gebunden.

dfe2593253becbbb9bee4bc206926f22

0387f3b3103ef21236a0fc54cdd5a0a9

An die Exchange Back End Seite nicht.

b2cb03e02af19e3f76d24c52e947d6af

Das Zertifikat habe ich beim Aufruf vom ECP überprüft und es ist das neu erstellte Zertifikat. Das Schlosssymbol ist auch geschlossen und alles scheint ok.
Die Seite bleibt jedoch weiß und die Management Konsole bringt den Fehler:

dd0591767cacbdc9fb2e731f64075a90

Das Angebot mit dem Meeting nehme ich sehr dankend an. Anscheinend mache ich wie du schon gesagt hast etwas grundlegendes falsch.
06Down
06Down 05.01.2015 um 11:52:00 Uhr
Goto Top
Hallo,

gibt es noch etwas neues zu berichten?
Ich wäre an dem Problem schon interessiert.

Gruß Jens
Rolf14
Rolf14 05.01.2015 um 12:16:32 Uhr
Goto Top
Hallo,
an dem Probelm hat sich noch nichts geändert. Colinardo schaut heute vielleicht mit drüber.

Und ich bin auch gerade noch bei. Sobald ich die Lösung habe melde ich mich.

Lg
colinardo
Lösung colinardo 05.01.2015 aktualisiert um 20:53:24 Uhr
Goto Top
Ach ich Depp ... hatte ich total übersehen bzw. noch nicht nachgeschaut... Weise der Backendseite auf Port 444 auch das selbst signierte Zertifikat zu.... dann sollte es laufen. Das verhindert sonst nämlich ein erfolgreiches Verbinden der Clients mit einem EX2013, habe das gerade testweise noch mal nachgestellt.

Grüße Uwe
Rolf14
Rolf14 05.01.2015 um 16:46:09 Uhr
Goto Top
Naja ich hätte es auch einfach mal ausprobieren können, als ich vor ein paar Kommentaren gefragt hatte.

Aber egal, es geht!

Ich danke euch wirklich sehr! Ihr habt mir sehr geholfen und der Exchange funktioniert nun und die Clients können sich verbinden. Versand klappt nun auch und den Abruf stelle ich heute Abend via POPCon ein, hoffe das dabei alles glatt geht.

Ich bin euch sehr sehr dankbar!

lg
colinardo
colinardo 05.01.2015 aktualisiert um 16:52:40 Uhr
Goto Top
Ich bin euch sehr sehr dankbar!
jetzt ist aber mal ein virtuelles Bier für uns alle angesagt face-smile

Viel Erfolg weiterhin!

Grüße Uwe
06Down
06Down 05.01.2015 um 17:29:37 Uhr
Goto Top
Freut mich zu lesen, dass es letzten Endes doch geklappt hat.


Ich bin euch sehr sehr dankbar!
jetzt ist aber mal ein virtuelles Bier für uns alle angesagt


Da stimme ich glatt mit ein. face-smile

Viele Grüße
Jens
Rolf14
Rolf14 05.01.2015 um 20:53:14 Uhr
Goto Top
Auf jeden Fall…. Auf euch danke face-smile