Exchange Server 2019 nur Outlook und Mail von außen
Hallo,
dank euch und Frankysweb habe ich schon viel dazu gelernt.
Mein Exchangekonto was ich auf meinem nicht produktiven System eingerichtet habe läuft und ist mittels Outlook oder auch Apple Mail erreichbar.
Dann habe ich es versucht es auf dem iPhone einzurichten, leider ohne Erfolg.
Interessanterweise konnte ich wohl Kalendereinträge sehen und machen, aber der Eingang bliebt leer und ich konnte auch keine versenden.
Dann habe ich mir die Outlook App mal installiert.
Damit genau das Selbe.
Wo habe ich eventuell beim Exchange Server einen Fehler in der Einrichtung ?
Zertfikat ist gültig. Habe gemäß der Anleitungen das Überprüft. Sowohl die Maildomain als Autodiscover sind im Zertifikat gültig und verweisen auf die richtige IP.
dank euch und Frankysweb habe ich schon viel dazu gelernt.
Mein Exchangekonto was ich auf meinem nicht produktiven System eingerichtet habe läuft und ist mittels Outlook oder auch Apple Mail erreichbar.
Dann habe ich es versucht es auf dem iPhone einzurichten, leider ohne Erfolg.
Interessanterweise konnte ich wohl Kalendereinträge sehen und machen, aber der Eingang bliebt leer und ich konnte auch keine versenden.
Dann habe ich mir die Outlook App mal installiert.
Damit genau das Selbe.
Wo habe ich eventuell beim Exchange Server einen Fehler in der Einrichtung ?
Zertfikat ist gültig. Habe gemäß der Anleitungen das Überprüft. Sowohl die Maildomain als Autodiscover sind im Zertifikat gültig und verweisen auf die richtige IP.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6109791010
Url: https://administrator.de/contentid/6109791010
Ausgedruckt am: 19.12.2024 um 15:12 Uhr
24 Kommentare
Neuester Kommentar
Moin.
Sehr schön.
Mein Exchangekonto was ich auf meinem nicht produktiven System eingerichtet habe läuft und ist mittels Outlook oder auch Apple Mail erreichbar.
Intern, nehme ich an?
Dann habe ich es versucht es auf dem iPhone einzurichten, leider ohne Erfolg.
Active Sync Funktioniert nur, wenn du via Port 443 von außen auf deinen Exchange Server kommst (Stichwort > Portforwarding / NAT + entsprechende Firewall Regel). Ich würde da eine Web Application Firewall oder zumindest einen Reverse Proxy einer Art davorschalten.
Interessanterweise konnte ich wohl Kalendereinträge sehen und machen, aber der Eingang bliebt leer und ich konnte auch keine versenden.
In der OWA des betreffenden Benutzers sollte der Kalender leer bleiben, da keine Synchronisation stattfindet.
Dann habe ich mir die Outlook App mal installiert.
Gleich wieder runterschmeißen. Die Outlook App geht über einen Server in den USA und kommuniziert nicht direkt mit deinem Exchange.
Wo habe ich eventuell beim Exchange Server einen Fehler in der Einrichtung ?
Virtuelle Verzeichnisse sind eingerichtet?
Hast du eine statische IP am Standort des Exchange?
Wie soll der Exchange E-Mails versenden: Via MX oder Smarthost (z.B. Ionos, Strato, Domain Factory)?
Portforwarding in der Firewall und eine Regel für eingehenden Traffic auf dem WAN Interface eingerichtet?
Zertfikat ist gültig. Habe gemäß der Anleitungen das Überprüft. Sowohl die Maildomain als Autodiscover sind im Zertifikat gültig und verweisen auf die richtige IP.
Das ist schon mal gut. Ist das ein extern signiertes Zertifikat von Let's Encrypt oder ein Selbstsigniertes? Letzteres wird auch zum Test gehen, aber du wirst Warnungen bekommen und die Äpfel Geräte könnten den Dienst verweigern.
Gruß
Marc
Welche CA steht dahinter? Let's Encrypt oder eine andere?
Hast du die Möglichkeit mit einem Android Gerät zu testen?
Ist das Apple Gerät auf dem neuesten Stand?
Hast du mal den Remote Analyzer laufen lassen? Wenn ja mit welchem Ergebnis?
Active Sync ist auch am Benutzer aktiviert?
Gruß
Marc
Wir sieht denn dein Zertifikat aus?
