von Redaktion IT-A…
Lesezeit
4 Minuten
Fehlersuche beim Clientzugriff unter Exchange (2)
E-Mail-Clients finden den Weg zu den Nachrichten an den Nutzer heutzutage eigentlich ganz von alleine. Sollte es dabei zu Problemen kommen, ist jedoch guter Rat teuer, denn es gibt zahlreiche Protokolle und Konfigurationsoptionen. Wir zeigen in diesem Beitrag, welche Protokolle Clients mit Exchange nutzen und wie sie sich den Weg zu Exchange suchen. Außerdem kommen wir möglichen Problemen im Fehlerfall auf die Schliche. Im der zweiten Folge schildern wir, wie Sie IMAP, POP3 und EWS für den Clientzugriff nutzen. Außerdem gehen wir im Detail auf die Autodiscover-Funktion ein.
IMAP, POP3 und EWS für den Clientzugriff
IMAP und POP3 kommen heute nur noch selten zur Anwendung – es gibt komfortablere Alternativen. IMAP und POP3 sind für das Abholen von E-Mails ausgelegt. Beachten Sie, dass es dabei nur um das Abholen von Ihrem Exchange-Server geht und nicht um das Abrufen von E-Mails über POP3 bei anderen Providern für Exchange. Der Zugriff auf Administratoren-Postfächer über POP3/ IMAP ist nicht möglich. Zum Senden wird SMTP verwendet. Hier müssen Sie Ihren Exchange-Server gesondert konfigurieren und viel Bedacht walten lassen, da dies ein häufiges Risiko von Open Relays ist.
POP3 ist für den einfachen Abruf von E-Mails gedacht, die im Anschluss standardmäßig vom Server gelöscht werden. Eine Synchronisation vom Client zum Server findet nicht statt, daher ist das Arbeiten an mehreren Geräten mit POP3 sehr umständlich. IMAP bietet den Vorteil, dass es die Ordner mit dem Server synchronisiert und auch mit Unterordnern umgehen kann. Ein Arbeiten an mehreren Plätzen ist somit möglich und alle Clients haben den gleichen Stand. Kalender, Kontakte und Aufgaben werden bei beiden Protokollen nicht berücksichtigt.
In Exchange Online stehen Ihnen die Dienste direkt zur Verfügung. Um IMAP beziehungsweise POP3 in einer lokalen Umgebung zu nutzen, setzen Sie den Dienststart für die folgenden Dienste auf "automatisch" und starten Sie diese im Anschluss:
Nutzen Sie zur Anmeldung aus dem Internet POP3 beziehungsweise IMAP mit TLS, damit Benutzername und Kennwort nicht in Klartext übertragen werden. Binden Sie hierfür Ihr Zertifikat im EAC unter "Server" ebenfalls an die Dienste POP3 und IMAP an. Nachdem Sie die Einstellungen für einen Dienst geändert haben, starten Sie ihn neu, damit die Änderungen wirksam werden.
IMAP und POP3 sind standardmäßig für alle Benutzer aktiviert. Sie können das in den Eigenschaften des Benutzers ändern, ähnlich wie bei EAS. Über den Set-CasMailbox-Befehl steuern Sie das Verhalten ebenfalls über die PowerShell.
Exchange Web Services (EWS) wurde von Microsoft in Exchange 2007 als Nachfolger für MAPI eingeführt, aber im Clientzugriff findet es fast ausschließlich auf dem Mac in Outlook für Mac und Apple Mail Anwendung. Viele Programme von Microsoft aber auch von Drittanbietern setzen auf EWS, da es einen einfachen und plattformunabhängigen Zugriff auf Exchange-Inhalte ermöglicht.
IMAP und POP3 kommen heute nur noch selten zur Anwendung – es gibt komfortablere Alternativen. IMAP und POP3 sind für das Abholen von E-Mails ausgelegt. Beachten Sie, dass es dabei nur um das Abholen von Ihrem Exchange-Server geht und nicht um das Abrufen von E-Mails über POP3 bei anderen Providern für Exchange. Der Zugriff auf Administratoren-Postfächer über POP3/ IMAP ist nicht möglich. Zum Senden wird SMTP verwendet. Hier müssen Sie Ihren Exchange-Server gesondert konfigurieren und viel Bedacht walten lassen, da dies ein häufiges Risiko von Open Relays ist.
POP3 ist für den einfachen Abruf von E-Mails gedacht, die im Anschluss standardmäßig vom Server gelöscht werden. Eine Synchronisation vom Client zum Server findet nicht statt, daher ist das Arbeiten an mehreren Geräten mit POP3 sehr umständlich. IMAP bietet den Vorteil, dass es die Ordner mit dem Server synchronisiert und auch mit Unterordnern umgehen kann. Ein Arbeiten an mehreren Plätzen ist somit möglich und alle Clients haben den gleichen Stand. Kalender, Kontakte und Aufgaben werden bei beiden Protokollen nicht berücksichtigt.
