Vinc211

Okay mein Kollege sagte mir grade das unser Microsoft CRM mit dem gekauftem SSL Zertfikat versehen wurde, damit es von extern über https erreichbar ist. Sinn ergibt das für mich nicht. Danke für den Link. Das hat auf jedenfall geholfen. Was mir noch nicht ganz klar ist, ist warum ich dann einen so großen Aufwand betrieben habe um die CA vom SBS 2008 auf Server 2012 R2 zu bekommen. Welchen Vorteil hat es eine CA "weiterzuführen". Da würden mir nur Zertfikate einfallen die sich öfter erneuern und entsprechend die alte CA anfragen wie z.B RADIUS? In welche Ausfälle und Komplikationen steure ich potenziell wenn ich die CA neu mache? Vorallem mit Sicht auf Exchange 2016, Microsoft Dynamics CRM. Das ich das neue root Zertifikat dann über eine gpo verteile ist soweit klar.

Okay Danke, aber Erfahrung wenn 1 VLAN wegfällt und nur noch 1 VLAN aktiv ist hast du nicht oder?

Wenn ich es richtig verstanden habe wurde ein Zertfikat von Comodo gekauft um entsprechend die eigenen Zertfikate zu signieren. Damit kein self signed Zertifikat verwendet wird. Bitte korrigiere mich: Windows kennt doch eine Reihe von "Haupt" Zertfikaten von z.b thawte, GlobalSign und Comodo. Kaufe ich mir ein entsprechendes Zertfikat dieser Anbieter sind meine Zertfikate nicht mehr Self signed und ich muss nicht unbedingt über gpo oder so mein CA Zertifikat in die Vertrauenswürdigen Zertfikate der Rechner geben/übertragen. Das müsste im groben doch so richtig sein =D

Das wäre eine Idee. Szenario 2 in dem Fall. Bei diesem müsste wahrscheinlich MLAG zum Einsatz kommen. Entsprechend steht noch die Frage im Raum: Das MPIO ist mit Round Robin Active/Active konfiguriert. Was passiert wenn ein Switch und ein komplettes VLAN ausfallen. Halbiert sich dann die Geschwindigkeit (das wäre okay) oder muss MPIO mit Round-Robin 2 aktive wege haben? So wäre es Switch mäßig nach VLAN getrennt. Wenn ich mir das so überlege wahrscheinlich einfacher zu lösen und genauso ausfallsicher?

Ich würde gern bei der Windows CA bleiben, auch wegen Exchange 2016 etc. Zumindest kenne ich mich damit besser aus als mit openssl. Neumachen ist definitv eine Möglichkeit. Ich kann leider nur die COMODO RSA die anscheinend damals gekauften Zertfikate nicht mit privatemschlüssel als PKCS #12 exportieren. Würde mich das an einer Neuinstallation hindern? Einen guten Leitfaden zum neu machen der CA würde ich dann von windowspro nehmen?

Guten Tag, als ich damals die Zertfizierungsstelle von Windows SBS 2008 auf windows server 2012 r2 gezogen habe ist anscheinend etwas schief gelaufen. Im ADSI Editor im Pfad “CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com” kein Element. Das führt dazu das keine Zertifikatsvorlagen abgerufen werden können und ich keine Zertfikate ausstellen kann. Ich habe die Zertfizierungstelle schon einmal gesichert und wieder eingespielt wie in folgendem Beitrag vorgeschlagen. https://blogs.technet.microsoft.com/askds/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in/ Ich benötige das ganze um für einen Linux Server ein SSL Zertfikat herzustellen was nicht self signed ist. Fehlermeldungen auf meinem Weg zu eiuner Lösung: Die erforderlichen Active Directory-Informationen konnten von den Active Directory-Zertifikatdiensten nicht gefunden werden. Es wurden keine gültige Zertfizierungstelle gefunden, die für das Austellen von Zertfikaten basiernd auf dieser Vorlage konfiguriert wurde, oder dieser Vorgang wird dvon der Zertfizierungstelle nicht unterstützt, oder die Zertifizierungstelle ist nicht vertrauenswürdig. Vielen Dank

Der Design Leitfaden liefert keine Antwort auf meine Frage für die beiden Szenarios die ich im Sinn habe. Der Implementierungsleitfaden geht davon aus das man bei 0 anfängt und das tue ich ja nicht. Ich wäre sehr dankbar für andere Ansätze. Durch das Flexpod steige ich einfach nicht durch.

