technikdealer
Goto Top

Exchange Server 2016 CU23 OWA und ECP nicht mehr erreichbar

Hallo Zusammen. Seit ein paar Wochen kann man die OWA und ECP Seite unseres ExchangeServers nicht mehr aufrufen. Man kann Benutzername und Kennwort eingeben und bestätigt das mit Enter und ist dann wieder auf der selben Seite. Gibt man das Kennwort falsch ein kommt die Meldung das man nicht das richtige Passwort eingegeben hat. Ich kann leider nicht sagen, seit wann das Problem besteht. Habe das CU23 nochmals manuell als Administrator drüber installiert und die beiden Scripts UpdateCas.ps1 und UpdateConfigFiles.ps1. Wüsste jemand zufällig ne Lösung dafür ?

Vielleicht sollte ich noch erwähnen das es sich um eine Hybrid Exchange Umgebung handelt.

Danke schonmal im voraus.

Content-ID: 6819034332

Url: https://administrator.de/forum/exchange-server-2016-cu23-owa-und-ecp-nicht-mehr-erreichbar-6819034332.html

Ausgedruckt am: 23.12.2024 um 20:12 Uhr

radiogugu
radiogugu 18.04.2023 um 11:14:26 Uhr
Goto Top
Morschen.

Ist das Problem nach einem Update aufgetreten?

Welche genaue Fehlermeldung kommt denn? Ein betreuter Exchange hat auch das gleiche Problem. Sobald man jedoch, nach der Eingabe der Zugangsdaten, die Website aktualisiert, erscheint und funktioniert ECP / OWA ohne Probleme.

Gruß
Marc
kpunkt
kpunkt 18.04.2023 um 11:19:13 Uhr
Goto Top
Ich erinnere mich da dunkel an eine Berechtigungsgeschichte. Ist das im LAN oder per VPN?
em-pie
em-pie 18.04.2023 um 11:22:47 Uhr
Goto Top
Moin,

checke mal im IIS unter Sites -> Default WebSite -> ecp Einschränkungen für IP-Adressen und Domänen ob da etwas hinterlegt ist
technikdealer
technikdealer 18.04.2023 um 11:29:33 Uhr
Goto Top
Ich kann leider nicht genau sagen ob es nach dem Update aufgetreten ist.
Ich versuche übers LAN drauf zu zugreifen. Wenn ichs über die externe URL intern versuche kommt immer wieder die Anmeldemaske. Über den internen Domainname bekomme ich nach Eingabe der Benutzerdaten dieses Fenster.

exchange_+

Wenn ich mich dort anmelden will erhalte ich "Bad Request"
radiogugu
radiogugu 18.04.2023 um 11:32:21 Uhr
Goto Top
Deine URL schaut so ungefähr aus oder?

https://<der FQDN deines Exchange Servers>/ecp

Gruß
Marc
ArnoNymous
ArnoNymous 18.04.2023 um 11:40:18 Uhr
Goto Top
technikdealer
technikdealer 18.04.2023 um 11:43:51 Uhr
Goto Top
Da hast Du Recht
technikdealer
technikdealer 18.04.2023 um 11:47:14 Uhr
Goto Top
@ArnoNymous. Es ist das bestehende bis 2025 gültige Microsoft Exchange Zertifkat eingestellt.
support-m
support-m 18.04.2023 aktualisiert um 13:32:37 Uhr
Goto Top
Zitat von @technikdealer:

@ArnoNymous. Es ist das bestehende bis 2025 gültige Microsoft Exchange Zertifkat eingestellt.

Hi,
taucht das Problem von intern oder extern oder beidem auf? Sieht mir nach einer htaccess-Abfrage aus. Nutzt ihr einen Reverse Proxy oder ähnliches? Nutzt ihr Split-DNS? Warum willst du dich laut deinem Screenshot am Backend (Port 444) anmelden? Ich wusste garnicht, dass das geht :D

Noch zur Info: das bestehende "Micsoroft Exchange"-Zertifikat sollte nur beim Back End hinterlegt sein. Prüfe bitte, ob und welches Zertifikat beim Front End hinterlegt ist (auf dem Exchange im IIS die Default Web Site auswählen und rechts unter Bindungen... > alle https-Bindungen checken).

MfG
em-pie
em-pie 18.04.2023 aktualisiert um 13:55:54 Uhr
Goto Top
Hast du denn jetzt mal das hier geprüft:
Zitat von @em-pie:
checke mal im IIS unter Sites -> Default WebSite -> ecp Einschränkungen für IP-Adressen und Domänen ob da etwas hinterlegt ist

mich irritiert im übrigen der Port 444
Fürs ECP/ OWA eigentlich kein Standard, sollten diese Dienste eigentlich auf 443 hören...

Edit: 444 sind die Backend-Ports...
technikdealer
technikdealer 18.04.2023 um 14:04:18 Uhr
Goto Top
Von extern ist der Zugriff über Sites -> Default WebSite -> ecp Einschränkungen für IP-Adressen und Domänen gesperrt.

Das er auf 444 springt irritiert mich auch. Das macht er aber nur wenn ich mit dem internen Servernamen servername.local versuche mich am ECP anzumelden. Komm ich mit der öffentlichen owa.oeffentliche.de URL bleib ich bei der Eingabemaske hängen.
Das Microsoft Exchange"-Zertifikat ist nur beim Backend hinterlegt. Bei Default ist das öffentliche Zertifikat hinterlegt.
em-pie
em-pie 18.04.2023 um 14:21:30 Uhr
Goto Top
on extern ist der Zugriff über Sites -> Default WebSite -> ecp Einschränkungen für IP-Adressen und Domänen gesperrt.

Habt ihr ein vorgelagertes Mail-Gateway (UTM, o. Ä.) / ReverseProxy verfügbar?
Denn wenn ihr erst am Exchange die externen Zugriffe blockt, hängt der Bursche (oder dat pöhse Mädel) doch schon in eurem LAN!?

Die IP-Einschränkungen nutzen wir intern nur (zusätzlich zur Firewall) um nur aus unserem Administrations-VLAN aufs ECP zuzugreifen, während die normalen Clients weiterhin OWA & Co. normal nutzen können.


Was sagt den das IIS Log. Mit welcher IP verbucht er denn deine "Ankunft"?
support-m
support-m 18.04.2023 um 14:32:49 Uhr
Goto Top
So ganz verstehe ich jetzt nicht von wo du wie drauf zugreifst. Kannst du das für mich etwas klarer darstellen?

Was passiert, wenn du von innen auf https://ex.local/ecp zugreifst? https://ex.local/owa?

Was passiert wenn du von innen auf https://mail.firma.de/ecp zugreifst? https://mail.firma.de/owa?

Was passiert, wenn du von außen auf https://mail.firma.de/ecp zugreifst? https://mail.firma.de/owa?

Danke
technikdealer
technikdealer 18.04.2023 um 14:59:14 Uhr
Goto Top
Was passiert, wenn du von innen auf https://ex.local/ecp zugreifst? https://ex.local/owa?
Da lande ich auf dem Bildschirm wie oben der Screenshot zeigt mit Port 444

Was passiert wenn du von innen auf https://mail.firma.de/ecp zugreifst? https://mail.firma.de/owa?
Immer wieder die Anmeldemaske

Was passiert, wenn du von außen auf https://mail.firma.de/ecp zugreifst? https://mail.firma.de/owa?
Error 403