Outlook 2016 <-> Exchange 2013 <-> Arbeitsgruppe

[Gerber_]

Hi zusammen,

ich habe eine Frage bezüglich einem Exchange Server 2013 in Verbindung mit einem Client, welcher Outlook 2016 außerhalb der Domäne nutzt.

Wie kann ich den Client außerhalb der Domäne an Exchange anbinden?

In Outlook 2013 gibt es noch die Möglichkeit "Microsoft Exchange" auszuwählen und in den Proxyserver-Einstellungen mitzugeben, dass sich Outlook über HTTP die Verbindung zum Exchange aufbauen soll.

In Outlook 2016 gibt es nur noch "Office 365" oder "IMAP". Wie kann dies dort korrekt konfiguriert werden?

Danke euch im Voraus.

Grüße Phil

 

[holdes]

Naja, im Prinzip muss sichergestellt sein das AutoDiscover vernünftig konfiguriert ist und Outlook Anywhere dann klappts auch ohne händisch was einstellen zu müssen, das wird eben ab Outlook 2016 deutlich. Man kann wohl über die Registry noch diverse Sachen händisch machen aber das lenkt natürlich nicht vom Best Practise ab.

 

[kamblars]

Sie @holdes Kommentar. Wenn AutoDiscover korrekt konfiguriert ist, solltest du auch mit einem Client außerhalb der Domäne keine Probleme haben die "mail.firma.de" Adresse aufzulösen.

Anmeldung am Konto dann über "domäne\username"

 

[rocketworm]

Hi, direkt in Outlook werden es seit 2013 immer weniger Optionen beim anlagen eines Kontos. Manche optionen bekommt man da nur noch angeboten wenn man stattdessen über die Systemsteuerung und dann E-Mail geht.

 

[Darkblade08]

In Outlook 2016 kann man doch beim hinzufügen ganz normal Exchange ActiveSync auswählen

 

[holdes]

Active Sync ist aber das Protokoll das auch Smartphones wählen, man muss wissen welche Einschränkungen das mit sich bringt bevor man das wirklich macht. So etwas wie z.B. Kalenderfreigaben sind dann nicht mehr drin. RPC bzw. MAPI over HTTP(S) ist eben das was ein Outlook Client mit Exchange erst so mächtig macht.

 

[Gerber_]

danke euch für die Antworten.

@holdes: Autodiscover ist korrekt konfiguriert. DNS Zonen sind angelegt und auch vom Client korrekt auflösbar.
outlook.domain.de
autodiscover.domain.de
Allerdings meckert Outlook. Outlook sucht nach den Einstellungen für das angegebene Postfach und frägt dann ständig nach dem Kennwort.

Wenn ich eine Abfrage über die Autodiscover URL mache, bekomme ich die korrekte Ausgabe angezeigt:

https://autodiscover.domain.de/autodiscover/autodiscover.xml

In der Domäne klappt natürlich alles wunderbar.

Kann es mir nicht erklären

Grüße Phil

 

[holdes]

Outlook Anywhere richtig konfiguriert im Exchange? Siehe:

https://docs.microsoft.com/de-de/exchange/outlook-anywhere-exchange-2013-help

Sind die internen und externen Domains die gleichen? (Split-DNS) das wäre empfehlenswert.

 

[t-6]

@Gerber: Ich empfehle dazu dringend das Autodiscover Whitepaper von Franky durchzuforsten. Da steht alles drin was es zu wissen gilt.