Wenn ich neu starten müsste und wähen könnte würde ich wohl zu Cisco Nexus etc. greiffen und die Flexpod ANleitung ist wirklich sehr detailliert, doch hilft Sie mir für meinen Fall nicht wirklich weiter.

The following Dell Networking N series switches support MLAG and may be used in building the configurations in this white paper N2024 Einfach gesagt. Jup Funktioniert und kannte ich noch nicht. Interessant. Vorallem weil NIC Teaming ja laut WIndows 2012 eigentlich Switchunabhängig funktionieren sollte?

Die VM Hosts sind Dell R510 und R610 mit WIndows Server 2012 R2 Die zukünftigen 2 Switches sind Dell N2024 nicht gestacked. Das SAN ist Dell M3230 mit Windows Storage Server 2012

Moin, Ich habe 2 Hosts mit jeweils 6 NIC's und ein SAN mit 8 NIC's. Ich habe NIC Teaming für den Networktraffic (Client zu VM) eingerichtet und auch die jeweils 3 Verbindung pro MPIO Vlan vom SAN zum Switch sind in einem NIC Team. Alles hängt aktuell an einem Switch. Ich habe vor kurzem einen zweiten Switch angeschlossen und entsprechend die Kabel verteilt, sodass ich pro Switch ein paar NIC's pro VLan habe (redundant halt Szenario2) Dies hat allerdings die Performance massiv beeinträchtigt. -> Also alles wieder zurückgebaut. Daher die Frage wie am besten die Verteilung der NIC's aussehen sollte. Die Switches sind untereinander mit einem 10Gbit SFP+ Kabel verbunden (mode trunk). Szenario 1. VLAN A geht auf Switch A. An Switch A gehen also 3 Kabel vom SAN und jeweils 1 von den Hosts. An Switch B gehen alle Verbindungen von VLAN B also wieder 3 Kabel vom SAN und jeweils 1 von den Hosts. Szenario 2. Sieht entsprechend kreuz und quer aus. Switch A kriegt 2 Kabel aus VLAN A und eines aus VLAN B vom SAN usw. Das MPIO ist mit Round Robin Active/Active konfiguriert. Was passiert wenn ein Switch und ein komplettes VLAN ausfallen. Halbiert sich dann die Geschwindigkeit (das wäre okay) oder muss MPIO mit Round-Robin 2 aktive wege haben? Woher kam der Geschwindigkeits einbruch? Habe ich irgendwo Link Aggregation vergessen oder einen Trunk? JA, ich würde auch lieber alles mit FIbrechannel und ohne Nic Teaming machen =D =D =D Vielen Dank für die Hilfe!

Die UTM am Hauptstandort un die XG am Remotestandort. Steht auch in einem vorheigen Post =D Jetzt ist es ja gelöst.

Vielen Dank an alle die hier versucht haben zu helfen. Auch der Dienstleister konnte nicht helfen, aber der Premium Support von Sophos hatte am Ende die Lösung, auch wenn ich es mehr als Workaround sehe =D Am Ende lag es an der Firewall: Zitat Sophos Support: Sie benötigen hier eine Business Application Policy Rule für OWA. Sie haben dafür aber keine Webserver Protection License: Sie haben hier nur Network Policy Rules. Bedeutet Sie müssen eine Business Application Policy bauen: Hier können Sie ein DNAT bauen, um den Traffic durchzugeben: prinzipiell ist es nur eine Business Application Policy - Template DNAT. https://community.sophos.com/kb/en-us/122976 Dieser KBA ist leider noch von V15. Application Template heißt nun: DNAT/Full NAT/Load Balancing. Am Ende habe ich dort 4 Regeln angelegt für Port 80 und 443 jeweils auf owa.domain.de und exchange1.domain.de.

Eben nicht! All meine Routing tests sind positiv. Ich sehe das Problem nicht und hoffe auf Tipps und Hinweise wo ich noch gucken könnte. Wie gesagt habe ich Wireshark auf beiden Seiten und kann einfach kein "Server Hello" und kein SSL Handshake sehen. Auf der Branch Seite wird mir ständig gesagt das der Exchange Server nicht erreichbar ist. Ich habe mich schon dumm und dämlich an Firewall Rules geschrieben. Firefox gibt mir nun folgende Fehlermeldung wenn ich auf https://owa.domain.de/owa zugreiffen möchte. Diese Verbindung ist nicht sicher Der Inhaber von owa.xax.de hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen. Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.

