andrew 15 Geschrieben 1. Mai 2015 Melden Teilen Geschrieben 1. Mai 2015 (bearbeitet) hello together Problemstellung Outlooks haben beim Einrichten bzw. beim AutoDiscoverTest via Outlook (rechte Maustaste auf Outlook Icon/ Autokonfiguration testen) Fehler gebracht. Konkret: den Fehler, welcher auch hier in diesem Print Screen ersichtlich ist http://www.shudnow.net/?s=Set-ClientAccessServer (Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Webseite überein) Der FQDN auf dem Sicherheitsfenster, welcher diesen Fehler bringt lautet: autodiscover.firma.ch, sollte aber meiner Meinung nach gleich lauten wie der Allgemein Name im Zertifikat, auf dessen öffentlichen FQDN ich den Namen per interne CA ausgestellt habe > remote.firma.ch Diese FQDN kann man drehen (dachte ich), mit folgendem Befehl via Exchange Shell dies versuscht Set-ClientAccessServer -Identity CASserverName -AutoDiscoverServiceInternalUri https://remote.firma.ch/autodiscover/autodiscover.XML Nun, wenn ich diesen Befehl absetze Und: via Get-ClientAccessServer | fl *Auto* mir alle Autoeinträge via Shell anzeigen lassen, so ist jeder Eintrag leer?! Auch der Eintrag AutoDiscoverServiceInternalUri, welcher ja nun nach diesem Befehl die URL https://remote.firma.ch/autodiscover/autodiscover.XML beinhalten sollte?! Zur Info Weil das manuelle löschen und neu erstellen aller virtueller Exchange Verzeichnisse nicht geholfen hatte (nur das deinstallieren aller virtuellen Exchange Verzeichnisse funktionierte, nicht aber wieder das Erstellen), habe ich kurzerhand die "client access role" neu installiert Danach die externen und interne URLs jeweils auf den gleichen FQDN gewechselt (remote.firma.ch) Nun habe ich das Problem, dass ich das Outlook, auch wenn ich das Profil lösche, gar nicht öffnen kann. Fehler: Microsoft Outlook kann nicht gestartet werden. Das Outlook-Fenster kann nicht geöffnet werden. Diese Ordnergruppe kann nicht geöffnet werden. Nun, ich meinte aber, in diesem Szenario hier den Fehler evtl. da zu suchen? Warum ist nach der Neuinstallation auf dem SBS 2011 Server der "client access role" hier alles leer? Warum kann ich via Set-ClientAccessServer -Identity CASserverName -AutoDiscoverServiceInternalUri https://remote.firma.ch/autodiscover/autodiscover.XML die URL nicht setzen und danach ist nach wie vor alles leer, wenn ich prüfen, ob die URL gesetzt wurde? [PS] C:\Users\Administrator\Desktop>Get-ClientAccessServer | fl *Auto* AutoDiscoverServiceCN :AutoDiscoverServiceClassName :AutoDiscoverServiceInternalUri :AutoDiscoverServiceGuid :AutoDiscoverSiteScope : [PS] C:\Users\Administrator\Desktop> Was geht? => OWA funktioniert => Active Sync funktioniert bearbeitet 1. Mai 2015 von andrew Zitieren Link zu diesem Kommentar
testperson 1.528 Geschrieben 1. Mai 2015 Melden Teilen Geschrieben 1. Mai 2015 Hi, der SBS hat genau dafür Assistenten, die sollteste du auch nutzen. Hast du den SBS komplett neu aufgesetzt oder ist das eine Migration? Ist der Exchange (und auch der Rest des SBS) aktuell gepatched? Gruß Jan Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 3. Mai 2015 Autor Melden Teilen Geschrieben 3. Mai 2015 Ich weiss, dass bei SBS vieles über den oder die Assistenten läuft, jedoch sind diese nicht ohne jeden Zweifel erhaben. Kurz: Der oder die Assistenten können nicht immer (alle) Fehler beheben. Folgendes Beispiel Es gibt einen Assistenten unter Netzwerk/ Konnektivität/ Tasks (in der rechten Spalte der SBS Standard Konsole), Punkt "Beheben von Netzwerkproblemen" In meinem Fall wollte der SBS Assistent unter anderem folgende Punkte korrigieren => Zertifikat => DNS Weiterleitung => Firewall könne nicht konfiguriert werden Das Ausführen des Assistenten hat das Problem des Zertifikats NICHT lösen können, in der SBS Standard Konsole ist nach wie vor das gleiche Zertifikat vorhanden. Zum Punkt Zertifikat Dieses muss meiner Ansicht nach auch nicht geändert werden, da ich dieses via IIS Manager erstellt habe, der SBS internen Zertifizierungsstelle den Request eingesandt, für jeden Dienst (SMTP, IIS, ActiveSync,OWA usw.) einen öffentlichen DNS Namen hinterlegt