4
MAPI-Zugriff auf Exchange 2007 von außerhalb der Domäne
Anbindung eines MAPI Clients an Exchange 2007 nicht möglich
Guten Abend,
ich habe folgendes Problem:
Ich würde gerne ausschließlich Outlook 2007 per MAPI an Exchange 2007 anbinden (alle Serverrollen auf einer Maschine).
Dies stellt allerdings noch nicht das Problem da.
Das Problem ist, das sich diese Clients nicht innerhalb meiner Domäne befinden.
Die Clients befinden sich an verschiedenen Standorten in Deutschland und sind mittelts VPN ständig mit unserer Hauptniederlassung verbunden.
Diese sind als lokale Arbeitsgruppen aufgebaut und verfügen über keinerlei besondere Serverdienste wie DNS oder DHCP..
Getrennt werden diese durch eine Firewall mit unserem Hausnetz.
Hier gibt es selbstverständlich Einschränkungen in der connectivität.
Früher haben die Client sich die Mails per POP3 vom alternativen Mailserver geholt, dieses soll sich aber durch die Umstrukturierung ändern.
Eine andere Möglichkeit an die Daten heranzukommen als per MAPI, sehe ich durch die Nachteile die die anderen Verbindungsmöglichkeiten mit sich bringen leider nicht.
Die Clients an den Standorten sollen aber nicht per OWA oder Outlook Anywhere angebunden werden, da dies eine Überlastung unserer langsamen Leitung ins Internet darstellt.
Es gibt schon Mitarbeiter (Key Accounter) mit Notebooks die Ihre Daten per OWA und/oder Outlook Anywhere abholen. Dies funktioniert da dies über den ISA Server abgefrühstückt wird richtig gut
Nun zur eigentlichen Frage:
Welche Ports müssen wohin geöffnet werden, damit ich den vollständigen Zugriff bekomme.
Leider habe ich in Zahlreichen Büchern nichts gefunden und Microsoft hat scheinbar dieses Szenario nicht berücksichtigt.
Bisher habe ich mich durch den Firewall Monitor behelfen können und folgende Ports zum Exchange Server geöffnet:
80 /tcp
135/tcp
443/tcp
1142/tcp
1119/tcp
1083/tcp
Zudem habe ich noch im Internet Explorer die Ausnamen für die lokalen Netzwerke definiert und dabei das Hausnetz, und den Namen unserer DNS Struktur hinzugefügt.
Hierdurch verhindere ich, das Zugriffe die an den Exchange Server gelangen sollten, nicht doch durch das Internet geroutet werden.
In der hosts-datei habe ich noch den FQDN unseres Exchange Servers hinzugefügt weitere Probleme mit der Namensauflösung zu verhindern.
Nun habe ich, da das Autodiscover nicht funktionieren kann, die Einstellungen manuell vorgenommen.
Resultat:
Er ruft die Daten ab, bekomme unten rechts ein: "Verbunden mit Microsoft Exchange"
Scheinbar alles gut...nun fragt er zwischendurch immer nach einem Benutzernamen und einem Passwort???
Wie ich dem Firewall Monitor entnehmen kann, hat der eine Verbindung zum Internetproxy aufgebaut und versucht so an seine Informationen zu gelangen.
Durch ein "Abbrechen" des Dialogfeldet verschwindet dieses und er ruft trotzdem aktuelle Infromationen vom Server ab.
Gelegentlich kommt unten rechts dann "Kennwort erforderlich", dieses Dialogfeld kann man aber durch erneutes "Abbrechen" wieder verschwinden lassen und der Status befindet sich wieder im "Verbunden mit Microsoft Exchange" Zustand.
Des Weiteren funktioniert der Abwesenheitsassistent nicht und das Offline Adressbuch, lässt sich auch nicht herunterladen.
Ich habe irgendwie das Gefühl das es evtl. ein Zertifikatsproblem ist?!? Ist dies überhaupt notwendig?
Und wenn ja, betrifft dies ja scheinbar das Domänen Zertifikat, oder?
Hat jemand eine Idee, woran dies liegen könnte?
Ich hoffe ich habe mich detailiert genug ausgedrückt
Viele Grüße
Thorsten
Guten Abend,
ich habe folgendes Problem:
Ich würde gerne ausschließlich Outlook 2007 per MAPI an Exchange 2007 anbinden (alle Serverrollen auf einer Maschine).
Dies stellt allerdings noch nicht das Problem da.
Das Problem ist, das sich diese Clients nicht innerhalb meiner Domäne befinden.
Die Clients befinden sich an verschiedenen Standorten in Deutschland und sind mittelts VPN ständig mit unserer Hauptniederlassung verbunden.
