decker2022
Goto Top

Exchange Server 2019 nur Outlook und Mail von außen

Hallo,
dank euch und Frankysweb habe ich schon viel dazu gelernt.

Mein Exchangekonto was ich auf meinem nicht produktiven System eingerichtet habe läuft und ist mittels Outlook oder auch Apple Mail erreichbar.

Dann habe ich es versucht es auf dem iPhone einzurichten, leider ohne Erfolg.
Interessanterweise konnte ich wohl Kalendereinträge sehen und machen, aber der Eingang bliebt leer und ich konnte auch keine versenden.
Dann habe ich mir die Outlook App mal installiert.
Damit genau das Selbe.

Wo habe ich eventuell beim Exchange Server einen Fehler in der Einrichtung ?

Zertfikat ist gültig. Habe gemäß der Anleitungen das Überprüft. Sowohl die Maildomain als Autodiscover sind im Zertifikat gültig und verweisen auf die richtige IP.

Content-ID: 6109791010

Url: https://administrator.de/contentid/6109791010

Ausgedruckt am: 19.12.2024 um 15:12 Uhr

radiogugu
radiogugu 24.02.2023 aktualisiert um 11:38:36 Uhr
Goto Top
Zitat von @Decker2022:
Hallo,
dank euch und Frankysweb habe ich schon viel dazu gelernt.

Moin.
Sehr schön.

Mein Exchangekonto was ich auf meinem nicht produktiven System eingerichtet habe läuft und ist mittels Outlook oder auch Apple Mail erreichbar.

Intern, nehme ich an?

Dann habe ich es versucht es auf dem iPhone einzurichten, leider ohne Erfolg.

Active Sync Funktioniert nur, wenn du via Port 443 von außen auf deinen Exchange Server kommst (Stichwort > Portforwarding / NAT + entsprechende Firewall Regel). Ich würde da eine Web Application Firewall oder zumindest einen Reverse Proxy einer Art davorschalten.

Interessanterweise konnte ich wohl Kalendereinträge sehen und machen, aber der Eingang bliebt leer und ich konnte auch keine versenden.

In der OWA des betreffenden Benutzers sollte der Kalender leer bleiben, da keine Synchronisation stattfindet.

Dann habe ich mir die Outlook App mal installiert.

Gleich wieder runterschmeißen. Die Outlook App geht über einen Server in den USA und kommuniziert nicht direkt mit deinem Exchange.

Wo habe ich eventuell beim Exchange Server einen Fehler in der Einrichtung ?

Virtuelle Verzeichnisse sind eingerichtet?
Hast du eine statische IP am Standort des Exchange?
Wie soll der Exchange E-Mails versenden: Via MX oder Smarthost (z.B. Ionos, Strato, Domain Factory)?
Portforwarding in der Firewall und eine Regel für eingehenden Traffic auf dem WAN Interface eingerichtet?

Zertfikat ist gültig. Habe gemäß der Anleitungen das Überprüft. Sowohl die Maildomain als Autodiscover sind im Zertifikat gültig und verweisen auf die richtige IP.

Das ist schon mal gut. Ist das ein extern signiertes Zertifikat von Let's Encrypt oder ein Selbstsigniertes? Letzteres wird auch zum Test gehen, aber du wirst Warnungen bekommen und die Äpfel Geräte könnten den Dienst verweigern.

Gruß
Marc
Decker2022
Decker2022 24.02.2023 aktualisiert um 13:05:27 Uhr
Goto Top
Also mit extern signierten zertifikat
Und nein, nicht nur lokal.
Es funktioniert bereits per Extern über die autodiscover.xxxxx.de
auch der Onlinezugriff ist per Extern mail.xxxx.de funktioniert. Natürlich mit Verschlüsselung 443
So konnte ich in einem Testrechner problemlos das Konto einrichten, mails abrufen und auch verschicken sowie Kalendereinträge machen. Aber warum auch immer nicht in meinem Handy iphone.
Wenn, dann gehts nur für Kalendereinträge witzigerweise, nicht aber für Mails empfangen und versenden. Dachte eigentlich wenn es mit Outlook und Mail von Apple iMac von Aussen geht, dann müsste es auch mit dem iPhone per Mail gehen und wenn nicht, wenigstens mit der Outlook app, die ich gerne runterschmeisse, ist eh ne Katastrophe
radiogugu
radiogugu 24.02.2023 um 13:16:41 Uhr
Goto Top
Zitat von @Decker2022:
Also mit extern signierten zertifikat