Ich vermute auch die Namensauflösung oder eher das Routing. Es gibt einen Exchange 2016. Autodiscover am HQ Standort funktioniert ohne Porbleme. Welche Informationen fehlen über die Exchangeumgebung? Mich lässt der Doppel Hop am Ziel nicht los.

The Microsoft Connectivity Analyzer is attempting to test Autodiscover for vincent.thomas@domain.de. Autodiscover was tested successfully. Additional Details Elapsed Time: 15381 ms. Test Steps Attempting each method of contacting the Autodiscover service. The Autodiscover service was tested successfully. Additional Details Elapsed Time: 15381 ms. Test Steps Attempting to test potential Autodiscover URL https://domain.de:443/Autodiscover/Autodiscover.xml Testing of this potential Autodiscover URL failed. Additional Details Elapsed Time: 7783 ms. Test Steps Attempting to resolve the host name domain.de in DNS. The host name resolved successfully. Additional Details IP addresses returned: 77.91.238.36 Elapsed Time: 600 ms. Testing TCP port 443 on host domain.de to ensure it's listening and open. The port was opened successfully. Additional Details Elapsed Time: 560 ms. Testing the SSL certificate to make sure it's valid. The certificate passed all validation requirements. Additional Details Elapsed Time: 635 ms. Test Steps The Microsoft Connectivity Analyzer is attempting to obtain the SSL certificate from remote server domain.de on port 443. The Microsoft Connectivity Analyzer successfully obtained the remote SSL certificate. Additional Details Remote Certificate Subject: CN=www.domain.de, OU=Domain Control Validated, C=DE, Issuer: CN=AlphaSSL CA - SHA256 - G2, O=GlobalSign nv-sa, C=BE. Elapsed Time: 603 ms. Validating the certificate name. The certificate name was validated successfully. Additional Details Host name domain.de was found in the Certificate Subject Alternative Name entry. Elapsed Time: 1 ms. Testing the certificate date to confirm the certificate is valid. Date validation passed. The certificate hasn't expired. Additional Details The certificate is valid. NotBefore = 10/7/2015 7:17:05 AM, NotAfter = 11/6/2018 2:45:24 PM Elapsed Time: 0 ms. Checking the IIS configuration for client certificate authentication. Client certificate authentication wasn't detected. Additional Details Accept/Require Client Certificates isn't configured. Elapsed Time: 2970 ms. Attempting to send an Autodiscover POST request to potential Autodiscover URLs. Autodiscover settings weren't obtained when the Autodiscover POST request was sent. Additional Details Elapsed Time: 3016 ms. Test Steps The Microsoft Connectivity Analyzer is attempting to retrieve an XML Autodiscover response from URL https://domain.de:443/Autodiscover/Autodiscover.xml for user vincent.thomas@domain.de. The Microsoft Connectivity Analyzer failed to obtain an Autodiscover XML response. Additional Details Exception details: Message: Die Anfrage wurde abgebrochen: Die Verbindung wurde unerwartet getrennt.. Type: System.Net.WebException Stack trace: bei System.Net.HttpWebRequest.GetResponse() bei Microsoft.Exchange.Tools.ExRca.Extensions.RcaHttpRequest.GetResponse() Elapsed Time: 3016 ms. Attempting to test potential Autodiscover URL https://autodiscover.domain.de:443/Autodiscover/Autodiscover.xml Testing of this potential Autodiscover URL failed. Additional Details Elapsed Time: 1370 ms. Test Steps Attempting to resolve the host name autodiscover.domain.de in DNS. The host name couldn't be resolved. Tell me more about this issue and how to resolve it Additional Details Host autodiscover.domain.de couldn't be resolved in DNS InfoNoRecords. Elapsed Time: 1369 ms. Attempting to contact the Autodiscover service using the HTTP redirect method. The attempt to contact Autodiscover using the HTTP Redirect method failed. Additional Details Elapsed Time: 9 ms. Test Steps Attempting to resolve the host name autodiscover.domain.de in DNS. The host name couldn't be resolved. Tell me more about this issue and how to resolve it Additional Details Host autodiscover.domain.de couldn't be resolved in DNS InfoNoRecords. Elapsed Time: 9 ms. Attempting to contact the