In Exchange Online stehen Ihnen die Dienste direkt zur Verfügung. Um IMAP beziehungsweise POP3 in einer lokalen Umgebung zu nutzen, setzen Sie den Dienststart für die folgenden Dienste auf "automatisch" und starten Sie diese im Anschluss:
- Microsoft Exchange POP3
- Microsoft Exchange POP3 Backend
- Microsoft Exchange IMAP4
- Microsoft Exchange IMAP4 Backend
Nutzen Sie zur Anmeldung aus dem Internet POP3 beziehungsweise IMAP mit TLS, damit Benutzername und Kennwort nicht in Klartext übertragen werden. Binden Sie hierfür Ihr Zertifikat im EAC unter "Server" ebenfalls an die Dienste POP3 und IMAP an. Nachdem Sie die Einstellungen für einen Dienst geändert haben, starten Sie ihn neu, damit die Änderungen wirksam werden.
IMAP und POP3 sind standardmäßig für alle Benutzer aktiviert. Sie können das in den Eigenschaften des Benutzers ändern, ähnlich wie bei EAS. Über den Set-CasMailbox-Befehl steuern Sie das Verhalten ebenfalls über die PowerShell.
Exchange Web Services (EWS) wurde von Microsoft in Exchange 2007 als Nachfolger für MAPI eingeführt, aber im Clientzugriff findet es fast ausschließlich auf dem Mac in Outlook für Mac und Apple Mail Anwendung. Viele Programme von Microsoft aber auch von Drittanbietern setzen auf EWS, da es einen einfachen und plattformunabhängigen Zugriff auf Exchange-Inhalte ermöglicht.
Autodiscover für Outlook
Outlook fragt innerhalb der Domain nur nach der E-Mail-Adresse und richtet sich mit den Daten des angemeldeten Benutzers im Anschluss selbstständig ein. Die Autodiscover-Funktion kommt aber nicht nur bei der Erstkonfiguration eines Clients zum Tragen, sondern es sucht periodisch nach neuen Einstellungen wie zusätzlichen Postfächern oder neuen Adressbüchern. Häufig findet sich an dieser Stelle eine Fehlerursache, wenn Clients den Server nicht finden.
Autodiscover über SCP in lokalen Netzen
Bis ein Client seine Einstellungen per Autodiscover erhält, durchläuft er mehrere Schritte. Handelt es sich um einen Outlook-Client und ist der Arbeitsplatz in einer Domain, liest Outlook den Service Connection Point (SCP) aus, um den Weg zu Exchange zu finden. Im SCP befindet sich eine URL mit dem Verbindungspunkt zum Exchange-Server und der Autodiscover-XML-Datei. Von diesem Server holen sich die Clients dann die Konfiguration. Dadurch funktioniert die Auflösung im internen Netzwerk sehr unproblematisch und ohne weitere Anpassungen.
Beim SCP handelt es sich um einen Eintrag, den Exchange bei der Installation automatisch setzt. Den Eintrag prüfen Sie in "Active Directory-Standorte und -Dienste" unter "Services / Microsoft Exchange / Name der Organisation / Administrative Group / Name Administrative Group / Servers / Name Server / Protocols / Autodiscover".
Am Exchange-Server konfigurieren Sie die URL über die Exchange Management Shell und dem Set-ClientAccessService-Cmdlet. Eine Konfiguration über das Exchange Admin Center ist nicht möglich. Die Installation eines Exchange-Servers trägt automatisch den Hostnamen ein, was eine Fehlerursache sein kann, sofern die Clients dem Zertifikat des neuen Servers noch nicht vertrauen. Grundsätzlich muss der Name aus der URL auch im Zertifikat des Servers enthalten sein. Um die Anzahl der Namen möglichst gering zu halten, sollte Sie ihn auf einen allgemeinen Eintrag ändern, der bei allen Servern identisch ist:
Damit Autodiscover korrekt funktioniert, ist es wichtig, dass im Zertifikat alle Namen hinterlegt sind und das Zertifikat vertrauenswürdig und gültig ist. Zum Testen rufen Sie im Internet Explorer die Autodiscover-URL "https:// autodiscover. <Servername>/Autodiscover/Autodiscover.xml" ab.
Sie erhalten zwar nur eine leere XML-Datei, Sie prüfen so aber, ob das Zertifikat am Client akzeptiert wird und die Anmeldung möglich ist. Sofern der Internet Explorer das Zertifikat akzeptiert, wird dies auch Outlook tun, da beide auf den Windows-Zertifikatsspeicher zugreifen.
Bei einem Wildcard-Zertifikat achten Sie darauf, dass alle DNS-Einträge korrekt gesetzt sind und nicht mit einem DNS-Wildcard-Eintrag gearbeitet wird. Andernfalls können Zertifikatsfehler auftreten. Im Falle von Exchange Online kümmert sich Microsoft um die richtige Konfiguration der URLs. Hier ist es nur wichtig, dass die Weiterleitungseinträge bei Ihrem DNS-Provider auf die korrekten Werte gesetzt sind.