Welche CA steht dahinter? Let's Encrypt oder eine andere?

Hast du die Möglichkeit mit einem Android Gerät zu testen?

Ist das Apple Gerät auf dem neuesten Stand?

Hast du mal den Remote Analyzer laufen lassen? Wenn ja mit welchem Ergebnis?

Active Sync ist auch am Benutzer aktiviert?

Gruß
Marc
Decker2022
Decker2022 24.02.2023 aktualisiert um 14:04:24 Uhr
Goto Top
Es gibt beim Test wohl noch ein Problem:



Die Microsoft-Verbindungsuntersuchung versucht, das SSL-Zertifikat vom Remoteserver xxx-xxx.de an Port 443 zu erhalten.
Die Microsoft-Verbindungsuntersuchung hat das Remote-SSL-Zertifikat erfolgreich abgerufen.
Weitere Details
Informationen zum Remotezertifikat:

Antragsteller: CN=autodiscover.xxx-xxx.de

Aussteller: CN=R3, O=Let's Encrypt, C=US

Fingerabdruck: 3994FDA2B604558391C9CD129E54118B2789D552

Nicht gültig vor: 2023-02-22 13:40:10Z

Läuft ab: 2023-05-23 13:40:09Z

Der Zertifikatsname wird überprüft.
Fehler bei der Überprüfung des Zertifikatsnamens.
 Weitere Informationen zu diesem Problem und zu möglichen Lösungen
Weitere Details
Der Hostname xxx-xxx.de entspricht keinem der im Serverzertifikat CN=autodiscover.xxx-xxx.de gefundenen Namen.
radiogugu
radiogugu 24.02.2023 um 14:12:08 Uhr
Goto Top
Wir sieht denn dein Zertifikat aus?

Welchen Namen verwendest du für den MX bei deinem Domain Provider?

Beispiel:
Active Directory und Internet Domäne heißen: pusemuckel.de
Exchange Server hört auf: mail.pusemuckel.de und autodiscover.pusemuckel.de

Der MX Eintrag bei deinem Domain Provider (Ionos, Strato, Domain Factory, Netcup, etc.) muss dann zeigen auf: mail.pusemuckel.de. < Punkt am Ende beachten

Dann gibt es im DNS deines Domain Providers noch einen A Record Eintrag, welcher auf deine öffentliche IP zeigt.

Auf deinem Zertifikat, falls es kein Wildcart Zertifikat ist, müssen dann im besten Fall die beiden Namen mail.pusemuckel.de und autodiscover.pusemuckel.de vorkommen.

Damit sollte das fliegen.

Gruß
Marc
Decker2022
Decker2022 24.02.2023 um 14:47:07 Uhr
Goto Top
Zitat von @radiogugu:

Wir sieht denn dein Zertifikat aus?

Welchen Namen verwendest du für den MX bei deinem Domain Provider?

mail.pusemuckel.de

Beispiel:
Active Directory und Internet Domäne heißen: pusemuckel.de
Exchange Server hört auf: mail.pusemuckel.de und autodiscover.pusemuckel.de

Ja. das ist der Fall. Bei dem ersten Baut sich die Anmeldeseite verschlüsselt auf und beim 2ten kommt ein Bentuzername Kennwort Popup
Der MX Eintrag bei deinem Domain Provider (Ionos, Strato, Domain Factory, Netcup, etc.) muss dann zeigen auf: mail.pusemuckel.de. < Punkt am Ende beachten

ja dort steht mail.pusemuckel.de. drin

Dann gibt es im DNS deines Domain Providers noch einen A Record Eintrag, welcher auf deine öffentliche IP zeigt.