Diese sind als lokale Arbeitsgruppen aufgebaut und verfügen über keinerlei besondere Serverdienste wie DNS oder DHCP..
Getrennt werden diese durch eine Firewall mit unserem Hausnetz.
Hier gibt es selbstverständlich Einschränkungen in der connectivität.
Früher haben die Client sich die Mails per POP3 vom alternativen Mailserver geholt, dieses soll sich aber durch die Umstrukturierung ändern.
Eine andere Möglichkeit an die Daten heranzukommen als per MAPI, sehe ich durch die Nachteile die die anderen Verbindungsmöglichkeiten mit sich bringen leider nicht.
Die Clients an den Standorten sollen aber nicht per OWA oder Outlook Anywhere angebunden werden, da dies eine Überlastung unserer langsamen Leitung ins Internet darstellt.
Es gibt schon Mitarbeiter (Key Accounter) mit Notebooks die Ihre Daten per OWA und/oder Outlook Anywhere abholen. Dies funktioniert da dies über den ISA Server abgefrühstückt wird richtig gut
Nun zur eigentlichen Frage:
Welche Ports müssen wohin geöffnet werden, damit ich den vollständigen Zugriff bekomme.
Leider habe ich in Zahlreichen Büchern nichts gefunden und Microsoft hat scheinbar dieses Szenario nicht berücksichtigt.
Bisher habe ich mich durch den Firewall Monitor behelfen können und folgende Ports zum Exchange Server geöffnet:
80 /tcp
135/tcp
443/tcp
1142/tcp
1119/tcp
1083/tcp
Zudem habe ich noch im Internet Explorer die Ausnamen für die lokalen Netzwerke definiert und dabei das Hausnetz, und den Namen unserer DNS Struktur hinzugefügt.
Hierdurch verhindere ich, das Zugriffe die an den Exchange Server gelangen sollten, nicht doch durch das Internet geroutet werden.
In der hosts-datei habe ich noch den FQDN unseres Exchange Servers hinzugefügt weitere Probleme mit der Namensauflösung zu verhindern.
Nun habe ich, da das Autodiscover nicht funktionieren kann, die Einstellungen manuell vorgenommen.
Resultat:
Er ruft die Daten ab, bekomme unten rechts ein: "Verbunden mit Microsoft Exchange"
Scheinbar alles gut...nun fragt er zwischendurch immer nach einem Benutzernamen und einem Passwort???
Wie ich dem Firewall Monitor entnehmen kann, hat der eine Verbindung zum Internetproxy aufgebaut und versucht so an seine Informationen zu gelangen.
Durch ein "Abbrechen" des Dialogfeldet verschwindet dieses und er ruft trotzdem aktuelle Infromationen vom Server ab.
Gelegentlich kommt unten rechts dann "Kennwort erforderlich", dieses Dialogfeld kann man aber durch erneutes "Abbrechen" wieder verschwinden lassen und der Status befindet sich wieder im "Verbunden mit Microsoft Exchange" Zustand.
Des Weiteren funktioniert der Abwesenheitsassistent nicht und das Offline Adressbuch, lässt sich auch nicht herunterladen.
Ich habe irgendwie das Gefühl das es evtl. ein Zertifikatsproblem ist?!? Ist dies überhaupt notwendig?
Und wenn ja, betrifft dies ja scheinbar das Domänen Zertifikat, oder?
Hat jemand eine Idee, woran dies liegen könnte?
Ich hoffe ich habe mich detailiert genug ausgedrückt
Viele Grüße
Thorsten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 142634
Url: https://administrator.de/contentid/142634
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
MAPI über Firewalls hinweg ist nicht toll. MAPI verwendet RPC, und RPC verwendet dynamische Ports. Bei 2003 konnte man die verwendeten Ports limitieren, http://support.microsoft.com/kb/270836/ für Ex 2k7 kenne ich keinen entsprechend Artikel.
Was du gegen Outlook Anywhere hast verstehe ich nicht, das ist genau dafür gedacht und braucht nicht mehr Bandbreite als MAPI. Vielleicht musst du einfach das Routing mal überdenken?
Nicht funktionierender OOF + OAB: das beides funktioniert bei OL 2k7 an Ex 2k7 definitiv nicht, wenn du nicht Autodiscover verwendest (und wirst du ohne Autodiscover auch niemals zum Fliegen bringen).
Gruß
Filipp
MAPI über Firewalls hinweg ist nicht toll. MAPI verwendet RPC, und RPC verwendet dynamische Ports. Bei 2003 konnte man die verwendeten Ports limitieren, http://support.microsoft.com/kb/270836/ für Ex 2k7 kenne ich keinen entsprechend Artikel.
Was du gegen Outlook Anywhere hast verstehe ich nicht, das ist genau dafür gedacht und braucht nicht mehr Bandbreite als MAPI. Vielleicht musst du einfach das Routing mal überdenken?