Quintessenzen/Empfehlungen:
-es wird ein MultiSAN SSL/TLS-Zertifikat mit autodiscover.domain.de + outlook.domain.de benötigt (geht kein sinnvoller Weg mehr drumrum; spätestens seitdem Apple keinen einfachen "SSL-Fehler ignorieren"-Button mehr für ActiveSync hat)
-autodiscover.domain.de & outlook.domain.de müssen EXTERN auf die IP-Adresse vom Anschluss auflösen, hinter denen sich der Exchange-Server (genauer: der CAS) verbirgt, was meistens auf die WAN-IP auflöst
-konsequenterweise muss HTTPS 443 auf den Exchange weitergeleitet werden (schlecht) oder ein Reverse Proxy vorhanden sein der autodiscover.domain.de & outlook.domain.de mit dem Exchange im Hintergrund proxied (besser)
-das SSL-Zertifikat muss am Reverse Proxy und/oder am Exchange eingepflegt werden und für die Rolle "IIS" genutzt werden
-INTERN sollten* autodiscover.domain.de & outlook.domain.de auf die INTERNE IP-Adresse vom Exchange/CAS gelenkt werden
-am Exchange müssen ALLE virtuellen Verzeichnisse (OAB; OWA; ECP; EWS; ActiveSync; PowerShell usw.) sowohl INTERN als auch EXTERN auf die jeweilige URL https://outlook.domain.de/EWS usw.) eingestellt sein
-dasselbe für Outlook Anywhere
-spannenderweise könnte man für extern noch einen SRV-Record für _autodiscover._tcp.domain.de erstellen der auf outlook.domain.de zeigt (intern geht das nur, wenn eure interne AD-Domäne genauso heißt wie eure externe produktive Domäne, aber dann habt Ihr ganz andere Probleme)

Outlook sucht nach den Einstellungen für das angegebene Postfach und frägt dann ständig nach dem Kennwort.

Der Sicherheit halber noch mal gefragt: Es ist hoffentlich klar dass hier beim Benutzernamen nicht die Email-Adresse** sondern der Domänen-Benutzername im Prä-Windows2000-Format DOMAIN\username bzw. im modernen FQDN-Format username@domain.local gemeint ist?

Und natürlich niemals zu vergessen: https://testconnectivity.microsoft.com/



*geht theoretisch auch über den Reverse Proxy; je nach Paranoia-Level
**außer Ihr habt den samaccountname mit dem Email-Alias vereinheitlicht & nutzt ein UPN-Suffix domain.de

 

[holdes]

Ergänzend zum Thema Exchange Lesestoff möchte ich Herrn Carius und seine Seite nicht unerwähnt lassen: https://www.msxfaq.de/exchange/autodiscover/index.htm

@t-6 es funktionieren ebenfalls wunderbar Lets Encrypt oder andere Wildcard Zertifikate auch mit iPhone, das macht es immer relativ angenehm und günstig. Die neue Sophos SG Firmware kann sie sich nun sogar endlich selbst generieren .


Wir können natürlich nicht in deine Umgebung schauen und dein Autodiscover + Exchange Konfig sehen, daher muss man penibel da ran gehen wir sprechen schließlich von einer außerhalb erreichbaren Serverumgebung .

Edit: mir fällt da noch ein Bug ein der vllt auch zu deinem Problem führen könnte sofern es den noch gibt: prüfe bitte mal mit gedrückter Strg Taste beim Client der außerhalb ist und Rechtsklick aufs Outlook Icon in der Infoleiste das Autodiscover am Client. Mir war so das selbst bei korrekten Autodiscover manchmal Outlook Versionen immer zuerst versuchten zu office365.com zu verbinden und dadurch so eine nervige Meldung produziert hatten. Sofern man kein Office365 nutzt kann man das natürlich im DNS oder Host verbiegen wenn’s daran liegen sollte.

 

[Gerber_]

Danke euch für die ausführlichen Antworten.

@t-6 :

Werde nochmals das white paper anschsuen.

Es ist allerdings genau so konfiguriert.
Ich habe die zwei Domains im Dns als Zone konfiguriert und mit einem Eintrag auf DEN Exchange verwießen.

Zertifikat ist korrekt und beinhaltet Outlook sowie autodiscover.domain.de

Ich ha s eine Sophos Firewall zuvor stehn, welche Reverse Proxy macht und die Anfrage auf den Exchange weiterleitet.

Dns Namen werden alle korrekt aufgelöst, intern wie extern.

Alle Zertifikate sind korrekt an die Dienste gebunden.

Mir ist klar, dass ihr nicht in meine Landschaft schauen könnt xD.

Ist werde gleich Montag nochmals die Einstellungen prüfen.

Ich bin mir gerade nicht sicher, ob ich den Benutzer wirklich als benutzer@domain.local angegeben habe.

Ich melde mich Montag nochmals zurück.