Der A record der pusemuckel.de und auch die SUBS mail. & autodiscover. verweisen per A Record auf die Externe IP

Auf deinem Zertifikat, falls es kein Wildcart Zertifikat ist, müssen dann im besten Fall die beiden Namen mail.pusemuckel.de und autodiscover.pusemuckel.de vorkommen.

Das Zertifkat enthält die mail.xxxxx und autodiscover.xxxx

Damit sollte das fliegen.

Gruß
Marc
Decker2022
Decker2022 24.02.2023 um 14:55:56 Uhr
Goto Top
Ok, ich komm nun näher. Ich hatte da noch was korregiert.

Nun erhalte ich nur noch, wobei nur in "" folgenden Fehler:

Es wird versucht, den Befehl „FolderSync“ in der Exchange ActiveSync-Sitzung auszuführen.
Fehler beim Testen des Befehls „FolderSync“.
 Weitere Informationen zu diesem Problem und zu möglichen Lösungen
Weitere Details
Exchange ActiveSync hat die Antwort „HTTP 500“ zurückgegeben (interner Serverfehler).

HTTP-Antwortkopfzeilen:

request-id: 9bf0da01-cb08-40aa-a78e-653b223176e0

X-CalculatedBETarget: exws.xxxx.local

MS-Server-ActiveSync: 15.2

X-MS-RP: 2.0,2.1,2.5,12.0,12.1,14.0,14.1,16.0,16.1

MS-ASProtocolVersions: 2.0,2.1,2.5,12.0,12.1,14.0,14.1,16.0,16.1
support-m
support-m 24.02.2023 um 15:04:31 Uhr
Goto Top
Moin,
hast du beim Testen mit dem iPhone das Mobilfunknetz genutzt oder ein internes WLAN? Anders gefragt: Stellst du ein anderes Verhalten fest, wenn du das ein oder das andere nutzt?

MfG
Decker2022
Decker2022 24.02.2023 um 15:25:57 Uhr
Goto Top
Nun, wenn ich im iPhone den Exchange Account einrichte, dann weill er nach Eingabe der Mail das Kennwort und danach noch Angaben zum Benutzernahmen und Kennwort sowie Server und Domain.

Für mich sieht es da so aus, als wenn er nicht alles an Infos bekommt. Tippe auf meinem letzten Fehlerpost
Nur ich kann mit dem FolderSync nichts anfangen
radiogugu
radiogugu 24.02.2023 um 15:57:16 Uhr
Goto Top
Im Exchange Konto auf dem iPhone ist auch mail.pusemuckel.de (um bei dem Beispiel zu bleiben) als E-Mail Server eingetragen?

Wie sieht denn deine Active Directory Domäne aus? Lautet die ad.pusemuckel.de oder pusemuckel.de?

Die Exchange Daten sollten ja beispielsweise sein:

E-Mail Adresse: michael.mueller@pusemuckel.de
Benutzer: mmueller
Kennwort: GanzSicher!
Domain: pusemuckel < oder wenn das Active Directory ad.pusemuckel.de ist eben ad
Server: mail.pusemuckel.de

Kommt das bei dir so hin?

In deiner Fehlermeldung steht etwas von:

exws.xxxx.local

Also heißt deine Domäne pusemuckel.local, richtig?

Gibt es in deinem DNS Server eine entsprechende Forward Lookup Zone für pusemuckel.de und den Einträgen mail und autodiscover, welche auf deinen Exchange zeigen?

Gruß
Marc
Decker2022
Decker2022 24.02.2023 um 16:09:24 Uhr
Goto Top
Ja richtig
Und ja, dns forward ist drin für beide adressen
radiogugu
Lösung radiogugu 24.02.2023 um 18:42:25 Uhr
Goto Top
Noch eine Sache, dann übergebe ich an Menschen mit funktionierender Glaskugel.

