winmadness

Evtl. hilft Dir dieser Thread auf stackoverflow weiter.

Evtl. hilft dieser Hinweis weiter - Zitat aus der MS Doku zu "IntranetFileLinksEnabled"

Zitat

This setting allows file URL links to intranet zone files from intranet zone HTTPS websites to open Windows File Explorer for that file or directory.

If you enable this policy, intranet zone file URL links originating from intranet zone HTTPS pages will open Windows File Explorer to the parent directory of the file and select the file.

Ist der File-Link in einer HTTPS gesicherten Intranet-Website eingebunden und ist diese Website ebenfalls als sichere Intranet-Site eingetragen?

Eine Synchronisation ist immer fehleranfällig und außerdem werden Daten unnötigerweise redundant vorgehalten. Wäre es eine Möglichkeit einen normalen Kontakt / Security Group anzulegen und diese weiterzuleiten auf die dynamische Gruppe?

if "%state1%" == "AppState=2" (
	if not %ip1error%==1 (
		GOTO Error1
		)
	)

In der zweiten Zeile fehlte das Leerzeichen zwischen "1" und "(" also korrekt wäre es wie von mir hier dargestellt.

Es gibt auch eine kostenlose Version von MS Teams, wenn nur diese App von MS 365 benötigt wird und dem Kunden die angebotenen Features ausreichen.

Auch wir haben MS Teams ohne Verbindung mit der MS 365 Tenant im Einsatz. Hierzu folgender Aufbau: Einrichtung der MS Teams Konto online. Auf dem Client wird die Teams App und MS Outlook (Lizenz benötigt!) installiert. Der Mitarbeiter meldet sich in der Teams App an. In MS Outlook (2016) erscheint dann im Kalender Bereich ein Button "New Teams Meeting". Damit kann man direkt aus Outlook eine Termin-Objekt mit der Absenderadresse des Mitarbeiters senden. In dem Termin-Element wird der Link auf das MS Teams Meeting automatisch eingefügt. Über einen Klick wird dann die Teams App aufgerufen und man kann die Video Konferenz wie gewohnt in Teams abhalten.

Zitat

aber sein Absender hat die Adresse des Teams und nicht des Benutzers und somit bekommt er auch die Zusagen nicht.

Hierzu mit MS 365 online einloggen und im Mail Bereich eine Weiterleitung einrichten. Hinweis: Du musst in Online Admin Center die Weiterleitung von EMails expliziet erlauben. Hintergrund findest Du unter https://docs.helpscout.com/article/1424-enable-external-forwarding-in-microsoft-365

Anleitung:

•    Einloggen mit dem <admin>@<firmendomain>.onmicrosoft.com Account
•    In der Navigationsleiste unter dem Punkt „Bedrohungsmanagement -> Richtlinie“ den Bereich „Antispam“ anklicken
•    Die Richtlinie „Filterrichtlinie für ausgehende Spam“ aufrufen
•    Unter dem Punkt „Automatische Weiterleitung“ die Option „Ein – Weiterleitung ist aktiviert“ auswählen und Speichern

 

Diese Lösung hatten wir zeitweise ohne Probleme genutzt.

Zitat

OpenVPN sieht gut aus. Betreibt ihr das über die OPNsense oder direkt, also ohne Web-GUI?

Die Einrichtung und Verwaltung von OpenVPN wird vollständig über die Web-GUI von OPNsense durchgeführt. Kann ich nur empfehlen. Mit der vom Server exportieren Konfigurationsdatei und dem Client von openvpn.net ist die Einrichtung des Clients ein Kinderspiel. Auch auf anderen Betriebssystemen wie z.B. iOS kein Problem.

Zitat

Deren IPsec-Client ist besser, jedoch kostenpflichtig. Wobei nicht die Kosten das Problem sind, sondern der Aufwand für die Verwaltung der Aktivierungen, Lizenztransfers etc.