Autodiscover service using the DNS SRV redirect method. The Microsoft Connectivity Analyzer successfully contacted the Autodiscover service using the DNS SRV redirect method. Additional Details Elapsed Time: 6218 ms. Test Steps Attempting to locate SRV record _autodiscover._tcp.domain.de in DNS. The Autodiscover SRV record was successfully retrieved from DNS. Additional Details The Service Location (SRV) record lookup returned host owa.domain.de. Elapsed Time: 439 ms. Attempting to test potential Autodiscover URL https://owa.domain.de:443/Autodiscover/Autodiscover.xml Testing of the Autodiscover URL was successful. Additional Details Elapsed Time: 5778 ms. Test Steps Attempting to resolve the host name owa.domain.de in DNS. The host name resolved successfully. Additional Details IP addresses returned: 213.168.211.68 Elapsed Time: 629 ms. Testing TCP port 443 on host owa.domain.de to ensure it's listening and open. The port was opened successfully. Additional Details Elapsed Time: 206 ms. Testing the SSL certificate to make sure it's valid. The certificate passed all validation requirements. Additional Details Elapsed Time: 671 ms. Test Steps The Microsoft Connectivity Analyzer is attempting to obtain the SSL certificate from remote server owa.domain.de on port 443. The Microsoft Connectivity Analyzer successfully obtained the remote SSL certificate. Additional Details Remote Certificate Subject: CN=*.domain.de, OU=PositiveSSL Wildcard, OU=Domain Control Validated, Issuer: CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford, S=Greater Manchester, C=GB. Elapsed Time: 640 ms. Validating the certificate name. The certificate name was validated successfully. Additional Details The host name that was found, owa.domain.de, is a wildcard certificate match for common name *.domain.de. Elapsed Time: 0 ms. Testing the certificate date to confirm the certificate is valid. Date validation passed. The certificate hasn't expired. Additional Details The certificate is valid. NotBefore = 1/13/2015 12:00:00 AM, NotAfter = 4/12/2018 11:59:59 PM Elapsed Time: 0 ms. Checking the IIS configuration for client certificate authentication. Client certificate authentication wasn't detected. Additional Details Accept/Require Client Certificates isn't configured. Elapsed Time: 797 ms. Attempting to send an Autodiscover POST request to potential Autodiscover URLs. The Microsoft Connectivity Analyzer successfully retrieved Autodiscover settings by sending an Autodiscover POST. Additional Details Elapsed Time: 3472 ms. Test Steps The Microsoft Connectivity Analyzer is attempting to retrieve an XML Autodiscover response from URL https://owa.domain.de:443/Autodiscover/Autodiscover.xml for user vincent.thomas@domain.de. The Autodiscover XML response was successfully retrieved. Additional Details Autodiscover Account Settings XML response: <?xml version="1.0"?> <Autodiscover xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <User> <DisplayName>Vincent Thomas</DisplayName> <LegacyDN>/o=domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=Vincent Thomas3f6</LegacyDN> <DeploymentId>c0be51c7-1c99-4625-92b0-af901da8f730</DeploymentId> </User> <Account> <AccountType>email</AccountType> <Action>settings</Action> <Protocol Type="mapiHttp"> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <MailStore> <InternalUrl>https://exchange1.domain.de/mapi/emsmdb/?MailboxId=82e10e8d-9777-4d6b-b5d5-f2f731269737@domain.de</InternalUrl> <ExternalUrl>https://owa.domain.de/mapi/emsmdb/?MailboxId=82e10e8d-9777-4d6b-b5d5-f2f731269737@domain.de</ExternalUrl> </MailStore> <AddressBook> <InternalUrl>https://exchange1.domain.de/mapi/nspi/?MailboxId=82e10e8d-9777-4d6b-b5d5-f2f731269737@domain.de</InternalUrl> <ExternalUrl>https://owa.domain.de/mapi/nspi/?MailboxId=82e10e8d-9777-4d6b-b5d5-f2f731269737@domain.de</ExternalUrl> </AddressBook> </Protocol> <Protocol> <Type>WEB</Type> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <Internal> <OWAUrl AuthenticationMethod="Basic, Fba">https://exchange1.domain.de/owa/</OWAUrl> <Protocol> <Type>EXCH</Type> <ASUrl>https://exchange1.domain.de/EWS/Exchange.asmx</ASUrl> </Protocol> </Internal> <External> <OWAUrl