Der Benutzer ist nicht zufällig in der Domänen-Admin Gruppe oder?

Das verhindert nämlich Active Sync.

Gehen denn alle Benutzer nicht via Active Sync?

Mal einen neuen anlegen, lokal anmelden an einem PC und Outlook lokal einrichten und dann am Smartphone loslegen.

Alternativ vor der Smartphone Konfiguration einmal in der OWA anmelden.

Gruß
Marc
Decker2022
Decker2022 25.02.2023 aktualisiert um 08:34:27 Uhr
Goto Top
Zitat von @radiogugu:

Noch eine Sache, dann übergebe ich an Menschen mit funktionierender Glaskugel.

Der Benutzer ist nicht zufällig in der Domänen-Admin Gruppe oder?

Das verhindert nämlich Active Sync.

Gehen denn alle Benutzer nicht via Active Sync?

Alle, sind nur Domain-Users
Mal einen neuen anlegen, lokal anmelden an einem PC und Outlook lokal einrichten und dann am Smartphone loslegen.

Gerade gemacht. ohne Erfolg. Also ich kann damit wie gehabt Mails verschicken und Empfangen in Mail und Outlook, aber beim Handy gehts nicht

Alternativ vor der Smartphone Konfiguration einmal in der OWA anmelden.

Ja das habe ich gemacht.
Das klappt auch Problemlos und verschlüsselt.
Gruß
Marc
Ergänzend, bin der Sache auf dem Grund gegangen, irgendwas fehlt. Der Connectivity Test sagt zwar erfolgreich getestet, aber er hat ein gelbes Dreieick. Bei genauerer Betrachtung bezieht sich das ganze auf:

https://pusemuckel.de:443/Autodiscover/Autodiscover.xml zu testen.
Versuche ich diesen Link mal manuell in den Browser einzugeben, erhalter ich das:

Serverfehler in der Anwendung /Autodiscover.
Die Ressource kann nicht gefunden werden.
Beschreibung: HTTP 404. Die gesuchte Ressource oder eine ihrer Abhängigkeiten wurde möglicherweise entfernt, umbenannt oder ist vorübergehend nicht verfügbar. Überprüfen Sie folgende URL, und stellen Sie sicher, dass sie richtig geschrieben wurde.

Angeforderter URL: /Autodiscover/Autodiscover.xml zu testen.


Ich hoffe wir können die Glaskugel noch umgehen
Decker2022
Decker2022 25.02.2023 um 08:47:05 Uhr
Goto Top
Hier vielleicht Hilfreiche Infos.
Für mich sehen die aber ok aus, aber ich lerne noch. Das überpinselte wäre um beim Beispiel zu bleiben pusemuckel.de
bildschirm­foto 2023-02-25 um 08.41.55
bildschirm­foto 2023-02-25 um 08.43.53
6017814589
6017814589 25.02.2023 aktualisiert um 09:09:26 Uhr
Goto Top
exws.xxxx.local
Da zeigen offensichtlich nicht sämtliche URLs auf die richtige Domain... Du hast wohl eine/mehrere vergessen umzustellen.
Als da wären
- WebServicesVirtualDirectory
- OutlookWebAccessDirectory
- ECPVirtualDirectory
- ActiveSyncVirtualDirectory
- OABVirtualDirectory
- AutoDiscover URL
- Outlook Anywhere
- MAPI over HTTP

Schau nach was du vergessen hast
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
Decker2022
Decker2022 25.02.2023 um 09:10:22 Uhr
Goto Top
Zitat von @6017814589:

exws.xxxx.local
Da zeigen offensichtlich nicht sämtliche URLs auf die richtige Domain... Du hast wohl eine/mehrere vergessen umzustellen.
Als da wären
- WebServicesVirtualDirectory
- OutlookWebAccessDirectory
- ECPVirtualDirectory
- ActiveSyncVirtualDirectory
- OABVirtualDirectory
- AutoDiscover URL
- Outlook Anywhere
- MAPI over HTTP