Grüße Phil

 

[holdes]

Super, wir sind gespannt auf deine Rückmeldung. Vor allem ob am Client das Autodiscover entsprechend aufgelöst wird und Outlook Anywhere so läuft wie es soll .

 

[Gerber_]

Hello,



so die Verbindung zwischen Outlook und dem Exchange Server außerhalb der Domäne läuft nun.
Die DNS Einstellungen (Split DNS) + Autodiscover + Outlook Annywhere sind korrekt konfiguriert.

Ich habe tatsächlich bei der Anmeldung immer die Email Adresse als Benutzer benutzt und nicht den FQDN des Benutzers.
Mit der korrekten FQDN schreibweise "benutzer@domain.local" hat es auf anhieb funktioniert und Outlook wurde korrekt mit dem Exchange Server verbunden.

Danke an alle für die klasse Hilfe.


Grüße Phil

 

[holdes]

@Gerber_ : Freut uns sehr

Mit Split DNS + korrektem AutoDiscover und als Beiwerk Outlook Anywhere fährt man definitiv Best Practise vom feinsten. Ich nutze übrigens für die Active Directory User Konten als UPN die eMail Domain, dann ist sowohl der Login am PC bei den Usern als auch die Mailadresse identisch, in deinem Fall wäre es dann genauso wie du das eben versucht hast gegangen. Es gibt diverses an Software bei dem sich das durchaus lohnt, denk mal drüber nach. Mehr als deine Maildomain als UPN-Suffix brauchst du nicht anlegen, müsstest nur einmal deine User per Skript ändern und fertig.

Siehe auch:
https://www.msxfaq.de/exchange/admin/upn.htm

 

[Gerber_]

@holdes :

Hier hast du natürlich Recht. Habe ich auch bereits überlegt. Allerdings müsste ich dann die Benutzernamen anpassen, da unsere Benutzernamen nicht gleich der E-Mail Adresse entsprechen.

Email Adresse: m.mustermann@domain.de
Benutzername: mustermannm@domain.local

Deswegen wollte ich es vorerst noch nicht umstellen. Wenn natürlich eine neue Struktur aufgebaut wird, kann dies gleich von Anfang an beachtet werden und über den UPN abgearbeitet werden.

Grüße Phil

 

[holdes]

@holdes :

...Deswegen wollte ich es vorerst noch nicht umstellen. Wenn natürlich eine neue Struktur aufgebaut wird, kann dies gleich von Anfang an beachtet werden und über den UPN abgearbeitet werden.

Grüße Phil

Genau das ist der Punkt, du kannst die Umbenennung per Skript über alle User laufen lassen, das normale Anmeldeformat mit Domain\User geht danach trotzdem noch, so als Bonus quasi.

Email Adresse: mustermannm@domain.de
Email Adresse: mustermannm@domain.local
Benutzername: domain\mustermannm
Benutzername: domain.local\mustermannm

wären dann alle gültig.

Kannst du mit einem Testuser ja gern ausprobieren . Aber stimmt schon, die Kontonamen wären natürlich schöner wenn sie dem Mailformat 1:1 entsprechen aber das kann man aber je nach Größe auch noch handlen, es macht dir später Single Sign On leichter da du für Usernamen immer die Variable %mailadress% übergeben kannst und keine weitere Domainangabe benötigst.

(Gerade bei MDM und co. ist das Mailformat für Domainanmeldungen ein Segen)

 

[Gerber_]

Stimmt, wenn die Anmeldung vorhanden bleibt (altes Anmeldeverfahren) dann kann ich ja wirklich als Bonus die Anmeldung mit UPN konfigurieren.

Ich werde es wie von dir beschrieben mit einem Test User vornehmen und dann per Script den Rest umbenennen.

Edit:

Eine Frage noch zum Zugriff per Active Sync. Wenn ich nun die Anmeldung umstelle und bisher im Active Sync Profil die Anmeldung "domain.local\benutzer" benutzt habe. Muss ich hier die Anmeldung auf UPN umstellen oder kann über Active Sync weiterhin das "domain.local\Benutzer" Verfahren benutzt werden?

Grüße Phil

 

[holdes]

Sollte eigentlich beides akzeptiert werden. Auf dem iPhone hab ich bei mir noch Domain und Userfeld ausgefüllt. Letztendlich muss ja nur der DC die Anmeldung akzeptieren, in welchem Format die kommt sollte dem egal sein solange er das Format kennt. Da du das aber mittels Testuser einfach ausprobieren kannst, kann eigentlich nichts schiefgehen .