AuthenticationMethod="Fba">https://owa.domain.de/owa/</OWAUrl> <Protocol> <Type>EXPR</Type> <ASUrl>https://owa.domain.de/ews/exchange.asmx</ASUrl> </Protocol> </External> </Protocol> <Protocol> <Type>EXHTTP</Type> <Server>exchange1.domain.de</Server> <ASUrl>https://exchange1.domain.de/EWS/Exchange.asmx</ASUrl> <OOFUrl>https://exchange1.domain.de/EWS/Exchange.asmx</OOFUrl> <OABUrl>https://exchange1.domain.de/OAB/8370db7c-cf79-458e-b253-ac5fde5414c9/</OABUrl> <UMUrl>https://exchange1.domain.de/EWS/UM2007Legacy.asmx</UMUrl> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <SSL>On</SSL> <AuthPackage>Ntlm</AuthPackage> <EwsUrl>https://exchange1.domain.de/EWS/Exchange.asmx</EwsUrl> <EmwsUrl>https://exchange1.domain.de/EWS/Exchange.asmx</EmwsUrl> <EcpUrl>https://exchange1.domain.de/owa/</EcpUrl> <EcpUrl-um>?path=/options/callanswering</EcpUrl-um> <EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr> <EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain.de</EcpUrl-mt> <EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret> <EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms> <EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo> <EcpUrl-tm>options/ecp/?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain.de</EcpUrl-tm> <EcpUrl-tmCreating>options/ecp/?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain.de</EcpUrl-tmCreating> <EcpUrl-tmEditing>options/ecp/?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain.de</EcpUrl-tmEditing> <EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall> <ServerExclusiveConnect>On</ServerExclusiveConnect> </Protocol> <Protocol> <Type>EXHTTP</Type> <Server>owa.domain.de</Server> <ASUrl>https://owa.domain.de/ews/exchange.asmx</ASUrl> <OOFUrl>https://owa.domain.de/ews/exchange.asmx</OOFUrl> <OABUrl>https://owa.domain.de/OAB/8370db7c-cf79-458e-b253-ac5fde5414c9/</OABUrl> <UMUrl>https://owa.domain.de/ews/UM2007Legacy.asmx</UMUrl> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <SSL>On</SSL> <AuthPackage>Basic</AuthPackage> <EwsUrl>https://owa.domain.de/ews/exchange.asmx</EwsUrl> <EmwsUrl>https://owa.domain.de/ews/exchange.asmx</EmwsUrl> <EcpUrl>https://owa.domain.de/owa/</EcpUrl> <EcpUrl-um>?path=/options/callanswering</EcpUrl-um> <EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr> <EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain.de</EcpUrl-mt> <EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret> <EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms> <EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo> <EcpUrl-tm>options/ecp/?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain.de</EcpUrl-tm> <EcpUrl-tmCreating>options/ecp/?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain.de</EcpUrl-tmCreating> <EcpUrl-tmEditing>options/ecp/?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain.de</EcpUrl-tmEditing> <EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall> <ServerExclusiveConnect>On</ServerExclusiveConnect> </Protocol> </Account> </Response> </Autodiscover> HTTP Response Headers: request-id: a743487b-343d-4b8a-be51-89aa2e9a9b7d X-CalculatedBETarget: exchange1.domain.de X-DiagInfo: exchange1 X-BEServer: exchange1 Cache-Control: private Content-Type: text/xml; charset=utf-8 Set-Cookie: ClientId=512BAA3026F14EF98A46310E8008B8D0; expires=Wed, 20-Dec-2017 11:02:30 GMT; path=/; secure; HttpOnly,X-BackEndCookie=S-1-5-21-3708519281-1551253398-572997275-3030=u56Lnp2ejJqBzsnPz5uZx57SzcyamtLLyJ7N0sfKx5zSmsfPyMicy8qbzcmbgYHNz87I0s/O0s7Gq87Oxc/NxczPgYeeh9GbmoHP; expires=Thu, 19-Jan-2017 11:02:30 GMT; path=/Autodiscover; secure; HttpOnly Server: Microsoft-IIS/8.5 X-AspNet-Version: 4.0.30319 Persistent-Auth: true X-Powered-By: ASP.NET Strict-Transport-Security: max-age=31536000 Content-Security-Policy: default-src https: data: 'unsafe-inline' 'unsafe-eval'; X-Xss-Protection: 1; mode=block X-Content-Type-Options: nosniff X-FEServer: exchange1 Date: Tue, 20 Dec 2016 11:02:29 GMT Content-Length: 5565 Elapsed Time: 1564 ms. The Microsoft Connectivity Analyzer is attempting to retrieve an XML Autodiscover response from URL https://owa.domain.de:443/Autodiscover/Autodiscover.xml for user vincent.thomas@domain.de. The Autodiscover XML response was successfully retrieved. Additional Details Autodiscover Account Settings XML response: <?xml version="1.0"?