Nicht funktionierender OOF + OAB: das beides funktioniert bei OL 2k7 an Ex 2k7 definitiv nicht, wenn du nicht Autodiscover verwendest (und wirst du ohne Autodiscover auch niemals zum Fliegen bringen).
Gruß
Filipp
Okay, wenn ich das jetzt mit Outlook Anywhere darstellen wollte, wie müsste ich das anstellen?
Aus dem Internet funktioniert alles soweit TOP.
Da die Clients aus dem externen Netz aber keinen eigenen DNS Server haben und sich nur in einer Arbeitsgruppe befinden, würden sie sich über den ISA Server nach draussen verbinden und anschl. wieder reinverbinden. Sprich, die doppelte Kapazität der Leitung verbrauchen.
Da dies die blanke Verschwendung wäre, müsste ich eine ander Lösung finden.
Aber wie nur???
Gruß Thorsten
Aus dem Internet funktioniert alles soweit TOP.
Da die Clients aus dem externen Netz aber keinen eigenen DNS Server haben und sich nur in einer Arbeitsgruppe befinden, würden sie sich über den ISA Server nach draussen verbinden und anschl. wieder reinverbinden. Sprich, die doppelte Kapazität der Leitung verbrauchen.
Da dies die blanke Verschwendung wäre, müsste ich eine ander Lösung finden.
Aber wie nur???
Gruß Thorsten
Hallo,
verstehe ich nicht. Dein Router hält eine IP hoch (gegebenfalls auch mehrere), die an den ISA geforwarded wird. Ungünstigstenfalls gehen die VPN-Clients auf das äußere (virtuelle) Interface des routers und gleich wieder rein. Wieso sollten sie vorher zum Provider und von dort wieder zurückgeroutet werden?
Ein tauglicher VPN-Concentrator/Router sollte auch NAT können. Dann nattest du eben die externe IP des ISAs auf sein internes Interface.
Oder auch: ich glaube, du hast da einen Denkfehler drin, aber ohne die genau Infrastruktur zu kennen ist das alles ziemlich in's Blinde.
Gruß
Filipp
verstehe ich nicht. Dein Router hält eine IP hoch (gegebenfalls auch mehrere), die an den ISA geforwarded wird. Ungünstigstenfalls gehen die VPN-Clients auf das äußere (virtuelle) Interface des routers und gleich wieder rein. Wieso sollten sie vorher zum Provider und von dort wieder zurückgeroutet werden?
Ein tauglicher VPN-Concentrator/Router sollte auch NAT können. Dann nattest du eben die externe IP des ISAs auf sein internes Interface.
Oder auch: ich glaube, du hast da einen Denkfehler drin, aber ohne die genau Infrastruktur zu kennen ist das alles ziemlich in's Blinde.
Gruß
Filipp
Hallo nochmal Filipp,
auch wenn es noch ein wenig spät kommt hoffe ich, dass du/oder jemand anderes sich nochmal rein denken kann.
Ich habe nun auch schon ein paar Tage an diesem Problem gesessen und trage nochmal die Ergebnisse meiner Recherchen vor.
Konstellation wie zu Anfang beschrieben:
- Ein Exchange Server 2007 im lokalen Netz
( Alle Serverrollen auf diesem Server – OWA,OAW für mobile Mitarbeiter )
- Clients im lokalen bzw. Niederlassungsnetz
Lokal ( ohne Firewall ) Niederlassung ( durch Firewall getrennt )
Sämtliche benötigten Ports <>1024 sind in der Firewall Richtung Niederlassung geöffnet
Mein Versuch am Hauptstandort im selben lokalen Netz:
- Domänen PCs mit Outlook 2002-2007: = Alle Funktionen gegeben
- Arbeitsgruppen PC mit Office 2002-2003: = Alle Funktionen gegeben
- Arbeitsgruppen PC mit Outlook 2007: Einrichtung über Autodiscovery, zudem sind diverse Anpassungen vorgenommen worden (hosts+Internet Explorer Proxy Ausnahmen)
Installation des Hotfixes kb939184 = Alle Funktionen gegeben
Das einzige Problem welches ich nun noch habe ist das sich Outlook 2007 sporadisch mit einer Anmeldung zur Maildomain meldet. Es handelt sich nicht um die lokale DNS Zone, sondern um die externe (von uns nicht verwaltet).
Diese Passwortabfrage kommt jede Stunde und ist ziemlich nervig (in Niederlassung alle 5 min.).
Wie bekomme ich den Autodiscovery lokal vernünftig zum Laufen??