Wichtig: Der Kontoname des Users ändert sich auch gar nicht, du änderst nur das Suffix hinten dran (hatte im Beitrag drüber einen bösen Typo drin). Im Prinzip ist es seit Windows 2000 so das Domainuser sich Best Pracise mit Kontoname@Domain anmelden, ob das Suffix nun aus Domain.local oder Maildomain besteht ist da egal. Wenn du den Kontonamen vor dem Suffix änderst muss man in der Tat die Logins am Rechner einmal mit dem geändert Kontonamen durchführen (je Nach Software die mit der AD arbeitet aber aufpassen, kann sein das man dort noch was drehen muss oder zumindest die User nochmal auslesen, daher an alles denken wenn du mit deinem Testuser alles ausprobierst).

Beispiel:
Dein Userkonto heißt z.B.
M.Mustermann

dann wäre für diesen folgendes hinterher als Anmeldung gültig:
Domain\M.Mustermann
M.Mustermann@Domain
M.Mustermann@Maildomain

Man ergänzt im Prinzip nur die Maildomain hinten dran, sollte der Kontoname von den Mailadressen im Exchange abweichen könnte man trotzdem darüber nachdenken das zu ändern, führt aber eben zu genanntem Effekt das sich die User am PC mit dem geänderten Kontonamen einmal anmelden müssten bzw. gespeicherte Logins entsprechend angepasst. (Oder man ändert die Mailadresse im Exchange und lässt das alte Format als Alias mit drin, dann bräuchte man die Logins nicht anpassen)

 

[Gerber_]

Haste Recht, der DC muss die Anmeldung ja nur akzeptieren.

Genau in dem von dir verlinkten Thread wird eben auch der Kontoname geändert.
In meinem Fall habe ich, wie von mir bereits erwähnt genau dieses Problem.

Momentan ist es so aufgebaut:

mustermannm@domain.local

Ich habe nun schon mit einem Test Benutzer die UPN Verbindung überprüft.

mustermannm@domain.de wäre dann die neue Anmeldung, oder die zusätzlich akzeptierte Anmeldung.

Jetzt kommen wir eben zum Problem oder zur Frage, ob es sich lohnt alle Anmeldenamen auf die Email Adresse gleich zu ziehen. Ungern würde ich die Mail Adressen abändern.

Momentane Mail Adressen:

m.mustermann@domain.de

Somit müsste ich den Anmeldenamen auf von "mustermannm" auf "m.mustermann" ändern.
Es handelt sich um 50 - 55 User. Ich werde es mir noch überlegen, ob ich dies in Angriff nehme oder mit dem momentanen Stand leben werde ;-).

Bei einem Neuaufbau werde ich aber in Zukunft sicher an diesen Punkt denken und die Anmeldenamen gleich den Email Adressen zu setzten. Für den Benutzer ist dies einfach praktikabler und verständlicher.

Danke für deine Hilfe.

Grüße Phil

 

[holdes]

Du könntest auch alternativ wie schon erwähnt die Kontonamen so lassen wie sie sind und änderst nur den Suffix, Mailadressen änderst du passend ab und trägst im Exchange als weitere Empfangsadresse die bisherige ein, so wären E-Mail und Konto gleich, du musst die Kontonamen nicht ändern und mit der bisherigen Adresse würden auch noch alle ihre Mails empfangen können, nur die neu gesendeten würden eben mit der neuen rausgehen bis sich alle dran gewöhnt haben, damit könnte man das Ziel ebenfalls erreichen wenn du Lust drauf hast . Damit ersparst du dir zumindest das ändern des Kontonamens und damit der Logins.

Spätestens wenn ihr mal über Skype for Business oder CTI Software nachdenkt wirst du merken das es ein wahrer Segen ist wenn der Standard Suffix die Maildomain ist (weiterer Vorteil: die User müssen sich dann nur noch Passwort und ihre Mailadresse merken und können sich überall einloggen ohne das man ihnen erklären muss wie man einen Backslash auf der Tastatur findet )