Autodiscover ist die Schlüsselkomponente, damit Clients den Weg zum Exchange finden und erleichtert die Einrichtung von Outlook. Eingeführt wurde die Funktion mit Exchange 2007. Die Einstellungen werden dabei über die Datei "Autodiscover.xml" am Exchange-Server dynamisch zur Anfrage vom Client bereitgestellt und über eine HTTPS-Verbindung abgerufen. Eine manuelle Konfiguration des Clients ist dadurch nicht mehr nötig und seit Outlook 2016 auch nicht mehr möglich.
Autodiscover über SCP in lokalen Netzen
Bis ein Client seine Einstellungen per Autodiscover erhält, durchläuft er mehrere Schritte. Handelt es sich um einen Outlook-Client und ist der Arbeitsplatz in einer Domain, liest Outlook den Service Connection Point (SCP) aus, um den Weg zu Exchange zu finden. Im SCP befindet sich eine URL mit dem Verbindungspunkt zum Exchange-Server und der Autodiscover-XML-Datei. Von diesem Server holen sich die Clients dann die Konfiguration. Dadurch funktioniert die Auflösung im internen Netzwerk sehr unproblematisch und ohne weitere Anpassungen.
Bild 2: Über den Service Connection Point finden Outlook-Clients in einer Domain sehr schnell ihre Konfiguration.
Beim SCP handelt es sich um einen Eintrag, den Exchange bei der Installation automatisch setzt. Den Eintrag prüfen Sie in "Active Directory-Standorte und -Dienste" unter "Services / Microsoft Exchange / Name der Organisation / Administrative Group / Name Administrative Group / Servers / Name Server / Protocols / Autodiscover".
Am Exchange-Server konfigurieren Sie die URL über die Exchange Management Shell und dem Set-ClientAccessService-Cmdlet. Eine Konfiguration über das Exchange Admin Center ist nicht möglich. Die Installation eines Exchange-Servers trägt automatisch den Hostnamen ein, was eine Fehlerursache sein kann, sofern die Clients dem Zertifikat des neuen Servers noch nicht vertrauen. Grundsätzlich muss der Name aus der URL auch im Zertifikat des Servers enthalten sein. Um die Anzahl der Namen möglichst gering zu halten, sollte Sie ihn auf einen allgemeinen Eintrag ändern, der bei allen Servern identisch ist:
Get-ClientAccessService | Set-ClientAccessService -AutoDiscoverServiceInternalUri https://autodiscover.schulenburg.lab/Autodiscover/Autodiscover.xmlEine Unterscheidung nach interner und externer URL ist nicht nötig. Das Ergebnis erhalten Sie mit:
Get-ClientAccessService|fl Name, AutoDiscoverServiceInternalUriDie Autodiscover-XML-Datei stellt dem Client die Verbindungspunkte zu den einzelnen Exchange-Diensten zur Verfügung. Achten Sie daher darauf, dass die richtigen internen und externen URLs in den virtuellen Verzeichnissen konfiguriert sind. Sie prüfen die Einstellungen im EAC unter " Server / Virtuelle Verzeichnisse". Die URLs für Outlook Anywhere richten Sie direkt in den Eigenschaften jedes Servers ein. Als weitere Möglichkeit zur URL-Konfiguration steht Ihnen die EMS mit den folgenden Befehlen und den Parametern "InternalUrl" und "External-Url" zur Verfügung:
- Set-ActiveSyncVirtualDirectory
- Set-EcpVirtualDirectory
- Set-MapiVirtualDirectory
- Set-OabVirtualDirectory
- Set-OwaVirtualDirectory
- Set-PowerShellVirtualDirectory
- Set-WebServicesVirtualDirectory
Damit Autodiscover korrekt funktioniert, ist es wichtig, dass im Zertifikat alle Namen hinterlegt sind und das Zertifikat vertrauenswürdig und gültig ist. Zum Testen rufen Sie im Internet Explorer die Autodiscover-URL "https:// autodiscover. <Servername>/Autodiscover/Autodiscover.xml" ab.
Sie erhalten zwar nur eine leere XML-Datei, Sie prüfen so aber, ob das Zertifikat am Client akzeptiert wird und die Anmeldung möglich ist. Sofern der Internet Explorer das Zertifikat akzeptiert, wird dies auch Outlook tun, da beide auf den Windows-Zertifikatsspeicher zugreifen.
Bei einem Wildcard-Zertifikat achten Sie darauf, dass alle DNS-Einträge korrekt gesetzt sind und nicht mit einem DNS-Wildcard-Eintrag gearbeitet wird. Andernfalls können Zertifikatsfehler auftreten. Im Falle von Exchange Online kümmert sich Microsoft um die richtige Konfiguration der URLs. Hier ist es nur wichtig, dass die Weiterleitungseinträge bei Ihrem DNS-Provider auf die korrekten Werte gesetzt sind.
Im ersten Teil des Workshops erklären wir, wie mobile Geräte über MAPI over HTTP und EAS Kontakt mit dem Exchange-Server aufnehmen. In der zweiten Folge schildern wir, wie Sie IMAP, POP3 und EWS für den Clientzugriff nutzen. Außerdem gehen wir im Detail auf die Autodiscover-Funktion ein. Im dritten und letzten Teil des Workshops beschäftigen wir uns mit der Fehlerbehebung bei Autodiscover.
