Exchange 2010 - Outlook Anywhere funktioniert nicht

[fha 10]

Hallo Zusammen,

 

Ich habe hier einen Exchange 2010 auf den ich gerade von einem Exchange 2003 migriere.

Ich habe gerade die ersten Testpostfächer auf den 2010er verschoben, die Produktivpostfächer und auch die Sende-Empfangsconnectoren sind alle noch auf dem alten Exchange.

 

Mein Problem: Outlook-Anywhere funktioniert nicht.

 

Ich konfiguriere mein Outlook manuell (kein Autodiscover) und lasse den Namen des Users prüfen. Dann kommt ein Loginfenster in welches ich die Logindaten des Users eingebe, danach kommt eine Meldung, dass der Exchange-Server nicht erreicht werden kann.

 

Da ich für SSL ein Zertifikat der internen CA einsetze kommt der ConnectivityAnalyzer nicht über den Zertifikatsfehler hinaus.

 

Führe ich das CMDlet test-Outlookconnectivity für den RPCProxyType:extern aus bekomme ich folgende Meldung:

 

WARNUNG: Unerwarteter Fehler. Ein Watson-Abbild wird generiert: Der Objektverweis wurde nicht auf eine Objektinstanz
festgelegt..

 

Für intern funktioniert das CMDlet.

 

Ich stehe gerade ein bißchen auf dem Schlauch.... wo gibt es noch Hinweise wie es weiter geht bzw. was das Problem ist.

[nic7575 13]

Gibt es Einträge in den Ereignisprotokollen ?

[XP-Fan 215]

Hallo,

 

kannst du vom Client aus den neuen Exchange per DNS ansprechen ? Per ping ?

Ist am Exchange 2010 IPv6 aktiv an der Netzwerkkarte ?

Sicher  das der User am PC in der Domain angemeldet ist und nicht lokal ?

[fha 10]

Hallo Zusammen,

 

In den Ereignisprotokollen findet sich nichts außer dem Watson-Fehler den auch die EMS ausgibt.

 

Der Client steht im Internet. Es handelt sich dabei sowohl um Domain-member- als auch Standalone-Computer. Aber alle haben das Root-Zertifikat der Domäne in den Trusted-Root-CA installiert.

Die öffentliche Adresse des Exchange ("mob.webdomain.de") lässt sich auflösen aber nicht pingen (das unterbindet die Firewall).

Die interne Adresse des Exchange ("ex.addomain.de") lässt sich nicht auflösen und nicht pingen.

 

IPv6 ist aktiv auf der Netzwerkkarte des Ex2010. Allerdings habe ich bereits überprüft, dass auch auf den IPv6-Adressen die Ports für die RPC-Kommunikation offen sind.

 

Was mir gerade einfällt:

Die interne Domain (addomain.de) ist vom Namen her eine öffentliche Domäne... Macht das Probleme?

[mrtn91 10]

die interne Domäne sollte schon auf *****.local enden...

[Sunny61 772]

die interne Domäne sollte schon auf *****.local enden...

Sollte, könnte, aber muss nicht.

[NorbertFe 1.799]

die interne Domäne sollte schon auf *****.local enden...

Warum?

[doormman82 0]

Hi Fah,

 

ich hatte mal einen doofen Fall in welchem er versucht hat IPv6 trotz deaktiviertem IPv6 über IPv4 aufzulösen und ich deshalb den Host nicht anpingen bzw. auflösen konnte. 

 

Manchmal kommt es vor das sich im IPv6 Protokoll des Netzwerkadapter im DNS Server ein "::00" einträgt, obwohl dieser automatisch beziehen steht. Kontrollier das mal und deaktiviere dann den IPv6 um sicher zu gehen, das er diesen nicht verwendet.  

 

Ist nur so eine Idee: netsh interface 6to4 set state disabled

 

 

Was mir gerade einfällt:

Die interne Domain (addomain.de) ist vom Namen her eine öffentliche Domäne... Macht das Probleme?

 

So lange deine AD eine Subdomain ist tec.contos.de und du deinen DNS Sauber gepflegt hat, sollte das kein Problem darstellen. In unserer produktiven Umgebung hab ich das auch so gelöst. tec.DOMAIN.de für die AD und owa.DOMAIN.de für den Externen Zugriff auf OWA und Activsync.

 

Viel Erfolg.

bearbeitet 2. September 2013 von doormman82

[RobertWi 81]

Sollte, könnte, aber muss nicht.

 

Nein, eigentlich nicht mal "könnte". Die TLD "local" ist reserviert für Multicast-DNS und wird von Apple für das "Bonjour"-Protokoll benutzt.

 

Genau genommen darf man sie also nicht verwenden, auch wenn es in den meisten Netzen keine Probleme gibt. Sogar Microsoft rät seit längerem davon ab (nachdem sie bei Win 2000 noch dazu geraten hatten).

 

Siehe auch hier: http://en.wikipedia.org/wiki/.local

[Sunny61 772]

 

Nein, eigentlich nicht mal "könnte". Die TLD "local" ist reserviert für Multicast-DNS und wird von Apple für das "Bonjour"-Protokoll benutzt.

Ich hab noch nie .local verwendet wenn ich neu anlegen durfte/konnte. Aber oftmals ist das schon so vorgegeben.

[fha 10]

Hallo Zusammen,

 

erst einmal vielen Dank an alle die geantwortet haben.

 

Ein Wort zu der Domäne: In diesem Fall war der .de-Name schon vorgegeben, aber wir gehen tatsächlich bei neuen AD-Domänen dahin vermehrt öffentliche Namen zu verwenden. Der Hintergrund ist einfach die Geschichte mit den Zertifikaten. Ab Ende nächstes Jahr werden keine Zertifikate mehr für interne Namen vergeben. Und da weißen wir eben gerne auf öffentliche Namen hin, wenn es sich in der Situation anbietet.

 

Zum Problem:

Das ist gelöst, Outlook Anywhere funktioniert nun. Zwei Dinge haben uns weitergebracht.

Erstens: In der Firewall-Regel für den Port 443 waren irgendwelche Dienstausnahmen eingetragen. Ich weiß nicht welcher Art, ich weiß nur, dass die Regel für den Port 443 neu gemacht wurde ohne jegliche Einschränkung und damit kamen wir einen Schritt weiter. Allerdings wurde das Postfach nicht gefunden.

Zweitens: Ausgerechnet bei den beiden Testusern gab es eine ungewöhnliche Konstellation. Im Outlook muss als Benutzername etwas eingegeben werden dass nicht nur das AD sondern eben der Exchange als eindeutig erkennt. Und der hat den AD-Benutzernamen bzw. Alias nicht erkannt, weil hier im Vorfeld bereits die Postfächer so konfiguriert waren dass sich die Angaben im Exchange von denen im AD unterschieden haben. Da nicht klar ist bei wievielen Benutzern das zutrifft wurde entschieden für zukünftige Benutzeranlagen auf dieses Problem zu achten. Bis dahin wird als Benutzername im Outlook die primäre Mailadresse (Antwort-Mailadresse) verwendet. Das funktioniert.

 

CU.

[NorbertFe 1.799]

Dafür gibt's Split-DNS, dazu muss man nicht unbedingt Intern=extern setzen. ;)