halington
Goto Top

Zugriff von externem Outlook auf internen Exchange

Hallo zusammen,

ich habe ein kleines Problem mit dem externen Zugriff per Outlook auf meinen Exchange.

Infrastruktur:
ESXi mit diversen Systemen; u.a. ein Server 2012 R2 als DC mit Exchange 2016 und einen Win 10 Pro Client mit Office Home and Business 2016
Als physikalisches System habe ich einen Win 10 Pro-Rechner mit Office Home and Business 2016.

Den DC hab ich entsprechend installiert und konfiguriert (AD, DHCP etc). Exchange ist auch eingerichtet. Mit dem virtuellen Win 10-Client kann ich mein Exchange-Konto ohne Probleme binnen Sekunden einrichten. Läuft alles (Mails synchronisieren, abrufen/versenden).
Ich bekomm es nur nicht hin die Mails von extern abzurufen. Da ist noch eine Hardware-Firewall vor geschaltet. Die hab ich aber entsprechend konfiguriert. Da wird auch nix geblockt (hab ich in den Protokollen kontrolliert). Der Fehler muss also irgendwo in der Exchange-Konfig liegen.

Fehlermeldung:
An Exchange ActiveSync-E-Mail-Server anmelden (EAS): Der Server wurde nicht gefunden.

Was mir jetzt noch aufgefallen ist: Im Exchange Admin Center unter Server --> Virtuelle Verzeichnisse wollte ich per "Domäne mit externem Zugriff konfigurieren" meine DynDNS-Adresse eintragen. Leider kann ich da nix konfigurieren. Die Liste ist leer.....

Hat jemand eine Idee woran es hier hängt?


Grüße
Halington

Content-ID: 330677

Url: https://administrator.de/forum/zugriff-von-externem-outlook-auf-internen-exchange-330677.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

GuentherH
GuentherH 27.02.2017 aktualisiert um 21:32:17 Uhr
Goto Top
Ich bekomm es nur nicht hin die Mails von extern abzurufen

Das wird dir mit dem Exchange auch nicht gelingen. Dazu benötigst du einen POP3 Connector oder läßt dir die E-Mails direkt über SMTP zustellen.

Wenn es um den externen Zugriff von Outlook auf deinen Exchange geht, dann gelten natürlich die Links im vorigen Beitrag.

Auch dazu gibt es genügend Beiträge hier am Board.

LG Günther
halington
halington 27.02.2017 um 22:53:17 Uhr
Goto Top
Danke an euch beide. POPCon hab ich installiert.
Ich werd mir mal die Beiträge durch lesen. Danke für die Infos.
halington
halington 28.02.2017 aktualisiert um 12:15:58 Uhr
Goto Top
Hallo zusammen,

irgendwo muss ich bei der ganzen Sache Mist gebaut haben.
Hab alles der obigen Anleitung nach KOnfiguriert (bis auf die UTM).
Jetzt kann ich aber nicht mal mehr intern das Exchange-Konto einbinden (was gestern noch ging bevor ich angefangen hab).
Fehlermeldung beim Verbinden des Mail-Kontos per Outlook:

Problem beim herstellen der Verbindung mit dme Server.
Netzwerkverbindung herstellen (geht noch; grüner Haken)
Nach name@firma.de-Einstellungen suchen (geht nicht mehr)

Leider konnten wir Ihr Konto nciht automatisch einrichten. Um es selbst einzurichten, klicken SIe auf weiter.

Hat jemand eine Idee wo ich da ansetzen kann?
132272
132272 28.02.2017 aktualisiert um 12:20:56 Uhr
Goto Top
Nochmal alles bereinigen und neu starten. Du wirst nicht alles beachtet haben. Vor allem DNS (evt. SplitDNS) und Zertifikat sind essentiell, sowie auch die MAPIoHTTP URL etc. Bei der Anleitung von Franky kann man nichts falsch machen, damit läuft das 100%ig zumal er es auch absolut perfekt erklärt, da braucht es dann auch kein Rumraten mehr. Wir können hier ja nicht hellsehen was du tatsächlich machst. Und zwischendurch auch mal den Exchange durchstarten.
halington
halington 28.02.2017 um 12:21:20 Uhr
Goto Top
Ich find die Anleitung prinzipiell auch super. Das Einzige wo ich mich wahrscheilich verheddert hab war die Domäne. Ich benutze intern eine .local und extern eine .de. Er benutzt für beides eine .org. Wahrscheinlich hab ich mich da heute Nacht im Zuge meiner geistigen Umnachtung vertan.....
132272
132272 28.02.2017 aktualisiert um 12:24:26 Uhr
Goto Top
Zitat von @halington:

Ich find die Anleitung prinzipiell auch super. Das Einzige wo ich mich wahrscheilich verheddert hab war die Domäne. Ich benutze intern eine .local und extern eine .de.
Dann benötigst du entweder ein Zertifikat deiner internen CA oder selbstsigniert mit beiden FQDNs inkl. Autodiscover oder du machst es mit einem offiziellen Zertifikat und internem Split-DNS bei dem du intern die externe Zone auf dem DNS-Server anlegst welche auf die interne IP zeigt.