> <Autodiscover xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <User> <DisplayName>Vincent Thomas</DisplayName> <LegacyDN>/o=domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=Vincent Thomas3f6</LegacyDN> <DeploymentId>c0be51c7-1c99-4625-92b0-af901da8f730</DeploymentId> </User> <Account> <AccountType>email</AccountType> <Action>settings</Action> <Protocol> <Type>EXCH</Type> <Server>82e10e8d-9777-4d6b-b5d5-f2f731269737@domain.de</Server> <ServerDN>/o=domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=82e10e8d-9777-4d6b-b5d5-f2f731269737@domain.de</ServerDN> <ServerVersion>73C180E1</ServerVersion> <MdbDN>/o=domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=82e10e8d-9777-4d6b-b5d5-f2f731269737@domain.de/cn=Microsoft Private MDB</MdbDN> <ASUrl>https://exchange1.domain.de/EWS/Exchange.asmx</ASUrl> <OOFUrl>https://exchange1.domain.de/EWS/Exchange.asmx</OOFUrl> <OABUrl>https://exchange1.domain.de/OAB/8370db7c-cf79-458e-b253-ac5fde5414c9/</OABUrl> <UMUrl>https://exchange1.domain.de/EWS/UM2007Legacy.asmx</UMUrl> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <PublicFolderServer>owa.domain.de</PublicFolderServer> <AD>domainBER.domain.de</AD> <EwsUrl>https://exchange1.domain.de/EWS/Exchange.asmx</EwsUrl> <EmwsUrl>https://exchange1.domain.de/EWS/Exchange.asmx</EmwsUrl> <EcpUrl>https://exchange1.domain.de/owa/</EcpUrl> <EcpUrl-um>?path=/options/callanswering</EcpUrl-um> <EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr> <EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain.de</EcpUrl-mt> <EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret> <EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms> <EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo> <EcpUrl-tm>options/ecp/?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain.de</EcpUrl-tm> <EcpUrl-tmCreating>options/ecp/?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain.de</EcpUrl-tmCreating> <EcpUrl-tmEditing>options/ecp/?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain.de</EcpUrl-tmEditing> <EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall> <ServerExclusiveConnect>off</ServerExclusiveConnect> </Protocol> <Protocol> <Type>EXPR</Type> <Server>owa.domain.de</Server> <ASUrl>https://owa.domain.de/ews/exchange.asmx</ASUrl> <OOFUrl>https://owa.domain.de/ews/exchange.asmx</OOFUrl> <OABUrl>https://owa.domain.de/OAB/8370db7c-cf79-458e-b253-ac5fde5414c9/</OABUrl> <UMUrl>https://owa.domain.de/ews/UM2007Legacy.asmx</UMUrl> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <SSL>On</SSL> <AuthPackage>Basic</AuthPackage> <EwsUrl>https://owa.domain.de/ews/exchange.asmx</EwsUrl> <EmwsUrl>https://owa.domain.de/ews/exchange.asmx</EmwsUrl> <EcpUrl>https://owa.domain.de/owa/</EcpUrl> <EcpUrl-um>?path=/options/callanswering</EcpUrl-um> <EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr> <EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain.de</EcpUrl-mt> <EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret> <EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms> <EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo> <EcpUrl-tm>options/ecp/?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain.de</EcpUrl-tm> <EcpUrl-tmCreating>options/ecp/?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain.de</EcpUrl-tmCreating> <EcpUrl-tmEditing>options/ecp/?