Die SCP sind lokal ja nicht vorhanden, also geht er bei der Suche nach den Einstellungen so vor:
Exchange RPC:
1. https://maildomain/autodiscover
2. https://autodiscover.maildomain/autodiscover
3. local autodiscover for maildomain
4. Srv Record lookup
5. Redirect check http://autodiscover.maildomain/autodiscover
Exchange http:
6. https://“in den Einstellungen von Exchange hinterlegte externe OWA Adresse“
Wenn ich den Test: „E-Mail Autokonfiguration testen“ mache, sucht er als erstes nach den Einstellungen in der Maildomain Punkt 1-3 (dort liegen sie natürlich nicht) weil es wie bereits beschrieben nicht unsere lokale DNS Zone ist (es erscheint das Authentifizierungsfeld für die „maildomain“, welches ich nur abbrechen kann).
Wenn er beim Punkt Srv-Record ankommt erscheint ein weiteres Authentifizierungsfeld, welches den Benutzernamen und das Passwort für die externe OWA Adresse haben möchte. Nachdem ich ihm diese Infos gegeben habe, kann er den Autoermittlungstest erfolgreich abschließen.
Alle Bemühungen Autodiscovery auszutricksen (z.B. indem ich von unserem Dienstanbieter die Subdomain autodiscover hab einrichten lassen etc), sind fehlgeschlagen…
Wenn ich den Proxy beim IE nun herausnehme, funktioniert alles!!! Es ist zum Verzweifeln.
Ausnahmen sind: *.maildomain; lokales Netz; localhost
Gruß, Thorsten
auch wenn es noch ein wenig spät kommt hoffe ich, dass du/oder jemand anderes sich nochmal rein denken kann.
Ich habe nun auch schon ein paar Tage an diesem Problem gesessen und trage nochmal die Ergebnisse meiner Recherchen vor.
Konstellation wie zu Anfang beschrieben:
- Ein Exchange Server 2007 im lokalen Netz
( Alle Serverrollen auf diesem Server – OWA,OAW für mobile Mitarbeiter )
- Clients im lokalen bzw. Niederlassungsnetz
Lokal ( ohne Firewall ) Niederlassung ( durch Firewall getrennt )
Sämtliche benötigten Ports <>1024 sind in der Firewall Richtung Niederlassung geöffnet
Mein Versuch am Hauptstandort im selben lokalen Netz:
- Domänen PCs mit Outlook 2002-2007: = Alle Funktionen gegeben
- Arbeitsgruppen PC mit Office 2002-2003: = Alle Funktionen gegeben
- Arbeitsgruppen PC mit Outlook 2007: Einrichtung über Autodiscovery, zudem sind diverse Anpassungen vorgenommen worden (hosts+Internet Explorer Proxy Ausnahmen)
Installation des Hotfixes kb939184 = Alle Funktionen gegeben
Das einzige Problem welches ich nun noch habe ist das sich Outlook 2007 sporadisch mit einer Anmeldung zur Maildomain meldet. Es handelt sich nicht um die lokale DNS Zone, sondern um die externe (von uns nicht verwaltet).
Diese Passwortabfrage kommt jede Stunde und ist ziemlich nervig (in Niederlassung alle 5 min.).
Wie bekomme ich den Autodiscovery lokal vernünftig zum Laufen??
Die SCP sind lokal ja nicht vorhanden, also geht er bei der Suche nach den Einstellungen so vor:
Exchange RPC:
1. https://maildomain/autodiscover
2. https://autodiscover.maildomain/autodiscover
3. local autodiscover for maildomain
4. Srv Record lookup
5. Redirect check http://autodiscover.maildomain/autodiscover
Exchange http:
6. https://“in den Einstellungen von Exchange hinterlegte externe OWA Adresse“
Wenn ich den Test: „E-Mail Autokonfiguration testen“ mache, sucht er als erstes nach den Einstellungen in der Maildomain Punkt 1-3 (dort liegen sie natürlich nicht) weil es wie bereits beschrieben nicht unsere lokale DNS Zone ist (es erscheint das Authentifizierungsfeld für die „maildomain“, welches ich nur abbrechen kann).
Wenn er beim Punkt Srv-Record ankommt erscheint ein weiteres Authentifizierungsfeld, welches den Benutzernamen und das Passwort für die externe OWA Adresse haben möchte. Nachdem ich ihm diese Infos gegeben habe, kann er den Autoermittlungstest erfolgreich abschließen.
Alle Bemühungen Autodiscovery auszutricksen (z.B. indem ich von unserem Dienstanbieter die Subdomain autodiscover hab einrichten lassen etc), sind fehlgeschlagen…
Wenn ich den Proxy beim IE nun herausnehme, funktioniert alles!!! Es ist zum Verzweifeln.
Ausnahmen sind: *.maildomain; lokales Netz; localhost
Gruß, Thorsten