Wenn Du mit dem IPSec Client zufrieden bist dann ist meine klare Empfehlung diesen zu verwenden. Der Aufwand mit der Lizenzierung steht im keinen Verhältnis zum Aufwand für die Einrichtung eines Dritt-Anbieter-Clients bzw. Protokolls.

Wir selber haben den Windows Client mit IKEv2/IPSec und einem OPNsense VPN Server im Einsatz. Wie Du richtig erkannt hast ist dies in der Ersteinrichtung sehr komplex. Ich habe auch einige Tage für die Konfiguration benötigt, vor allem da wir mit Benutzerzertifikaten und  Windows NPS als Radius Server arbeiten. Aber danach ist die Einrichtung von Clients mit einem Powershell-Skript und ein paar Klicks im VPN Adapter kein Problem. Ich würde diesen Weg aber nicht empfehlen. Wir verwenden parallel noch OpenVPN mit dem Client von openvpn.net - die Clients sind hier mit der Konfigurationsdatei vom Server wesentlich schneller und komfortabler in der Einrichtung. Nach meinem Wissen unterstützt allerdings Zyxel OpenVPN nicht.

Von PPTP würde ich Dir aus Sicherheitsgründen auf jeden Fall abraten - hierzu ein Artikel über VPN Protokolle.

Hallo, wir haben selber dedizierte Server bei Hetzner gemietet und betreiben Windows Server. Hierbei haben wir Lizenz nicht von Hetzer gemietet sondern woanders gekauft. Die Installation des Win Servers erfolgte mit Hilfe des Hetzners Windows Images und dann Aktivierung mit unserer gekauften Lizenz.

Ich weiß allerdings nicht ob dies auch mit einem virtuellen Windows Server funktioniert. Meines Wissens geht das nicht.

Hast Du schon probiert im "Von" Feld das Absender-Konto neu auszuwählen?

Danke an alle für die Tipps. Ich will es nicht zu kompliziert machen. Da ich es nicht unbedingt benötige verzichte ich auf den Mailabruf.

vor 32 Minuten schrieb pom-cgn:

<ErrorCode>600</ErrorCode>

Dies ist erst einmal korrekt, d.h. autodiscover ist erreichbar. Nur die Anforderung über den Browser wird abgelehnt (Erklärung hierzu).

Du könntest mal folgende Registry Werte alle auf 1 setzen und dann jeweils Eintrag für Eintrag mit 0 aktivieren immer wieder Outlook Verbindung testen:

"ExcludeScpLookup"=dword:00000001
"ExcludeHttpsRootDomain"=dword:00000001
"ExcludeHttpsAutoDiscoverDomain"=dword:00000001
"ExcludeHttpRedirect"=dword:00000001
"ExcludeSrvRecord"=dword:00000001

 

In den IIS Logs nach Fehlercodes suchen 40x (siehe HTTP Status Codes). Einen Fehler auf dem Client produzieren und dann in den Logs mit dem Timestamp, IP Adresser oder Username nach Einträgen suchen.

vor 7 Minuten schrieb pom-cgn:

Die Autokonfigurations-Diagnose kann ich nicht öffnen, da Outlook ja auf geht, sondern bei der Passwortabfrage hängen bleibt.

Bedeutet dies, dass Du noch mit den alten Profilen arbeitest? Wenn ja, dann lege mal ein neues Profil an. Und checke die IIS Logs auf dem Exchange Server. Wenn Du auf dem Client im Browser

https://autodiscover.firmendomain.de/autodiscover/autodiscover.xml

aufrufst, was passiert?

Hallo Lukas,

die Seiten kenne ich - dies beschreibt die Einrichtung des Exchange Servers mit Zertifikaten, ich suchen einen Client.

@Nobbyaushb Kann leider EAS nicht mit Benutzerzertifikaten.

Hallo speer,

hast Du schon probiert von einem Windows Notfall-System (z.B. auf einem USB Stick) zu booten und dann die Windows eigenen Reperatur-Tools zu verwenden. Beschreibung findest Du z.B. hier.

