OWA: wenige Benutzer möglich zum einloggen, viele nicht

  • Hallo zusammen,


    habe hier ein Phenomän was mich langsam verzweifeln lässt.

    Kurze Beschreibung:

    Migration von Ex10 -> Ex16 CU16 unter Server 2016 (unter Hyper-V 2016, alles aktuell gepatched) ohne Probleme und alter EX10 lies sich sauber entfernen.

    Der Administrator und ein weiterer Benutzer (ohne Domänenadminrechte) können sich per OWA im Lan und von Extern anmelden sonst kein anderer Benutzer. Dieses Verhalten ist gleich der Sync auf Handy (egal ob IOS oder Android). Es ging wohl schon auch auf dem EX10 nicht, der musste aber weg da auf Server 2008R2 lief.


    Jeder andere Benutzer bekommt die Fehlermeldung:

    Der eingegebene Benutzername oder das Kennwort ist ungültig. Wiederholen Sie die Eingabe, und versuchen Sie es noch mal.


    Alle Benutzer dürfen per OWA zugereifen, dieses ist erlaubt.

    IPv6 ist aktiv auf der Netzwerkkarte.


    Im Eventlog find ich nur 3 Fehlermeldung:

    Fehler 1:

    "There was an error setting up WacConfiguration. Wac will be disabled. The WacUrlHostName was invalid. Expected a valid Uri. Actual value was ''. Value read from 'OrganizationConfig'"

    Ein Get-OrganizationConfig |fl *wac* liefert mir ein leeres Feld zurück bei "WACDiscoveryEndpoint : "

    Es führt irgendwie in die Irre.


    Fehler 2:

    "Watson report about to be sent for process id: 17436, with parameters: E12IIS, c-RTL-AMD64, 15.01.1979.003, w3wp#MSExchangeOWAAppPool, M.E.C.Owa2.Server, M.E.C.O.S.C.OwaMapiNotificationManager.SubscribeToSuiteNotification, System.NotSupportedException, 80d2-dumptidset, 15.01.1979.003.

    ErrorReportingEnabled: False"


    Ein "get-mailbox -arbitration" liefert alle Boxern ohne Probleme zurück.

    Name Alias ServerName ProhibitSendQuota

    ---- ----- ---------- -----------------

    SystemMailbox{1f05a927... SystemMailbox{1f0... srv-ml011 Unlimited

    SystemMailbox{e0dc1c29... SystemMailbox{e0d... srv-ml011 Unlimited

    FederatedEmail.4c1f4d8... FederatedEmail.4c... srv-ml011 1 MB (1,048,576 bytes)

    SystemMailbox{bb558c35... SystemMailbox{bb5... srv-ml011 Unlimited

    Migration.8f3e7716-201... Migration.8f3e771... srv-ml011 300 MB (314,572,800 bytes)

    SystemMailbox{D0E409A0... SystemMailbox{D0E... srv-ml011 Unlimited

    SystemMailbox{2CE34405... SystemMailbox{2CE... srv-ml011 Unlimited



    auch "get-mailbox -AuditLog" ohne Auffälligkeit:


    Name Alias ServerName ProhibitSendQuota

    ---- ----- ---------- -----------------

    SystemMailbox{8cc370d3... SystemMailbox{8cc... srv-ml011 50 GB (53,687,091,200 bytes)


    Somit sind die Arbitration Mailboxen ok:/


    Fehler 3:

    "(Process w3wp.exe, PID 9264) Connection leak detected for key /Users/Administrator in Microsoft.Exchange.Configuration.Authorization.WSManBudgetManager class. Leaked Value 1."

    Hier steht bei MS Update auf CU11, ich bin ja schon bei CU16 :saint:


    Hat irgendjemand eine Idee wie prüfen kann was da noch nicht passt, evtl. ist es ein AD-Kontenthema, jedoch habe ich alle Benutzer geprüft und die Veerbung ist aktiv bei Sicherheit.


    Danke euch im Voraus

    BGONE



    Code
  • Hi Norbert,


    nein kein WAC im Einsatz und kein Proxy. UPN ist identisch.

    Ich kann mich ja auch direkt auf dem Exchangeserver befinden (per RDP) und kann mich nicht anmelden über den Webbrowser.

    Es geht ja bei 2 Benutzern bei 7 Benutzern geht es nicht.


    Gruß

    BGONE

  • Wie meinst du das, direkt per RDP?

    Sind die User Admins oder in der Gruppe Domänen-Admin?


    Wenn kein WAC im Einsatz, woher kommt die Meldung?

    Exchange erzeugt sowas nicht...

    Gruss, Norbert
    MVP Exchange Server 2006-06/2018
    Acronis Certfied Engineer

  • ignoriere das rdp.


    folg. Szenario:

    Sitze an einem PC im LAN hinter der Firewall und ohne Proxy und Exchange im LAN. Logge im Browser mich als Admin per owa erfolgreich ein https://fqdn/owa ein oder als der Benutzer bei welchem es geht und melde mich ab. Melde mich im gleichen Browser im selben Link als jeglicher anderer Benutzer an ohne Erfolg.

    Fehlermeldung: "Der eingegebene Benutzername oder das Kennwort ist ungültig. Wiederholen Sie die Eingabe, und versuchen Sie es noch mal."

    Probiere ich dann gleich wieder diejenigen Konten die ok waren erfolgt sofort login. Per Outlook klappt der Zugriff für alle Benutzer ohne Probleme.


    WAC woher? Nur der Exchange meckert dieses Eintrag an, es gab nie einen WAC jemals im Netz, das ist ganz sicher.

  • der fqdn ist schon mal falsch - da muss der gleiche Eintrag rein, der im Zertifikat steht, welches von extern signiert ist.


    Split-DNS

    Gruss, Norbert
    MVP Exchange Server 2006-06/2018
    Acronis Certfied Engineer

  • ob ich per FQDN oder IP/owa mich anmelde ist doch irrelevant bei OWA, es kommt höchstens eine Zertifikatswarnung.

    Hier ist split-dns auch nicht die Fehlerquelle sonst würde es bei allen Benutzer nicht gehen, es können sich aber einige Benutzer anmelden.


    Nach lange Suche habe ich den Fehler gefunden und möchte euch dieses mitteilen, falls ihr auch auf dieses Thema stößt:

    Lösung

    Beim vergelichen alle AD-Attribute bei den Benutzer bei welchen die OWA-Anmeldung ok ist und bei denen wo es nicht klappt, ist die Lösung klar.

    Es war diesen Benutzer beim AD-Konto eine Restriktion bei den Computern hinterlegt "Anmelden an" und hier sind die DC´s und der Exchange nicht drin gewesen.

    Der normale Gebrauch von Outllok im LAN klappt und es werden keine Fehler festgestellt.

    Bei Exchange 2010-2019 konnte ich dieses Verhalten reproduzieren

  • ob ich per FQDN oder IP/owa mich anmelde ist doch irrelevant bei OWA, es kommt höchstens eine Zertifikatswarnung.

    Hier ist split-dns auch nicht die Fehlerquelle sonst würde es bei allen Benutzer nicht gehen, es können sich aber einige Benutzer anmelden.

    Das sehe ich anders, vor allem, wenn der User das anstelle von Outlook verwendet (habe ein paar Kunden, die das so machen)

    Spätestens beim Upload von Anhängen kann das ganz Lustige Effekte verursachen


    Danke für die Rückmeldung


    Und - sowas ist dokumentiert . eigentlich...


    Viel Erfolg und bis zum nächsten Mal! ;)

    Gruss, Norbert
    MVP Exchange Server 2006-06/2018
    Acronis Certfied Engineer