Welchen Namen verwendest du für den MX bei deinem Domain Provider?
Beispiel:
Active Directory und Internet Domäne heißen: pusemuckel.de
Exchange Server hört auf: mail.pusemuckel.de und autodiscover.pusemuckel.de
Der MX Eintrag bei deinem Domain Provider (Ionos, Strato, Domain Factory, Netcup, etc.) muss dann zeigen auf: mail.pusemuckel.de. < Punkt am Ende beachten
Dann gibt es im DNS deines Domain Providers noch einen A Record Eintrag, welcher auf deine öffentliche IP zeigt.
Auf deinem Zertifikat, falls es kein Wildcart Zertifikat ist, müssen dann im besten Fall die beiden Namen mail.pusemuckel.de und autodiscover.pusemuckel.de vorkommen.
Damit sollte das fliegen.
Gruß
Marc
Welchen Namen verwendest du für den MX bei deinem Domain Provider?
Beispiel:
Active Directory und Internet Domäne heißen: pusemuckel.de
Exchange Server hört auf: mail.pusemuckel.de und autodiscover.pusemuckel.de
Der MX Eintrag bei deinem Domain Provider (Ionos, Strato, Domain Factory, Netcup, etc.) muss dann zeigen auf: mail.pusemuckel.de. < Punkt am Ende beachten
Dann gibt es im DNS deines Domain Providers noch einen A Record Eintrag, welcher auf deine öffentliche IP zeigt.
Auf deinem Zertifikat, falls es kein Wildcart Zertifikat ist, müssen dann im besten Fall die beiden Namen mail.pusemuckel.de und autodiscover.pusemuckel.de vorkommen.
Damit sollte das fliegen.
Gruß
Marc
Im Exchange Konto auf dem iPhone ist auch mail.pusemuckel.de (um bei dem Beispiel zu bleiben) als E-Mail Server eingetragen?
Wie sieht denn deine Active Directory Domäne aus? Lautet die ad.pusemuckel.de oder pusemuckel.de?
Die Exchange Daten sollten ja beispielsweise sein:
E-Mail Adresse: michael.mueller@pusemuckel.de
Benutzer: mmueller
Kennwort: GanzSicher!
Domain: pusemuckel < oder wenn das Active Directory ad.pusemuckel.de ist eben ad
Server: mail.pusemuckel.de
Kommt das bei dir so hin?
In deiner Fehlermeldung steht etwas von:
Also heißt deine Domäne pusemuckel.local, richtig?
Gibt es in deinem DNS Server eine entsprechende Forward Lookup Zone für pusemuckel.de und den Einträgen mail und autodiscover, welche auf deinen Exchange zeigen?
Gruß
Marc
Wie sieht denn deine Active Directory Domäne aus? Lautet die ad.pusemuckel.de oder pusemuckel.de?
Die Exchange Daten sollten ja beispielsweise sein:
E-Mail Adresse: michael.mueller@pusemuckel.de
Benutzer: mmueller
Kennwort: GanzSicher!
Domain: pusemuckel < oder wenn das Active Directory ad.pusemuckel.de ist eben ad
Server: mail.pusemuckel.de
Kommt das bei dir so hin?
In deiner Fehlermeldung steht etwas von:
exws.xxxx.local
Also heißt deine Domäne pusemuckel.local, richtig?
Gibt es in deinem DNS Server eine entsprechende Forward Lookup Zone für pusemuckel.de und den Einträgen mail und autodiscover, welche auf deinen Exchange zeigen?
Gruß
Marc
Noch eine Sache, dann übergebe ich an Menschen mit funktionierender Glaskugel.
Der Benutzer ist nicht zufällig in der Domänen-Admin Gruppe oder?
Das verhindert nämlich Active Sync.
Gehen denn alle Benutzer nicht via Active Sync?
Mal einen neuen anlegen, lokal anmelden an einem PC und Outlook lokal einrichten und dann am Smartphone loslegen.
Alternativ vor der Smartphone Konfiguration einmal in der OWA anmelden.
Gruß
Marc
Der Benutzer ist nicht zufällig in der Domänen-Admin Gruppe oder?
Das verhindert nämlich Active Sync.
Gehen denn alle Benutzer nicht via Active Sync?
Mal einen neuen anlegen, lokal anmelden an einem PC und Outlook lokal einrichten und dann am Smartphone loslegen.
Alternativ vor der Smartphone Konfiguration einmal in der OWA anmelden.