Schau nach was du vergessen hast
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016

Gemäß https://www.frankysweb.de/exchange-2019-die-basiskonfiguration/ eingerichtet.
6017814589
6017814589 25.02.2023 um 09:14:29 Uhr
Goto Top
Wir sehen deine konfigurierten URLs hier aber nicht. Da die interne URL hier auftaucht ist wohl noch ein Konfigurationsfehler vorhanden.
Dir sollte auch klar sein das wenn man intern die internen URLs konfiguriert und kein Split-DNS macht das die internen URLs auch im Zertifikat vorhanden sein müssen.
Decker2022
Decker2022 25.02.2023 um 09:20:21 Uhr
Goto Top
V
Zitat von @6017814589:

Wir sehen deine konfigurierten URLs hier aber nicht. Da die interne URL hier auftaucht ist wohl noch ein Konfigurationsfehler vorhanden.
Dir sollte auch klar sein das wenn man intern die internen URLs konfiguriert und kein Split-DNS macht das die internen URLs auch im Zertifikat vorhanden sein müssen.

Verstehe ich irgendetwas nicht, wenn ich nach der Autodiscover internal frage per Command, warum sollte er dann mehr wie z.b extern etc anzeigen ?
Sag mir den Befehl bitte wo alles relevante abgefragt wird und ich schicke dann das Ergebnis.
6017814589
6017814589 25.02.2023 aktualisiert um 09:30:32 Uhr
Goto Top
Zitat von @Decker2022:
Verstehe ich irgendetwas nicht, wenn ich nach der Autodiscover internal frage per Command, warum sollte er dann mehr wie z.b extern etc anzeigen ?
Wenn du als interne URL tatsächlich deine interne URL hinterlegst müssen wie gesagt die internen URLs ebenfalls ins Zertifikat, ansonsten intern ebenfalls die externe URL konfigurieren und im internen DNS Server die auf die interne IP zeigen lassen. Stichwort wie gesagt Split-Brain-DNS

Sag mir den Befehl bitte wo alles relevante abgefragt wird und ich schicke dann das Ergebnis.
Steht doch im Link von Franky, das gibt dir das Ergebnis aus.
Get-OwaVirtualDirectory | fl server,externalurl,internalurl
Get-EcpVirtualDirectory | fl server,externalurl,internalurl
Get-WebServicesVirtualDirectory  | fl server,externalurl,internalurl
Get-ActiveSyncVirtualDirectory  | fl server,externalurl,internalurl
Get-OabVirtualDirectory  | fl server,externalurl,internalurl
Get-MapiVirtualDirectory | fl server,externalurl,internalurl
Get-OutlookAnywhere | fl servername,ExternalHostname,InternalHostname
Get-ClientAccessService | fl name,AutoDiscoverServiceInternalUri
Decker2022
Decker2022 25.02.2023 um 10:26:27 Uhr
Goto Top
Zitat von @6017814589:

Zitat von @Decker2022:
Verstehe ich irgendetwas nicht, wenn ich nach der Autodiscover internal frage per Command, warum sollte er dann mehr wie z.b extern etc anzeigen ?
Wenn du als interne URL tatsächlich deine interne URL hinterlegst müssen wie gesagt die internen URLs ebenfalls ins Zertifikat, ansonsten intern ebenfalls die externe URL konfigurieren und im internen DNS Server die auf die interne IP zeigen lassen. Stichwort wie gesagt Split-Brain-DNS