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain.de</EcpUrl-tmEditing> <EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall> <ServerExclusiveConnect>on</ServerExclusiveConnect> <EwsPartnerUrl>https://owa.domain.de/ews/exchange.asmx</EwsPartnerUrl> <GroupingInformation>Default-First-Site</GroupingInformation> </Protocol> <Protocol> <Type>WEB</Type> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <Internal> <OWAUrl AuthenticationMethod="Basic, Fba">https://exchange1.domain.de/owa/</OWAUrl> <Protocol> <Type>EXCH</Type> <ASUrl>https://exchange1.domain.de/EWS/Exchange.asmx</ASUrl> </Protocol> </Internal> <External> <OWAUrl AuthenticationMethod="Fba">https://owa.domain.de/owa/</OWAUrl> <Protocol> <Type>EXPR</Type> <ASUrl>https://owa.domain.de/ews/exchange.asmx</ASUrl> </Protocol> </External> </Protocol> <Protocol> <Type>EXHTTP</Type> <Server>exchange1.domain.de</Server> <ASUrl>https://exchange1.domain.de/EWS/Exchange.asmx</ASUrl> <OOFUrl>https://exchange1.domain.de/EWS/Exchange.asmx</OOFUrl> <OABUrl>https://exchange1.domain.de/OAB/8370db7c-cf79-458e-b253-ac5fde5414c9/</OABUrl> <UMUrl>https://exchange1.domain.de/EWS/UM2007Legacy.asmx</UMUrl> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <SSL>On</SSL> <AuthPackage>Ntlm</AuthPackage> <EwsUrl>https://exchange1.domain.de/EWS/Exchange.asmx</EwsUrl> <EmwsUrl>https://exchange1.domain.de/EWS/Exchange.asmx</EmwsUrl> <EcpUrl>https://exchange1.domain.de/owa/</EcpUrl> <EcpUrl-um>?path=/options/callanswering</EcpUrl-um> <EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr> <EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain.de</EcpUrl-mt> <EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret> <EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms> <EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo> <EcpUrl-tm>options/ecp/?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain.de</EcpUrl-tm> <EcpUrl-tmCreating>options/ecp/?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain.de</EcpUrl-tmCreating> <EcpUrl-tmEditing>options/ecp/?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain.de</EcpUrl-tmEditing> <EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall> <ServerExclusiveConnect>On</ServerExclusiveConnect> </Protocol> <Protocol> <Type>EXHTTP</Type> <Server>owa.domain.de</Server> <ASUrl>https://owa.domain.de/ews/exchange.asmx</ASUrl> <OOFUrl>https://owa.domain.de/ews/exchange.asmx</OOFUrl> <OABUrl>https://owa.domain.de/OAB/8370db7c-cf79-458e-b253-ac5fde5414c9/</OABUrl> <UMUrl>https://owa.domain.de/ews/UM2007Legacy.asmx</UMUrl> <Port>0</Port> <DirectoryPort>0</DirectoryPort> <ReferralPort>0</ReferralPort> <SSL>On</SSL> <AuthPackage>Basic</AuthPackage> <EwsUrl>https://owa.domain.de/ews/exchange.asmx</EwsUrl> <EmwsUrl>https://owa.domain.de/ews/exchange.asmx</EmwsUrl> <EcpUrl>https://owa.domain.de/owa/</EcpUrl> <EcpUrl-um>?path=/options/callanswering</EcpUrl-um> <EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr> <EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain.de</EcpUrl-mt> <EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret> <EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms> <EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo> <EcpUrl-tm>options/ecp/?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain.de</EcpUrl-tm> <EcpUrl-tmCreating>options/ecp/?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain.de</EcpUrl-tmCreating> <EcpUrl-tmEditing>options/ecp/?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain.de</EcpUrl-tmEditing> <EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall> <ServerExclusiveConnect>On</ServerExclusiveConnect> </Protocol> </Account> </Response> </Autodiscover> HTTP Response Headers: request-id: 086caffc-00f5-428b-8536-cd5eb0ab120b X-CalculatedBETarget: exchange1.domain.de X-DiagInfo: exchange1 X-BEServer: exchange1 Cache-Control: private Content-Type: text/xml; charset=utf-8 Set-Cookie: ClientId=D6BBF088625940BC8D7ECB469EEDD62B; expires=Wed, 20-Dec-2017 11:02:31 GMT; path=/; secure; HttpOnly,X-BackEndCookie=S-1-5-21-3708519281-1551253398-572997275-3030=u56Lnp2ejJqBzsnPz5uZx57SzcyamtLLyJ7N0sfKx5zSmsfPyMicy8qbzcmbgYHNz87I0s/O0s7Gq87Oxc/NxczNgYeeh9GbmoHP; expires=Thu, 19-Jan-2017 11:02:32 GMT; path=/Autodiscover; secure; HttpOnly Server: Microsoft-IIS/8.5 X-AspNet-Version: 4.0.30319 Persistent-Auth: true X-Powered-By: ASP.NET Strict-Transport-Security: max-age=31536000 Content-Security-Policy: default-src https: data: 'unsafe-inline' 'unsafe-eval'; X-Xss-Protection: 1; mode=block X-Content-Type-Options: nosniff X-FEServer: exchange1 Date: Tue, 20 Dec 2016 11:02:32 GMT Content-Length: 9009 Elapsed Time: 1908 ms.