Gruß
Marc
exws.xxxx.local
Da zeigen offensichtlich nicht sämtliche URLs auf die richtige Domain... Du hast wohl eine/mehrere vergessen umzustellen.Als da wären
- WebServicesVirtualDirectory
- OutlookWebAccessDirectory
- ECPVirtualDirectory
- ActiveSyncVirtualDirectory
- OABVirtualDirectory
- AutoDiscover URL
- Outlook Anywhere
- MAPI over HTTP
Schau nach was du vergessen hast
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Wir sehen deine konfigurierten URLs hier aber nicht. Da die interne URL hier auftaucht ist wohl noch ein Konfigurationsfehler vorhanden.
Dir sollte auch klar sein das wenn man intern die internen URLs konfiguriert und kein Split-DNS macht das die internen URLs auch im Zertifikat vorhanden sein müssen.
Dir sollte auch klar sein das wenn man intern die internen URLs konfiguriert und kein Split-DNS macht das die internen URLs auch im Zertifikat vorhanden sein müssen.
Zitat von @Decker2022:
Verstehe ich irgendetwas nicht, wenn ich nach der Autodiscover internal frage per Command, warum sollte er dann mehr wie z.b extern etc anzeigen ?
Wenn du als interne URL tatsächlich deine interne URL hinterlegst müssen wie gesagt die internen URLs ebenfalls ins Zertifikat, ansonsten intern ebenfalls die externe URL konfigurieren und im internen DNS Server die auf die interne IP zeigen lassen. Stichwort wie gesagt Split-Brain-DNSVerstehe ich irgendetwas nicht, wenn ich nach der Autodiscover internal frage per Command, warum sollte er dann mehr wie z.b extern etc anzeigen ?
Sag mir den Befehl bitte wo alles relevante abgefragt wird und ich schicke dann das Ergebnis.
Steht doch im Link von Franky, das gibt dir das Ergebnis aus.Get-OwaVirtualDirectory | fl server,externalurl,internalurl
Get-EcpVirtualDirectory | fl server,externalurl,internalurl
Get-WebServicesVirtualDirectory | fl server,externalurl,internalurl
Get-ActiveSyncVirtualDirectory | fl server,externalurl,internalurl
Get-OabVirtualDirectory | fl server,externalurl,internalurl
Get-MapiVirtualDirectory | fl server,externalurl,internalurl
Get-OutlookAnywhere | fl servername,ExternalHostname,InternalHostname
Get-ClientAccessService | fl name,AutoDiscoverServiceInternalUri
Prüfe ob im AD-Account der Mailbox das Attribut "Admincount" > 0 ist. Wenn ja dann war/ist der Account Mitglied in einer der geschützten Gruppen und wird vom AdminSdHolder Prozess geschützt und hat somit keinen Zugriff per ActiveSync.
Des weiteren auch mal mit Remove-MobileDevice bzw. Remove-ActiveSyncDevice die Bindung des Kontos von den Usern mit denen es am Eierföhn versucht wurde entfernen und dann neu einrichten.
Des weiteren auch mal mit Remove-MobileDevice bzw. Remove-ActiveSyncDevice die Bindung des Kontos von den Usern mit denen es am Eierföhn versucht wurde entfernen und dann neu einrichten.
Zitat von @Decker2022:
Uii, habs gerade nochmal mit einem frischen User getestet.
Nun gehts.
Erkläre mir das bitte mal mit dem Remove und wie ich das mit dem Geschützten Account genau teste.
Uii, habs gerade nochmal mit einem frischen User getestet.
Nun gehts.
Erkläre mir das bitte mal mit dem Remove und wie ich das mit dem Geschützten Account genau teste.
MMC "ActiveDirectory Users and Computers" öffnen, Ansicht > Erweiterte Features aktivieren, dann auf den User Rechtsklick > Eigenschaften > Attribute, dann das o.g Attribut raussuchen und checken ob Wert > 0. Wenn das der Fall ist dann, User raus aus administrativen Gruppen und Attribut auf 0 setzen, ansonsten OK.
Oder per PowerShell
Get-Aduser UserXYZ -Properties adminCount | fl adminCount
Hier mal was zum lesen
http://www.selfadsi.de/extended-ad/ad-permissions-adminsdholder.htm
Zum Entfernen einer vorhandenen ActiveSync Partnerschaft bei Problemen mit einem bestimmten Gerät s. Beispiele in der verlinkten Doku oben.