Sag mir den Befehl bitte wo alles relevante abgefragt wird und ich schicke dann das Ergebnis.
Steht doch im Link von Franky, das gibt dir das Ergebnis aus.
Get-OwaVirtualDirectory | fl server,externalurl,internalurl
Get-EcpVirtualDirectory | fl server,externalurl,internalurl
Get-WebServicesVirtualDirectory  | fl server,externalurl,internalurl
Get-ActiveSyncVirtualDirectory  | fl server,externalurl,internalurl
Get-OabVirtualDirectory  | fl server,externalurl,internalurl
Get-MapiVirtualDirectory | fl server,externalurl,internalurl
Get-OutlookAnywhere | fl servername,ExternalHostname,InternalHostname
Get-ClientAccessService | fl name,AutoDiscoverServiceInternalUri
Anbei die Bilder, hoffe nix vergessen zu haben
bildschirm­foto 2023-02-25 um 10.07.37
bildschirm­foto 2023-02-25 um 10.08.11
bildschirm­foto 2023-02-25 um 10.20.43
bildschirm­foto 2023-02-25 um 10.02.20
bildschirm­foto 2023-02-25 um 10.06.18
bildschirm­foto 2023-02-25 um 10.18.35
bildschirm­foto 2023-02-25 um 10.07.02
bildschirm­foto 2023-02-25 um 10.02.55
6017814589
Lösung 6017814589 25.02.2023 aktualisiert um 11:02:35 Uhr
Goto Top
Prüfe ob im AD-Account der Mailbox das Attribut "Admincount" > 0 ist. Wenn ja dann war/ist der Account Mitglied in einer der geschützten Gruppen und wird vom AdminSdHolder Prozess geschützt und hat somit keinen Zugriff per ActiveSync.
Des weiteren auch mal mit Remove-MobileDevice bzw. Remove-ActiveSyncDevice die Bindung des Kontos von den Usern mit denen es am Eierföhn versucht wurde entfernen und dann neu einrichten.
Decker2022
Decker2022 25.02.2023 um 11:37:34 Uhr
Goto Top
ich habe im Exchange einen Neuen Account mit email angelegt gehabt, sprich test@xxxx.de
Dieser ist Mitglied in Domain-User
Decker2022
Lösung Decker2022 25.02.2023 um 11:43:17 Uhr
Goto Top
Zitat von @6017814589:

Prüfe ob im AD-Account der Mailbox das Attribut "Admincount" > 0 ist. Wenn ja dann war/ist der Account Mitglied in einer der geschützten Gruppen und wird vom AdminSdHolder Prozess geschützt und hat somit keinen Zugriff per ActiveSync.
Des weiteren auch mal mit Remove-MobileDevice bzw. Remove-ActiveSyncDevice die Bindung des Kontos von den Usern mit denen es am Eierföhn versucht wurde entfernen und dann neu einrichten.

Uii, habs gerade nochmal mit einem frischen User getestet.
Nun gehts.

Erkläre mir das bitte mal mit dem Remove und wie ich das mit dem Geschützten Account genau teste.
Dann wäre ich ein gute Stück weiter.
Danke schon mal.
6017814589
6017814589 25.02.2023 aktualisiert um 12:08:16 Uhr
Goto Top
Zitat von @Decker2022:
Uii, habs gerade nochmal mit einem frischen User getestet.
Nun gehts.

Erkläre mir das bitte mal mit dem Remove und wie ich das mit dem Geschützten Account genau teste.

MMC "ActiveDirectory Users and Computers" öffnen, Ansicht > Erweiterte Features aktivieren, dann auf den User Rechtsklick > Eigenschaften > Attribute, dann das o.g Attribut raussuchen und checken ob Wert > 0. Wenn das der Fall ist dann, User raus aus administrativen Gruppen und Attribut auf 0 setzen, ansonsten OK.
Oder per PowerShell
Get-Aduser UserXYZ -Properties adminCount | fl adminCount

Hier mal was zum lesen
http://www.selfadsi.de/extended-ad/ad-permissions-adminsdholder.htm

Zum Entfernen einer vorhandenen ActiveSync Partnerschaft bei Problemen mit einem bestimmten Gerät s. Beispiele in der verlinkten Doku oben.