Hast Du auch einen extra Empfangsconnector angelegt und mit diesem getestet? - siehe mein Beitrag.

vor 10 Minuten schrieb testperson:

 "Security through obscurity".

Nein, die Diskussion hatten wir schon mal. Den Port kann man über einen Scan sehr schnell finden, also die Absicht war nicht diesen zu "verschleiern". Die Absicht war den Zugang zu OWA/ECP über das Internet zu unterbinden. Wir benötigen diesen nicht.

Der Wunsch einem privaten PC über ActiveSync Zugang zu gewähren ist ein Add-On, kein Muss. Wenn es nicht geht dann ist dies in Ordnung. Ich suche also keine Alternative zu ActiveSync sondern ich suche ein Mail-Programm mit ActiveSync, welches Benutzerzertifikate unterstützt.

Einfa

vor 6 Minuten schrieb testperson:

auch wenn s kein ActiveSync ist: Wäre da nicht Outlook Web App ein besserer / einfacherer Weg?

 

Einfacher ja, aber leider nicht sicher. In unserer Firewall ist der Port 443 bzw. der HTTPS Zugang zu Exchange nicht freigegeben. Lediglich ActiveSync über einen eigenen Port und in Exchange über ein eigenes, virtuelles Verzeichnis. Und nur mit Benutzerzertifikaten.

Ja, leider. Es ist ein Privat-Gerät und dies kommt mir nicht über VPN in das System. Und als einzige Verbindung von aussen ist nur ActiveSync mit Benutzerzertifikaten möglich. Ansonsten hätte ich ja schon mehrere Lösungen

Hallo,

ich suche einen Mail Client, welcher über ActiveSync und Benutzerzertifikat (KEIN User/Password) die Synchronisierung eines MS Exchange Postfach beherrscht. Mit MS Outlook geht es nicht - dieses benötigt einen User Account mit Password. Auf iOS ist die Einrichtung mit einem Benutzerzertifikat kein Problem. 

Danke für die Rückmeldung und Glückwunsch zur Lösung

Hast Du in den letzten Tagen einen CU oder MS Update auf dem Exchange Server installiert?

Als erste Maßnahme starte mal den Exchange Server neu. Und wie gesagt, schaue Dir mal die IIS Logs und die Ereignisanzeige auf dem Exchange an. Ansonsten können wir nur raten, was es sein könnte.

Dann schaue mal in die IIS Logs auf dem Exchange, dort müsste der Fehler näher definiert sein.

vor 20 Minuten schrieb possum72:

Sorry, war beim Test auf dem falschen Gerät. Ja, beim internen PC kommt die IP des Exchange zurück.

Und wenn ich von einem fremden Standort den Ping lossetze, dann erhalte ich die IP des I-Providers.

 

Was passiert wen Du an einem internen PC im Browser die URL

https://mail.domain.de/autodiscover/autodiscover.xml
oder
https://autodiscover.domain.de/autodiscover/autodiscover.xml

eingibst. Es müsste ein Login-Fenster erscheinen. Und dann mal von einem "externen" PC testen.

vor 35 Minuten schrieb possum72:

Die Clients greifen intern auf den Exchange zu.

Zitat

Ping durchführe, wird mir die feste IP des Internetproviders angegeben

Das widerspricht sicht. Wenn Du die vom Internetprovider zugewiesene IP erhälst, dann muss auch der Exchange über Port 443 von aussen erreichbar sein, da die Autodiscover Anfrage über das Internet läuft. Wenn die Clients nur intern auf den Exchange zugreiffen können, dann muss Autodiscover natürlich die interne IP des Exchange-Servers liefern.

Hallo,

einfach mal einen "ping autodiscover.domain.de" machen dann siehst Du ja ob die neuen Server IPs zurückgegeben werden. Des Weiteren in Outlook einen Test der Autodiscover Konfiguration durchfühen - für Anleitung klicken