Beim setzen wirklich aller URLs hilft dir auch dieses Skript zuverlässig:
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
halington
halington 28.02.2017 um 14:12:16 Uhr
Goto Top
Kannste vergessen. Die externe Domäne vom Franky ist nicht .org sondern .com.
Muss ich heute Nacht voll überlesen haben......
Ich hab jetzt meinen DC still gelegt und fang von ganz vorne an.
Übung macht den Meister......
Danke für eure Hilfe.
132272
132272 28.02.2017 aktualisiert um 15:06:59 Uhr
Goto Top
Org oder COM ist doch Jacke wie Hose solange du deine richtig angibst face-smile
halington
halington 28.02.2017 aktualisiert um 22:51:06 Uhr
Goto Top
Ja wenn man weiß wo was eigesetzt wird ist das kein Problem.... face-smile
Anscheinend bin ich zu blöd für die ganze Sache.
Ich häng jetzt gerade am DNS. Vielleicht kann mich ja jemand etwas erhellen.

"Für die Domain frankysweb.org gibt es nun 2 DNS Server, einen öffentlichen DNS Server bei Strato und einen internen DNS Server den wir eben mit der AD-Rolle installiert haben. Wenn ein interner Client, beispielweise ein PC, nun versucht www.frankysweb.org aufzurufen, wird der DC mit Non-Existent antworten. Der interne DNS (DC) kennt eben keinen Host mit dem Namen www, also muss er entsprechend angelegt werden. Damit intern auf www.frankysweb.org zugegriffen werden kann, muss also ein HOST-A Eintrag mit dem Namen www. erstellt werden. Als IP Adresse wird die öffentliche IP des Webservers bei Strato eingegeben"

Versteh ich nicht. Wie er hab ich auch eine Sophos UTM. Ich hab (wie er) auf dem DC als DNS die IP der UTM eingetragen. Auf der UTM hab ich als DNS-Forwarder die Google-DNS-Server konfiguriert (8.8.8.8 und 8.8.4.4). Wieso sollte ich da wegen meiner externen domain firma.de noch statische Einträge auf meinem internen DNS konfigurieren? Die Namensauflösung funktioniert doch in der Konfig (mit nslookup getestet)!?

Das DNS ist gem. diversen manuals von Sophos so konfiguriert das alle DNS-Anfragen über die UTM laufen um DNS poisoning/spoofing zu verhindern.

Quelle: https://www.frankysweb.de/aufbau-einer-kleinen-exchange-2016-organisatio ...
132272
132272 01.03.2017 aktualisiert um 09:01:46 Uhr
Goto Top
Zitat von @halington:
"Für die Domain frankysweb.org gibt es nun 2 DNS Server, einen öffentlichen DNS Server bei Strato und einen internen DNS Server den wir eben mit der AD-Rolle installiert haben.
Korrekt.
Wenn ein interner Client, beispielweise ein PC, nun versucht www.frankysweb.org aufzurufen, wird der DC mit Non-Existent antworten.
Nein, er wir die Anfrage gleich an den Forwarder schicken wenn die externe Zone intern noch nicht existiert.
Der interne DNS (DC) kennt eben keinen Host mit dem Namen www, also muss er entsprechend angelegt werden. Damit intern auf www.frankysweb.org zugegriffen werden kann, muss also ein HOST-A Eintrag mit dem Namen www. erstellt werden.
Du brauchst hier nicht die ganze externe Zone anlegen, denn dann müsstest du alle Einträge die du extern vornimmst auch intern nachpflegen. Stattdessen legst du den Zugriffsnamen direkt als eigene Zone an mail.domain.de und legst darin einen leeren A-Record mit der internen IP des Exchange an.
Das ganze machst du auch mit der autodiscover Subdomain, als neue Zone also autodiscover.domain.de anlegen und leeren A-Record mit IP des EX angeben (das ist nur für Non-Domain-Clients im internen Netz, da Domain-Clients intern den Service-Connection-Point im AD fürs Autodiscover nutzen).

Wieso sollte ich da wegen meiner externen domain firma.de noch statische Einträge auf meinem internen DNS konfigurieren? Die Namensauflösung funktioniert doch in der Konfig (mit nslookup getestet)!?
Weil man vermeiden will das bei internen Requests die Anfrage erst nach extern geht und es somit zu einem Loopback-NAT(Hairpin-NAT) kommt, das oftmals je nach Router zu Problemen führen kann!
Eigentlich ganz einfach wenn man grundlegendes Verständnis von DNS hat.
halington
halington 01.03.2017 um 09:32:30 Uhr
Goto Top
Danke für deine Infos cruzer.
Wenn ich das jetzt auf meine Umgebung umlege (interne Domäne: firmamain.local; externe Domäne: firma.de) bedeutet das:
für mail.firmamain.local und autodiscover.firmamain.local entsprechende eigene Zonen mit leeren A-Records und der internen IP des Exchange anlegen, oder?
132272
132272 01.03.2017 aktualisiert um 09:47:04 Uhr
Goto Top
Zitat von @halington:

Danke für deine Infos cruzer.
Wenn ich das jetzt auf meine Umgebung umlege (interne Domäne: firmamain.local; externe Domäne: firma.de) bedeutet das:
für mail.firmamain.local und autodiscover.firmamain.local entsprechende eigene Zonen mit leeren A-Records und der internen IP des Exchange anlegen, oder?
Nein, das ist natürlich Unsinn! Du solltest dringend mal den Begriff Split-DNS googeln.
Intern legen wir natürlich nicht nochmal die interne an sondern die externe, also ersetze Firmamain.local durch Firma.de.

Bist du noch in der Ausbildung oder erzwungener Umsteiger?
halington
halington 08.03.2017 um 19:31:07 Uhr
Goto Top
Hab's hi bekommen. Danke dir.