Schon richtig. Weiterhin funktionieren alle Sachen korrekt außer die Verbindung zum Exchange aus unserer Branch Site. Wenn wir den Tunnel zur Branch trennen greift Outlook Anywhere und beim Open VPN Client funktioniert es mit Autodiscover auch. Ich sehe die Fehler eher in Richtung Zertifikat, SSL, Firewall als bei dem Exchange.

Moin, eine Any Any Regel hatte ich bereits ohne Erfolg aktiviert, ich probiers aber natürlich gleich nochmal. Namensauflösung funktioniert ohne Probleme. Nslookup etc. sind nicht das Problem. In den Eventlogs sehe ich nichts mehr. Stand jetzt sendet der Client ein SSL Client Hello an den Server und auf dem Server sehe ich auch das es ankommt, aber ich sehe kein Server Hello als antwort. Als wenn der Exchange einfach nicht antwortet oder antworten aus diesem Bereich verwirft.

Ich sehe im Wireshark nur ein SSL 243 Client Hello. Alles andere fehlt. Kein Server Hello zu finden.

okay Update werde ich durchführen. Ich habe in der Branch Site auch das Problem das ich https://owa.domain.de/owa und https://autodiscover.domain.de/autodiscover nicht aufrufen kann. Zudem habe ich diesen doppel Hop gefunden. Vielleicht also doch eher ein Firewall, Site to Site Problem als ein direktes Exchange Problem? über maximal 30 Hops: 1 <1 ms <1 ms <1 ms 10.0.0.69 2 * * * Zeitüberschreitung der Anforderung. 3 28 ms 28 ms 28 ms DC-Branch.domain.de [10.0.4.3] über maximal 30 Hops: 1 <1 ms <1 ms <1 ms 10.0.4.1 2 28 ms 29 ms 28 ms exchange.domain.de [10.0.0.4] 3 28 ms 28 ms 28 ms exchange.domain.de [10.0.0.4] In der Branch haben wir eine Sophos XG 105 und im HQ eine Sophos UTM 9.4. Wie gesagt funktioniert sonst alles. Ich sehe den Get Befehl aber keine Antwort. Ich sehe etwas Traffic auf der Firewall (habe 2 extra regeln erstellt die die Verbindung von Branch zum Exchange erlauben) Die Https://owa.domain.de/owa Seite bleibt komplett leer (weiß ohne Fehlermeldung) Outlook zeigt den Authn. Fehler* an und hat keine Verbindung. Ich sehe auch mit Wireshark verbindungen in beide Richtungen. Weiß jemand worauf ich bei Wireshark achten müsste?

Es laufen nur die Clients in der Branch Site nicht. Outlook 2013 und 2016. Dynamischen RAM nehm ich dann mal raus.

Habe es mit "Get-exchangeserver | ft admindisplayversion" ausgelesen. Auch die Produktversion auf der ExSetup Datei zeigt 15.01.0225.049 an.

Der Exchange Server 2016 hat Version 15.1 (Build 225.42). Basis ist ein Windows Server 2012 R2 Standard. Die VM hat 6 Kerne und dynamischen Ram zwischen 16 und 24GB. Obwohl ich nun keine Fehlermeldungen mehr auf Seiten Exchange sehen kann (ereignisanzeige) funktioniert es trotzdem nicht.

Also ich hab den ADDS jetzt deinstalliert und der HealthCheck vom Exchange zeigt jetzt alles als Healty an. Exchange und Ad haben dadurch keine Fehler bekommen. Unternehmen kann so wie zuvor arbeiten. Das Deinstallieren ging ohne Probleme da der Exchange ja noch nicht hochgestuft war. Heute ist zudem Freitag (weihnachtsfeier) da können die Kollegen mal kurz ohne Outlook auskommen.

Die Fehlermeldungen kommen vom ExchangeServer. Auch folgende Abfrage aus dem Powershell kommt daher: