Keine Verbindung mit Exchange Server / Testing the address book "Check Name" operation for user xx@xx.com against server mail.xx.com.

  • Ein Hallo an alle Exchange Experten!
    Ich habe aktuell einen Exchange 2016 (CU5) auf einen Windows Server 2012R2 am Laufen, also fast.
    Die web Anmeldungen über OWA, ECP etc. laufen alle einwandfrei. Autodiscover läuft auch OK (getestet mit Outlook und https://testconnectivity.microsoft.com)
    Nur leider habe ich Probleme mit den „Exchange Adressbuch“ wie es mir scheint.


    Wenn ich versuche einen Client (Outlook 2013 x86 bzw. 2010 x86) mit Exchange zu verbinden scheitert es immer an der Anmeldung.
    Fehler: „die Aktion kann nicht abgeschlossen werden es steht keine Verbindung mit Microsoft Exchange zur Verfügung“
    [Blocked Image: https://abload.de/img/outlook1pgyin.png]
    Wenn ich jetzt die Verbindung manuell nachbearbeite wie in dem Bild unten dann kann ich eine Verbindung herstellen.
    [Blocked Image: https://abload.de/img/outlook2q9ajw.png]
    „Manuell geht’s“
    [Blocked Image: https://abload.de/img/outlook3ynyih.png]
    Daraufhin habe ich den Online Test (testconnectivity.microsoft.com) gemacht.
    Bild
    mit diesen Fehler: HTTP/1.1 401 Unauthorized

    Wenn ich https://localhost:444/mapi/emsmdb aufrufe bekomme ich aber eine (meiner Meinung nach ) passende Rückantwort.


    [Blocked Image: https://abload.de/img/ie1jqzk2.png]



    Ich habe schon viel im Internet gesucht aber keine Lösung für mein Problem gefunden.
    PS: hier die ausgaben von get-MapiVirtualDirectory, Get-AutodiscoverVirtualDirectory und Test-OutlookConnectivity


    Ich hoffe echt das mir jemand helfen kann !


    Noch ein Paar Infos zum System:
    Windows Server 2012 R2 DE (virtuell) aktuell 16GB ram
    Exchange Server 2016 Std. CU5
    AD ebene min Server 2008
    Getestete Clients:
    Windows 10Pro mit Outlook 2013 x86
    Windows Server 2012R2 mit Outlook 2010 x86


    Schöne Grüße,
    Michael

  • Hallo,


    und willkommen im Forum:


    1. Ist das Zertifikat fehlerfrei und auf die korrekten Namen ausgestellt?
    2. Falls der Client einen Proxy nutzt, ist der Exchange-Server dort als Ausnahme eingerichtet?
    3. Ist Split DNS korrekt eingerichtet.


    4. Und bitte auch die anderen URLs checken und bei Bedarf korrigieren:


    Shell-Script
    1. $servername = "SERVERNAME"
    2. Get-OwaVirtualDirectory -Server $servername | fl internalurl, externalurl
    3. Get-EcpVirtualDirectory -server $servername | fl internalurl, externalurl
    4. Get-WebServicesVirtualDirectory -server $servername | fl internalurl, externalurl
    5. Get-ActiveSyncVirtualDirectory -Server $servername | fl internalurl, externalurl
    6. Get-OabVirtualDirectory -Server $servername | fl internalurl, externalurl
    7. Get-MapiVirtualDirectory -Server $servername | fl internalurl, externalurl
    8. Get-OutlookAnywhere -Server $servername | fl xxternalhostname,internalhostname,ExternalClientsRequireSsl,InternalClientsRequireSsl,ExternalClientAuthenticationMethod
    9. Get-ClientAccessService $servername | fl AutoDiscoverServiceInternalUri

    Grüße aus Berlin schickt Robert

  • Hallo Robert!
    Danke für deine Hilfe.
    Das Zertifikat werde ich noch mit meinen Kollegen prüfen (der macht mehr damit )
    [Blocked Image: https://image.prntscr.com/image/13a2234a15734e918a8d0f57aa4ffa44.png]


    zu den Punkten:
    2. Proxy habe ich bereits auf den Clients wo ich teste deaktiviert.
    3. Ja, also hoffe ich. :-)


    4. müsste auch passen (habe die Domain zensiert)

  • Moin,


    drei Anmerkungen:
    - das Zertifikat ist offensichtlich intern signiert -> das ist nicht gut und möglichst durch ein externes zu ersetzen (die vielen SAN darin kann man sich auch anders behandeln)
    - in Deinem Outlook-Screenshot schreibst "ext.xxxxx" -> das finde ich in den URLs nicht wieder, alles heißt da "wm.XXXX".
    - der SCP heißt "autodiscover.xxxxx" -> möglich, aber nicht notwendig -> "wm.XXXX" geht auch und ist einfacher intern zu händenl und spart einen Split-DNS-Eintrag (den Du auch nicht zeigst)

    Grüße aus Berlin schickt Robert

  • Hallo,


    immer her damit :-) Ich bin um jede Hilfe froh
    - Ja das Zertifikat ist selbst signiert bzw. eigentlich von der Unternehmens CA ausgestellt. -> Was könnte das für Probleme verursachen?
    - ja im Screenshot steht ext. drinnen. mein Fehler! es ist natürlich wm.xxxx.com (was auch drinnen steht - habs gerade nochmal geprüft)
    - ich habe sowohl autodiscover als auch wm als SplitDNS angelegt - ( Hoffentlich auch richtig :-) ) hat es einen Nachteil wenn ich autodiscover anstatt wm hernehme ?
    Den Split DNS habe ich so gelöst (Einträge sind mit den anderen DNS Servern Synchron)
    [Blocked Image: https://image.prntscr.com/image/64e8ceb284d540a584074f2faba1b82b.png]


    PS: Gibts die Möglichkeit den Forumsbeitrag zu schützen ? dann kann ich nämlich auch unzensierte ausgaben Posten - ich will nur nicht das die Domains öffentlich auftauchen.



    Nochmal Danke für die schnelle antwort !

  • Moin,


    nur mal zur Sicherheit:Wir reden hier nicht über eine Migration und ein freisch migriertes Postfach?

    Nein, in der Domäne war auch noch kein Exchange installiert.
    Es sind frische postfächer (extra zum testen erstellt vor ein paar tagen )

  • Ich habe mir jetzt alles noch mal angesehen, kann aber keinen Fehler sehen.


    Vermutlich muss sich das jemand vor Ort anschauen, denn da muss es noch irgendeine Einstellung geben, die nicht dem normalen Standard entspricht. Die muss aber nicht mal in Exchange sein. Das kann auch Client, GPO, Netzwerk, etc. sein.


    Eventuell hilft eine Analyse mit Fiddler.

    Grüße aus Berlin schickt Robert

  • Ich habe nochmal weiter "gebastelt"
    Ich habe unter MAPI die Standard Authentifizierung aktiviert und erhalte keinen Fehler 401 sondern 500. yeahhhh !


    Ich habe auch zum testen einen proxy dazwischen gehängt, um zu sehen was so durch läuft - hat auch nichts gebracht.
    Gibt es einen Weg die emsmdb/NSPI zb. über den Browser zu testen (außer https://localhost:444/mapi/ )?
    Welche URL's müssen Welche werte zurückgeben ? https://wm.xxxx.com/mapi/nspi müsste doch dann die werte zurück bekommen wie https://localhost:444/mapi/nspi -oder ?


    Danke,
    Michael

  • Nochmal eine Verständnis frage hinterher:
    wenn ich https://excsrv01.xxxx.XXXX.com:444/mapi/nspi/?mailboxId=25d5fab1-<woltlab-metacode-marker data-name="email" data-uuid="ba76dc07-05d5-44eb-aecc-149ba651f4ab" data-source="W2VtYWlsXQ==" data-attributes="WyI3NTdiLTQxZjItOGZiNy0zZGFlOWNjOWVmNTZAWFhYWC5jb20iXQ==" data-use-text="0" /><woltlab-metacode-marker data-uuid="ba76dc07-05d5-44eb-aecc-149ba651f4ab" data-source="Wy9lbWFpbF0=" /> aufrufe bekomme ich das:


    das müsste ich doch auch unter der https://wm.XXXX.com/mapi/nspi/?mailboxId=25d5fab1-<woltlab-metacode-marker data-name="email" data-uuid="928397b4-29ad-4571-ac42-8e4fbd5cfe04" data-source="W2VtYWlsXQ==" data-attributes="WyI3NTdiLTQxZjItOGZiNy0zZGFlOWNjOWVmNTZAWFhYWC5jb20iXQ==" data-use-text="0" /><woltlab-metacode-marker data-uuid="928397b4-29ad-4571-ac42-8e4fbd5cfe04" data-source="Wy9lbWFpbF0=" /> erhalten - oder?


    ich bekomme aber das:
    [Blocked Image: https://image.prntscr.com/image/94c7ceced75846b0a87b055a24b406a2.png]


    Grüße,
    Michael