habe (remote.firma.ch) und auch diese entsprechenden Dienste für das Zertifikat aktiviert sind. Kurz, meiner Ansicht nach ist das Zertifikat korrekt. Der Allgemeine FQDN lautet remote.firma.ch, so lautet auch der OWA Zugriff für die Firma https://remote.firma.ch/owa Beim OWA Zugriff funktioniert auch alles, auch ActiveSync funktioniert. Zum Punkt DNS Weiterleitung Warum dem SBS Netzwerk Assistenten die DNS Weiterleitung ein Dorn im Auge ist, verstehe ich ehrlich gesagt nicht. Im Gegenteil, eine DNS Weiterleitung wird aus Sicherheitsgründen empfohlen. Denn wenn ich den DNS Server so konfiguriere, dass alle Anfragen, welche er nicht autorisierend beantworten kann, an den DNS Server weiterleite, welche unter Weiterleitungen eingetragen ist, laufe ich nicht Gefahr, das z.B. ein kompromittierter Client im Netzwerk (oder Server) DNS Anfragen an einen "gefälschten" DNS Server im Internet weiterleitet. Zum Punkt: Firewall konnte nicht automatisch konfiguriert werden Automatische Portfreigaben über UPnP einrichten lassen ist schon lange nicht mehr "state of the art", da aus Gründen der Sicherheit dadurch automatisch eine Angriffsmöglichkeit mehr besteht und dringend auf jedem Router deaktiviert werden sollte! ------------------------------------- Es gibt aber keinen Assistenten, welcher auf mein Problem eingeht (siehe den Titel meines Beitrags)! Hier anbei mein persönlicher Input hierzu WICHTIG!Get-ClientAccessServer | fl *Auto* muss diese Einträge hier bringen----------AutoDiscoverServiceCN : SBSSTD1AutoDiscoverServiceClassName : ms-Exchange-AutoDiscover-ServiceAutoDiscoverServiceInternalUri : https://remote.firma.ch/Autodiscover/Autodiscover.xmlAutoDiscoverServiceGuid : 77378f46-2c66-4aa9-a6a6-3e7a48b19596AutoDiscoverSiteScope : {Default-First-Site-Name}---------- Fehlen diesen Einträge (alle Autodiscovereinträge sind leer), muss kontrolliert werden, ob im SCP (ADSIEdit) in den Eigenschaften des Attributs "Keywords" folgende Einträge hier vorhanden sind=> 77378f46-2c66-4aa9-a6a6-3e7a48b19596 (entspricht AutoDiscoverServiceGuid)=> Site=Default-First-Site-Name Besonders wichtig ist hierbei, dass der Keywords Eintrag 77378f46-2c66-4aa9-a6a6-3e7a48b19596 vorhanden ist.Ist dieser Eintrag nicht vorhanden, so fehlen auch alle anderen Autodiscover Einträge (Get-ClientAccessServer) - so war es zumindest bei mir. (wenn ich mich jetzt nicht ganz grob täusche, kann es sogar soweit kommen, dass beim Öffnen des Outlooks der Start verweigert wird und die Meldung erscheint, dass das Outlook Fenster nicht geöffnet werden könne) > Fehlermeldung Sinngemäss Als ich den Eigenschaften des SCP (Service Connection Point) via ADSIEdit den Eintrag Keywords zusätzlich mit dem Eintrag 77378f46-2c66-4aa9-a6a6-3e7a48b19596 ergänzt habe, erschienen dann auch später via Exchange Shell Befehl Get-ClientAccessServer | fl *Auto* alle Autodiscover Einträge Die Situation ist nun wie folgt: => Via Set-ClientAccessServer folgenden Eintrag gesetzt: AutoDiscoverServiceInternalUri : https://remote.firma.ch/Autodiscover/Autodiscover.XML => für jedes virtuelle Exchange Verzeichnis die öffentliche URL eingetragen (gemäss dem FQDN auf dem Zertifikat, welches ich via ISS Manager frisch erstellt habe und auch die entsprechende Dienste zugewiesen sind) Folgende, virtuelle Verzeichnisse die externe URL und interne URL auf den gleichen, öffentlichen FQDN angepasst - AutodiscoverVirtualDirectory - EcpVirtualDirectory - WebServicesVirtualDirectory - ActiveSyncVirtualDirectory - OABVirtualDirectory - OwaVirtualDirectory Wenn ich nun ein Outlook Profil neu einrichte, so erscheint ein Sicherheitshinweis, welche im Titel den FQDN hat: autodiscover.Firma.ch Frage: Warum erscheint dieser FQDN im Sicherheitshinweis, wenn ich doch alle URLs, den ClientAccessServer dazu angewiesen habe, die URL https://remote.firma.ch/ zu verwenden? Irgendwo muss noch der FQDN autodiscover.Firma.ch hinterlegt sein, aber wo? Ich war bis heute der Meinung, spätestens dann, wenn ich folgenden Befehl absetze Set-ClientAccessServer -Identity sbsstd1 -AutoDiscoverServiceInternalUri https://remote.firma.ch/Autodiscover/Autodiscover.XML das Outlook nach dem FQDN remote.firma.ch suchen sollte Und: da das Zertifikat auf genau einen FQDN ausgestellt ist, nämlich remote.firma.ch dann auch keine Autodiscover Fehlermeldung erscheinen dürfte? Zitieren Link zu diesem Kommentar
