Exchange nur teilweise von außen erreichbar

[MyHigh 0]

Guten Tag, 

 

erst einmal ein Hallo an alle hier im Forum. 

 

Ich komme gerade einfach nicht weiter und hoffe mir kann jemand ein wenig auf die Sprünge helfen. 

 

Folgende Situation:

 

Kunde mit Hyper-V Hostmaschine und mehreren VMs. Eine davon der Exchange.

Beide Server Server 2012 R2 Standard

Alle Server- und Userlizenzen kommen aus einem Volume Licence Konto des Kunden.
36 Postfächer auf Exchange 2013

Telekom Business Leitung mit fester IP.

Portfreigabe auf Router für Exchange mit Por 443.

DNS Einstellungen Domain alle auf die feste IP.

Self-Signed Certificate für OWA und OA. 

VPN Verbindungen für Remotezugriff auf Terminalserver.

 

Zustand letzte Woche: 

Alles funktioniert.

Clients/User im Domänennetzwerk kommen auf ihre Exchange Postfacher. 

OWA erreichbar.

Externe Mitarbeiter kommen via Zertifikat ohne VPN auf ihre Postfächer.

Postfächer auch mit VPN erreichbar.

 

 

Zustand diese Woche:
Im Domänennetzwerk ist alles ok. Funktioniert wie gehabt

OWA erreichbar und funktioniert auch.

ABER!

Externe Mitarbeiter mit Zertifikat kriegen keine Verbindung mit dem Exchange

Externe Mitarbeiter mit VPN!! kriegen keine Verbindung mit dem Exchange

Exchange anpingbar via VPN da Hosts Einträge gesetzt sind auch über DNS Namen. 

nslookup auf owa domain bzw. proxy funktioniert auch

Wenn man alle Anmeldedaten aus dem Windows Anmeldeinformationsverwaltungstresor entfernt, wird man beim Versuch eine Verbindung herzustellen auch dazu aufgefordert sie einzugeben und dann kommt die Fehlermeldung

 

"Die Aktion kann nicht abgeschlossen werden. Es steht keine Verbindung mit MIcrosoft Exchange zur Verfügung. Outlook muss im Onlinemodus oder verbunden sein, um diesen Vorgang abzuschließen."

 

Versucht man es über VPN ohne Proxy, selbes Fehlerbild, jedoch ersetzt er da dann quasi den Server im "Konto hinzufügen" Dialog von cas-exc mit "04df-234e-..." usw. ersetzt. D.h. er hat den Exchange schon gefunden. Er zieht sich auch alle Daten anscheinend vom Server. Er schließt das ganze mit 2 Hakchen ab nur beim Anmelden scheint er irgend ein Problem zu haben.

 

Was hat sich seit letzter Woche geändert:

Exchange 2013 von Update Rollup 4 (Also Exchange mit SP1) auf UpdateRollup CU15 geupdated. Keine Probleme bei der Installation. 

Grund für das Update, war ESET Mail Security für Exchange Server. Dieser setzte mindestens Update Rollup 9, also die 15.0.1104.5 voraus. Wenn man schon einmal Updated, habe ich mir gedacht, nehmen wir gleich die aktuellste Version. D.h. akutell ist Exchange Server 2013 CU 15 mit Versionsnummer 15.0.1263.5 installiert, sowie der Eset Mail Security Spamschutz, der auch ohne Probleme arbeitet.

 

Ich habe schon kontrolliert:

Benutzer (da es erst nur einer aufgefallen ist) - also Benutzerkonto, Exchange Postfach Einstellungen
DNS Einstellungen 

Ports auf der Firewall und Router

Zertifikate

Dienste ob alle laufen

Eset Mail Security wieder deinstalliert - Maschine neu gestartet - gewartet - keine Änderung

Netzwerkeinstellungen des VM Hosts sowie des Exchangeservers
DNS Zonen im AD

 

Ich bin gerade am Verzweifeln. Einerseits kommt er ins OWA via Browser, das funktioniert auch ohne Probleme, andererseits findet er den Server ja auch, da er sonst nicht die Anmeldung ohne Probleme durchführen würde. Er fordert mich ja auf die Daten einzugeben. Würde es da Probleme geben, würde er ja ständig den Dialog bringen das Kennwort bzw. die Userdaten einzugeben. Es erscheint aber nur solange man die Daten falsch eingibt. Wenn man sie richtig eingibt, rödelt er kurz und bringt dann die Fehlermeldung, dass er die Aktion nicht abschließen kann und das keine Verbindung zum Exchange zur Verfügung steht....

 

Irgendwo ist der Bock... ich seh aber gerade nur einen Haufen Ziegen... 

 

Vielen Dank schon mal im Voraus... ich geh mal in Embryonalstellung in die Ecke und roll am Boden herum...

 

 

Lg Michael

 

 

[fuuussiiidiel 52]

Hi,

 

hast du schon den MS Connectitvity Analyzer durchlaufen lassen?

 

https://testconnectivity.microsoft.com/

 

Vielleicht bekommst du so noch einen Hinweis.

[Squire 210]

ist das Zertifikat noch gültig?

 

Hol Dir doch ein offizielles SSL Zerifikat. die kosten nun wirklich nicht mehr die Welt ... damit ist eine Fehlerquelle definitiv ausgeschaltet. Mit selfsigned mag man wirklich nicht herumhantieren. Intern kannst Du ja eine eigene CA verwenden ...

[MyHigh 0]

Asche über mein Haupt. Anscheinend hat das Update des Exchangeservers dem Zertifikat alle Dienste entzogen. 
Intern hat das natürlich nichts ausgemacht, da die Clients diese Änderung mitbekommen haben.

 

Extern hat er sich natürlich immer über mit dem von uns exportiertem Cert versucht zu authentifizieren. 

Kann dann natürlich nicht gehen. 

 

Vielen Dank für die Hilfe. Aber falls jemand einen ähnlichen Fehler nach dem Update auf die CU15 hat, kontrollieren ob der Exchange nicht IIS und die restlichen Dienste nicht zufälligerweise auf ein anderes Zertifikat umgeschrieben wurden.

Eigentlich sollte das ja nicht passieren, aber anscheinend hat er das beim Update gemacht. 

 

Siehe Bild. Das Zertifikat oben ist das eigentlich ausgestellte, keine Dienste zugewiesen. 

Schnell via Shell die Dienste zugewiesen, ging wieder. 

 

Ich habe leider beim überprüfen der Zertifikate nur darauf geachtet, dass das Zertifikat auch gültig ist und ich die Dienste vorfinde, nicht aber, dass das Zertfikat, welches wir ausgestellt haben überhaupt das ist, was überhaupt aktiv ist. Wie gesagt, Shame on me... 

 

http://imgur.com/a/3roJj

 

Aber vielen lieben Dank für die kurzfristigen Antworten. 

 

@fuuussiiidiel: hatte ich gestern Abend schon probiert, da kam nur immer dieses nervige Captcha, welches mir mit leiser Stimme sagte "you shall not pass"... wollte mich da einfach nicht durchlassen auch wenn die eingegebenen Zeichen korrekt waren :D jetzt ging und ich hab es nochmal versucht. Dann war recht schnell klar was war. 

 

fuuussiiidiel