testperson 1.528 Geschrieben 3. Mai 2015 Melden Teilen Geschrieben 3. Mai 2015 Hi, ich gehe davon aus, dass der SBS von Anfang an nicht mit dem Assistenten eingerichtet wurde? Nochmal die Frage: Ist alles (SBS / Exchange) aktuell gepatched? Gibt es evtl. noch einen Proxy Server der auf den Clients genutzt wird? Wie sieht die DNS Konfiguration der Clients aus? Kann es sein, dass das Zertifikat evtl. vom (Website) Provider kommt? Hast du auch Split DNS konfiguriert oder "nur" die virtuellen Verzeichnisse entsprechend konfiguriert? Wie lange hast du denn nach dem Ändern der virtuellen Verzeichnisse und einem erneuten Test gewartet? Starte ggfs. Server und Client einmal neu und teste erneut. DNS Weiterleitungen: Verstehe ich nicht ganz. Wenn keine Weiterleitung eingetragen ist, befragt der SBS die Root Server. Ansonsten halt die Weiterleitung, die dem SBS normalerweise auch kein Dorn im Auge ist. Damit Clients keine "fremden" DNS Server abfragen lässt eine Firewall in der Regel auch nur die internen DNS Server nach extern abfragen. Firewall / UPnP: Korrekt sollte deaktiviert sein. Der Assistent meldet im Fehlerfall allerdings, dass du die Firewall doch bitte von Hand anpasst, sofern er es nicht geschafft hat. Gruß Jan Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 3. Mai 2015 Autor Melden Teilen Geschrieben 3. Mai 2015 => Der SBS 2011 ist im Jahr 2011 eingerichtet worden, wie und was weiss ich leider nicht, da ich damals noch nicht in dieser EDV Firma war => Patchstand: Jawohl, die interne EDV patchen wir selbstverständlich gemäss dem Microsoft Update Zyklus (jeden Dienstag des Monats erscheinen neue Windows Updates) Somit ist auch der SBS 2011 Windows Update technisch auf dem neusten Stand => Exchange Patchstand: get-exchangeserver | fl | findstr ‘AdminDisplayVersion’ zeigt mir Version 14.3 (Build 123.4) Gemäss Microsoft Exchange Patchstand Seite entspricht dieser Build dem hier: Microsoft Exchange Server 2010 SP3 14.3.123.4 2/12/2013 KB2808208 Macht mich aber nun stutzig, da ich der Meinung bin, vor noch nicht langer Zeit (vielleicht 2 Monaten), den neusten Build für Exchange eingespielt zu haben. Dieser wäre ja Update Rollup 9 for Exchange Server 2010 SP3 14.3.235.1 3/17/2015 KB3030085 Habe soeben auf dem Exchange Server nachgeschaut Und: ich hatte damals effektiv KB3030085 heruntergeladen und auch installiert, denn ein Blick in die Systemsteuerung/ installierte Updates: nach Updates suchen, KB3030085 eingeben und Enter sagt: dass dieser KB in der Systemsteuerung/ installierte Windows Updates erscheint hmm...heisst: warum zeigt mir dann der Befehl in der Exchange Shell nicht auch diesen neuen Stand an *zig Fragezeichen vor meinen Augen* Soll ich diesen UpdateRollup einfach nochmals darüber installieren? => kein Proxy Server im Einsatz => jeder Client im Netzwerk bekommt via DHCP A einen Adressbereich, in welchem auch der Server ist Und: erhält zusätzlich, unter anderem auch als DNS Server den SBS 2011 Server über. Dieser leitet die DNS Anfragen, wenn er Sie nicht autorisierend beantworten kann, an die Firewall weiter, welcher die öffentlichen DNS Server kennt (vom ISP) => jawohl: Split DNS ist eingerichtet, das heisst, eine zusätzliche DNS Forwardzone ist eingerichtet, lautet auf den Namen remote.firma.ch und beinhaltet einen A-Record, welcher auf den SBS 2011 Server zeigt. Heisst, ein nslookup von einem Client ausgeführt, vom TS ausgeführt (als Beispiel), gibt mir für den FQDN remote.firma.ch die korrekte IPv4 Adresse zurück => nach dem Erstellen der virtuellen Verzeichnisse habe ich den Server neu gebootet. => ich habe mehrmals, so auch gerade vorhin (sind schon seit dem erneuern der virtuellen Verzeichnisse über 12 Stunden vorbei) beispielsweise auf dem RDS Server (Outlook 2013 ist überall im Einsatz) das Outlook Profil gelöscht und immer wieder versucht, auch via Autodiscover Test via rechte Maustaste auf das Outlook Icon geklickt und den Autodiscover test laufen lassen. nach wie vor die gleiche Fehlermeldung, auch auf einem Windows 8.1 PC, mit hinterlegtem DNS Server, welcher auf den SBS 2011 zeigt Und: mit gleichem Outlook (2013). Wobei zu erwähnen ist, dass die Sicherheitswarnung nicht immer kommt, aber sehr oft?! noch was zu DNS und RootServer. Wenn die RootServer kontaktiert werden sollen, so muss natürlich auf der Firewall (LAN zu WAN) der DNs Port 53 offen sein, die Frage ist: Habt Ihr bei euch intern auf der Firewall dies so erlaubt? Wenn ja, siehe oben meine Bemerkung. Denn angenommen, dein oder eure DNS Server sind von einem Virus befallen, welcher DNS Anfragen von eurem internen Netz an gefälschte DNS Server weiterleiten will, so würde dies z.B. dann gelingen, wenn auf eurer Firewall vom betreffenden DNS Server(n) (DNs Anfragen in das Internet weitergeleitet werden) bzw. Firewall Regeln von innen nach aussen DNS Port 53 an any weitergeleitet würden (was viele Admins so einrichten). Und: wen die Root Server DNS Anfragen beantworten sollen, falls der DNS Server diese nicht selber autorisierend beantworten kann, so muss eben wie ich erklärt habe, auch ein DNS Port (53) von intern nach aussen offen sein. Die Frage ist, wohin offen? Habt Ihr in dem Fall auf der Firewall Regel von intern nach aussen DNS nur an eine DNS Gruppe erlaubt, zum Beispiel an die Root Server? Dann wäre das Sicherheitsrisiko schon wieder etwas geringer, dass DNS technisch Missbräuche vom internen LAN in das Internet vorgenommen werden können. Wenn ich aber eine Weiterleitung auf dem DNS Server hinterlege, diese auf die Firewall zeigt, so muss ich => A: keine DNS Firewall Regel von LAN zu WAN erstellen (ein Port von innen gegen aussen weniger offen) => B: wie oben erklärt, der Server leitetet DNS Anfragen nur an die Firewall, sonst nirgends woanders hin! Wir haben in unserer Firma keine speziellen Anforderungen, dass beispielsweise aus speziellen Gründen, die Root Server kontaktiert werden müssen. Gemäss dem so konfigurierten Szenario funktioniert die DNS Auflösung genau so gut, weil ja die Firewall die öffentlichen DNS Server kennt (entweder, weil diese per DHCP auf der WAN Schnittstelle vergeben werden oder weil Sie ggf. manuell auf der Firewall hinterlegt sind). P.S. Ich bin übrigens auch kein Freund von Portweiterleitungen (NAT Regeln > von WAN zu LAN) Da es theoretisch ja möglich ist, über nur einen offenen Port von der Firewall in ein Firmennetz zu gelangen. Wobei, es ist klar, das hierbei noch andere Faktoren mitspielen, nicht zuletzt natürlich auch die Qualitäten des Angreifers :-) Aber das ist ja hier gerade nicht das Thema, wollte nicht abschweifen.... Zu meiner Situation hier: Ich habe auf dem Exchange noch folgenden Befehl laufen lassen Test-OutlookWebServices -Identity "vorname.nachname@firma.ch" | fl Hier der Auszug Id : 1012 Type : Warning Message : XML>Unknown Node:OwnerSmtpAddress OwnerSmtpAddress Line:[url=http://schemas.microsoft.com/exchange/autodiscover]http://schemas.microsoft.com/exchange/autodiscover[/url] /outlook/responseschema/2006a RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Object being deserialized: Microsoft.Exchange.Management.SystemConfigurationTasks.AutoDiscoverAlternat iveMailbox RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Element RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Unknown Element:System.Xml.XmlElement Line:70(9) Sitzungszimmer@remote.firma.ch RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Unknown Node:AlternativeMailbox AlternativeMailbox Line:[url=http://schemas.microsoft.com/exchange/autodisc]http://schemas.microsoft.com/exchange/autodisc[/url] over/outlook/responseschema/2006a RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Object being deserialized: Microsoft.Exchange.Management.SystemConfigurationTasks.AutoDiscoverAccount RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Element RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Unknown Element:System.Xml.XmlElement Line:77(8) <Type xmlns="[url=http://schemas.microsoft.com/exchange/au]http://schemas.microsoft.com/exchange/au[/url] todiscover/outlook/responseschema/2006a">Delegate</Type><DisplayName xmlns="[url=http://schemas.microsoft.com/e]http://schemas.microsoft.com/e[/url] xchange/autodiscover/outlook/responseschema/2006a">Technik</DisplayName><SmtpAddress xmlns="[url=http://schemas]http://schemas[/url] .microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">Technik@firma.ch</SmtpAddress><OwnerSmt pAddress xmlns="[url=http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a]http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">Technik@d[/url] diag.ch</OwnerSmtpAddress> RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Unknown Node:AlternativeMailbox AlternativeMailbox Line:[url=http://schemas.microsoft.com/exchange/autodisc]http://schemas.microsoft.com/exchange/autodisc[/url] over/outlook/responseschema/2006a RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Object being deserialized: Microsoft.Exchange.Management.SystemConfigurationTasks.AutoDiscoverAccount RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Element RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1012 Type : Warning Message : XML>Unknown Element:System.Xml.XmlElement Line:83(7) <Type xmlns="[url=http://schemas.microsoft.com/exchange/au]http://schemas.microsoft.com/exchange/au[/url] todiscover/outlook/responseschema/2006a">Delegate</Type><DisplayName xmlns="[url=http://schemas.microsoft.com/e]http://schemas.microsoft.com/e[/url] xchange/autodiscover/outlook/responseschema/2006a">Support</DisplayName><SmtpAddress xmlns="[url=http://schemas]http://schemas[/url] .microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">Support@firma.ch</SmtpAddress><OwnerSmt pAddress xmlns="[url=http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a]http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">Support@d[/url] diag.ch</OwnerSmtpAddress> RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1006 Type : Information Message : AutoErmittlung wird eine Verbindung mit der URL [url=https://remote.firma.ch/Autodiscover/Autodiscover.xml]https://remote.firma.ch/Autodiscover/Autodiscover.xml[/url] hers tellen. Id : 1006 Type : Information Message : AutoErmittlung wird eine Verbindung mit der URL [url=https://remote.firma.ch/Autodiscover/Autodiscover.xml]https://remote.firma.ch/Autodiscover/Autodiscover.xml[/url] hers tellen. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1016 Type : Information Message : [EXCH] Der Dienst AS wurde für diesen Benutzer in der von [url=https://remote.firma.ch/Autodiscover/Autodiscove]https://remote.firma.ch/Autodiscover/Autodiscove[/url] r.xml empfangenen AutoErmittlungsantwort konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1015 Type : Information Message : [EXCH] Der Dienst OAB wurde für diesen Benutzer in der von [url=https://remote.firma.ch/Autodiscover/Autodiscov]https://remote.firma.ch/Autodiscover/Autodiscov[/url] er.xml empfangenen AutoErmittlungsantwort konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1014 Type : Warning Message : [EXCH] Der Dienst UM wurde für diesen Benutzer in der von [url=https://remote.firma.ch/Autodiscover/Autodiscove]https://remote.firma.ch/Autodiscover/Autodiscove[/url] r.xml empfangenen AutoErmittlungsantwort nicht konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1016 Type : Information Message : [EXPR] Der Dienst AS wurde für diesen Benutzer in der von [url=https://remote.firma.ch/Autodiscover/Autodiscove]https://remote.firma.ch/Autodiscover/Autodiscove[/url] r.xml empfangenen AutoErmittlungsantwort konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1015 Type : Information Message : [EXPR] Der Dienst OAB wurde für diesen Benutzer in der von [url=https://remote.firma.ch/Autodiscover/Autodiscov]https://remote.firma.ch/Autodiscover/Autodiscov[/url] er.xml empfangenen AutoErmittlungsantwort konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1014 Type : Warning Message : [EXPR] Der Dienst UM wurde für diesen Benutzer in der von [url=https://remote.firma.ch/Autodiscover/Autodiscove]https://remote.firma.ch/Autodiscover/Autodiscove[/url] r.xml empfangenen AutoErmittlungsantwort nicht konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1022 Type : Success Message : AutoErmittlung erfolgreich getestet. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1021 Type : Information Message : Die folgenden Webdienste haben Fehler generiert: UM in EXCHUM in EXPR. Verwenden Sie die vorherige Ausgabe zur Diagnose und Korrektur der Fehler. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1104 Type : Error Message : Das Zertifikat für die URL "[url=https://sbsstd1.firma.local/Autodiscover/Autodiscover.xml]https://sbsstd1.firma.local/Autodiscover/Autodiscover.xml"[/url]ist falsch. Damit S SL funktioniert, muss der Antragsteller des Zertifikats "sbsstd1.firma.local" lauten, der Antragsteller la utete jedoch "remote.firma.ch". Korrigieren Sie die Diensterkennung, oder installieren Sie ein korrektes S SL-Zertifikat. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Unknown Node:OwnerSmtpAddress OwnerSmtpAddress Line:[url=http://schemas.microsoft.com/exchange/autodiscover]http://schemas.microsoft.com/exchange/autodiscover[/url] /outlook/responseschema/2006a RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Object being deserialized: Microsoft.Exchange.Management.SystemConfigurationTasks.AutoDiscoverAlternat iveMailbox RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Element RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Unknown Element:System.Xml.XmlElement Line:70(9) Sitzungszimmer@remote.firma.ch RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Unknown Node:AlternativeMailbox AlternativeMailbox Line:[url=http://schemas.microsoft.com/exchange/autodisc]http://schemas.microsoft.com/exchange/autodisc[/url] over/outlook/responseschema/2006a RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Object being deserialized: Microsoft.Exchange.Management.SystemConfigurationTasks.AutoDiscoverAccount RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Element RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Unknown Element:System.Xml.XmlElement Line:77(8) <Type xmlns="[url=http://schemas.microsoft.com/exchange/au]http://schemas.microsoft.com/exchange/au[/url] todiscover/outlook/responseschema/2006a">Delegate</Type><DisplayName xmlns="[url=http://schemas.microsoft.com/e]http://schemas.microsoft.com/e[/url] xchange/autodiscover/outlook/responseschema/2006a">Technik</DisplayName><SmtpAddress xmlns="[url=http://schemas]http://schemas[/url] .microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">Technik@firma.ch</SmtpAddress><OwnerSmt pAddress xmlns="[url=http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a]http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">Technik@d[/url] diag.ch</OwnerSmtpAddress> RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Unknown Node:AlternativeMailbox AlternativeMailbox Line:[url=http://schemas.microsoft.com/exchange/autodisc]http://schemas.microsoft.com/exchange/autodisc[/url] over/outlook/responseschema/2006a RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Object being deserialized: Microsoft.Exchange.Management.SystemConfigurationTasks.AutoDiscoverAccount RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Element RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1112 Type : Warning Message : XML>Unknown Element:System.Xml.XmlElement Line:83(7) <Type xmlns="[url=http://schemas.microsoft.com/exchange/au]http://schemas.microsoft.com/exchange/au[/url] todiscover/outlook/responseschema/2006a">Delegate</Type><DisplayName xmlns="[url=http://schemas.microsoft.com/e]http://schemas.microsoft.com/e[/url] xchange/autodiscover/outlook/responseschema/2006a">Support</DisplayName><SmtpAddress xmlns="[url=http://schemas]http://schemas[/url] .microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">Support@firma.ch</SmtpAddress><OwnerSmt pAddress xmlns="[url=http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a]http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">Support@d[/url] diag.ch</OwnerSmtpAddress> RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1106 Type : Information Message : AutoErmittlung wird eine Verbindung mit der URL [url=https://SBSSTD1.firma.local/Autodiscover/Autodiscover]https://SBSSTD1.firma.local:443/Autodiscover/Autodiscover[/url]. xml herstellen. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1116 Type : Information Message : [EXCH] Der Dienst AS wurde für diesen Benutzer in der von [url=https://SBSSTD1.firma.local/Autodiscover/Aut]https://SBSSTD1.firma.local:443/Autodiscover/Aut[/url] odiscover.xml empfangenen AutoErmittlungsantwort konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1115 Type : Information Message : [EXCH] Der Dienst OAB wurde für diesen Benutzer in der von [url=https://SBSSTD1.firma.local/Autodiscover/Au]https://SBSSTD1.firma.local:443/Autodiscover/Au[/url] todiscover.xml empfangenen AutoErmittlungsantwort konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1114 Type : Warning Message : [EXCH] Der Dienst UM wurde für diesen Benutzer in der von [url=https://SBSSTD1.firma.local/Autodiscover/Aut]https://SBSSTD1.firma.local:443/Autodiscover/Aut[/url] odiscover.xml empfangenen AutoErmittlungsantwort nicht konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1116 Type : Information Message : [EXPR] Der Dienst AS wurde für diesen Benutzer in der von [url=https://SBSSTD1.firma.local/Autodiscover/Aut]https://SBSSTD1.firma.local:443/Autodiscover/Aut[/url] odiscover.xml empfangenen AutoErmittlungsantwort konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1115 Type : Information Message : [EXPR] Der Dienst OAB wurde für diesen Benutzer in der von [url=https://SBSSTD1.firma.local/Autodiscover/Au]https://SBSSTD1.firma.local:443/Autodiscover/Au[/url] todiscover.xml empfangenen AutoErmittlungsantwort konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1114 Type : Warning Message : [EXPR] Der Dienst UM wurde für diesen Benutzer in der von [url=https://SBSSTD1.firma.local/Autodiscover/Aut]https://SBSSTD1.firma.local:443/Autodiscover/Aut[/url] odiscover.xml empfangenen AutoErmittlungsantwort nicht konfiguriert. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1122 Type : Success Message : AutoErmittlung erfolgreich getestet. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1121 Type : Information Message : Die folgenden Webdienste haben Fehler generiert: UM in EXCHUM in EXPR. Verwenden Sie die vorherige Ausgabe zur Diagnose und Korrektur der Fehler. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1013 Type : Error Message : Fehler Fehler bei der Anforderung mit HTTP-Status 404: Not Found. beim Herstellen der Verbindung mit https ://remote.firma.ch/webservices.aspx RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1025 Type : Error Message : [EXCH] Fehler beim Herstellen der Verbindung mit dem Dienst AS bei [url=https://remote.firma.ch/webservices.asp]https://remote.firma.ch/webservices.asp[/url] x. Die verstrichene Zeit betrug 31 Millisekunden. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1013 Type : Error Message : Fehler Der Remoteserver hat einen Fehler zurückgegeben: (404) Nicht gefunden. beim Herstellen der Verbindu ng mit [url=https://remote.firma.ch/webservices.aspx]https://remote.firma.ch/webservices.aspx[/url] RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1027 Type : Error Message : [EXCH] Fehler beim Herstellen der Verbindung mit dem Dienst UM bei [url=https://remote.firma.ch/webservices.asp]https://remote.firma.ch/webservices.asp[/url] x. Die verstrichene Zeit betrug 0 Millisekunden. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1124 Type : Success Message : [Server] Verbindung mit dem Dienst AS bei [url=https://sbsstd1.firma.local/EWS/Exchange.asmx]https://sbsstd1.firma.local/EWS/Exchange.asmx[/url] wurde erfolgreich hergestellt. Die verstrichene Zeit betrug 171 Millisekunden. RunspaceId : bcaa6191-4fe3-420b-9326-13d961411a53 Id : 1126 Type : Success Message : [Server] Verbindung mit dem Dienst UM bei [url=https://sbsstd1.firma]https://sbsstd1.firma[/url] hergestellt. Die verstrichene Zeit betrug 31 Millisekunden. Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 3. Mai 2015 Autor Melden Teilen Geschrieben 3. Mai 2015 => habe nun die Split DNS Zone remote.firma.ch gelöscht => eine neue DNS Forward Zone eingerichtet, firma.ch => in dieser Zone einen A-Record für die Firmenwebseite eingerichtet, damit diese auch von intern Ihre Webseite aufrufen können Bemerkung: Ich weiss, wenn die IPv4 Adresse beim Webhosting Anbieter ändert, so muss man diese auch lokal im DNS wechseln. Aber man ändert ja nicht jeden Tag die IPv4 Adresse der Webseite bzw. zügelt diese :-) => weitere A-Records erfasst für - remote.firma.ch - autodiscover.firma.ch => ein neues Exchange SAN Zertifikat erstellt, dies via Exchange GUI (dies habe ich auch vorher so gemacht, nicht wie bisher, oben erklärt via IIS) => darin enthalten, die FQDNs remote.firma.ch (auf wessen alle internen und externen URLs lauten, plus die URL, welche via Get-ClientAccessServer ausgegeben wird plus den Namen autodiscover.firma.ch Diese ganze Sache habe ich nur gemacht, da ja, zur Erinnerung, beim Einrichten des Outlooks Profils (Outlook 2013) aus mir unerklärlichen Gründen die Sicherheitswarnung erscheint, dass der Name auf dem Zertifikat nicht übereinstimme. Der FQDN im Namen dieser Sicherheitswarnung lautet: autodiscover.firma.ch Wie gesagt, ich weiss zum Gaier nicht, woher Outlook beim Verbinden mit dem SBS 2011 diese Adresse herholt, da ja im SCP klar hinterlegt ist, dass die URL remote.firma.ch lautet und nicht autodiscover.firma.ch Vielleicht kann mir Jemand eine Antwort auf diese Frage liefern, ich bin ja schliesslich kein Exchange Experte :) Mit diesen Einstellungen erscheint keine Fehlermeldung mehr Zitieren Link zu diesem Kommentar
testperson 1.528 Geschrieben 3. Mai 2015 Melden Teilen Geschrieben 3. Mai 2015 => jeder Client im Netzwerk bekommt via DHCP A einen Adressbereich, in welchem auch der Server ist Und: erhält zusätzlich, unter anderem auch als DNS Server den SBS 2011 Server über. Das heißt, die Clients bekommen den SBS als DNS und noch einen weiteren Server / externen DNS? Zitieren Link zu diesem Kommentar
andrew 15 Geschrieben 4. Mai 2015 Autor Melden Teilen Geschrieben 4. Mai 2015 nein, die Clients erhalten keinen weiteren DNS Server - nur den SBS 2011 Server mit 192.168.X.Y vom internen LAN aus kann jede Ressource per DNS aufgelöst werden => remote.firma.ch => autodiscover.firma.ch Vorher hatte ich nur, so wie es der SBS 2011 auch einrichtet, eine Split DNS Forward Zone mit dem Namen remote.firma.ch In dieser Zone war ein A-Record mit IPv4 des SBS 2011 Servers, also 192.168.X.Y Da ja vorher und auch jetzt noch jedes virtuelle Exchange Verzeichnis die gleiche interne wie auch externe URL hatte, also https://remote.firma.ch/xy Und: die Ausgabe Get-ClientAccessServer auch auf https://remote.firma.ch/xy zeigte, im Zertifikat vorher auch nur ein Name aufgeführt war, nämlich remote.firma.ch, war auch vorher kein Problem da in Bezug auf die DNS Namensauflösung. Denn nur remote.firma.ch wurde autorisierend beantwortet und mit internen IPv4 Adresse vom SBS 2011 zurückgegeben, da ja der Eintrag in der damals, vorhandenen DNS Split Zone remote.firma.ch gefunden werden konnte. Alle anderen Internetadressen können ja vom Server selber nicht autorisierend beantwortet werden, werden an den Router weitergeleitet, dieser fragt die öffentlichen DNS Server, diese antworten mit IP XY, geben diese dem Router zurück, dieser teilt das Resultat dem SBS Server mit und dieser den Clients (meiner Ansicht nach). Kurz, ich stellte weder vorher noch jetzt DNS Probleme fest. Auch wenn im Netzwerkadapter der Clients bzw. des Servers als primärer DNS Server der SBS 2011 hinterlegt ist und als sekundärer, auf das sprichst Du ja an, ein öffentlicher DNS Server hinterlegt wäre, so würde meiner Meinung nach der zweite DNS Server, also der sekundäre Server in den Netzwerkeinstellungen nicht zum Tragen kommen bzw. erst dann seine Arbeit verrichten, wenn der primäre, hinterlegte DNS Server in den Netzwerkeinstellungen nicht erreichbar ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.