E-Mail-Clients finden den Weg zu den Nachrichten an den Nutzer heutzutage eigentlich ganz von alleine. Sollte es dabei zu Problemen kommen, ist jedoch guter Rat teuer, denn es gibt zahlreiche Protokolle und Konfigurationsoptionen. Wir zeigen in diesem Beitrag, welche Protokolle Clients mit Exchange nutzen und wie sie sich den Weg zu Exchange suchen. Außerdem kommen wir möglichen Problemen im Fehlerfall auf die Schliche. Im ersten Teil erklären wir, wie mobile Geräte über MAPI over HTTP und EAS Kontakt mit dem Exchange-Server aufnehmen.
Zur Verbindung von Outlook mit Exchange war lange Zeit das Messaging
Application Programming Interface (MAPI) der Standard. Das Protokoll
wurde bereits in Exchange 2003 durch RPC over HTTP ergänzt, dass seit
Exchange 2007 unter dem Namen Outlook Anywhere bekannt ist. Ergänzt
wurde es seit Exchange 2013 SP1 durch das Protokoll MAPI over HTTP, dass
direkt MAPI über HTTP schickt und es nicht mehr in RPC-Pakete wie bei
RPC over HTTP packt.
MAPI over HTTP etabliert sich gerade als allgemeiner Standard und bei
Microsoft 365 ist er das bereits, nachdem der Hersteller in Microsoft
365 den Zugang über Outlook Anywhere zum 31. Oktober 2017 deaktiviert
hat, sodass nur noch MAPI over HTTP, Exchange Web Services und Exchange
ActiveSync zum Einsatz kommen. In neuen lokalen Exchange-Installationen
kommt das Protokoll auch immer häufiger zum Einsatz, da es ab Exchange
2016 per default aktiv ist – es sei denn, es befindet sich ein
Exchange-2013-Server in der Umgebung und MAPI over HTTP wurde noch nicht
aktiviert. Ein Zugriff auf Exchange 2016 und 2019 über das klassische
MAPI ist seit Exchange 2013 nicht mehr möglich.
MAPI over HTTP und EAS
Mit Exchange 2013 wurde nur noch RPC over HTTP als Übertragungsprotokoll
unterstützt, was das Routing und die Zugriffsmöglichkeiten
vereinfachte. Microsoft hat mit Exchange 2013 SP1 zusätzlich MAPI over
HTTP veröffentlicht und ermöglicht Messaging-API-Clients eine Verbindung
über HTTP herzustellen ohne RPC zu nutzen. Gerade im Cloudbereich hatte
Microsoft mit den Verbindungen von Outlook zu Exchange zu kämpfen,
sodass dies eines der häufigsten Supportfälle war. Microsoft vereinfacht
auf diesem Weg die Clientverbindung und verbessert die Connection
Experience bei schwachen oder häufig wechselnden Netzwerken.
Für Unternehmen mit einer eigenen Infrastruktur spielt das neue
Protokoll zunächst keine Rolle und die Zeit wird zeigen, wie schnell es
sich verbreitet. Die Funktion ist in Exchange 2019 ab Werk aktiviert,
sofern es keine älteren Server mehr gibt. Andernfalls müssen Sie es
zunächst in der Organisationskonfiguration aktivieren:
Set-OrganizationConfig -MapiHttpEnabled $True
Mit
Get-OrganizationConfig prüfen Sie die Funktion entsprechend.
Exchange 2019 unterstützt MAPI over HTTP mit Outlook ab der Version
2013.
Exchange ActiveSync (EAS) ist vor allem für die Synchronisation von
Smartphones und Tablets ausgelegt und für Netzwerke mit langen
Laufzeiten und niedrigen Bandbreiten optimiert. Dabei synchronisiert es
neben E-Mails auch Kalender, Aufgaben und Kontakte, weshalb EAS den
Protokollen POP3 und IMAP meist vorzuziehen ist. Standardmäßig ist EAS
lokal als auch bei Exchange Online aktiviert. Sofern der lokale
Exchange-Server den Zugriff aus dem Internet zulässt und die URLs
korrekt konfiguriert sind, können mobile Geräte synchronisieren. Den
Zugriff steuern Sie im Exchange Admin Center (EAC) über die
Eigenschaften des Benutzers unter dem Punkt "Postfachfunktionen" im
EAC-Menü "Empfänger / Postfächer". In der Listenansicht des EAC können
Sie auch mehrere Postfächer markieren und über die
Schnellverwaltungsaufgabe im Detailbereich EAS aktivieren
beziehungsweise deaktivieren.
Über die PowerShell nutzen Sie den GetCasMailbox-Befehl, um sich den
Status sämtlicher Postfächer anzuschauen. Mit dem Set-CasMailbox-Cmdlet
deaktivieren Sie EAS. Im folgenden Beispiel deaktivieren wir EAS für
alle Mailboxen mit einem Aufruf:
Get-CasMailbox | Set-CasMailbox -ActiveSyncEnabled $false
Welches Gerät sich mit einem Postfach aktuell synchronisiert, erfahren
Sie im EAC in den Eigenschaften des Benutzers unter dem Punkt
"Postfachfunktionen / Mobile Geräte / Details anzeigen" (Bild 1). Hier
sehen Sie sämtliche Geräte eines Benutzers und starten weitere Aktionen
wie das Sperren oder das Löschen von Geräten. In der PowerShell kommen
die Get-MobileDevice-, Set-MobileDevice-, RemoveMobileDevice- und
Clear-MobileDeviceCmdlets zur Anwendung.
Darüber hinaus zeigen Sie sich genauere Informationen zum
Synchronisationsstatus eines Gerätes über das
Get-MobileDeviceStatistic-Cmdlet an. So erhalten Sie eine Übersicht über
alle Benutzer mit den Synchronisationsinformationen über folgenden
Aufruf, achten Sie auf den Punkt "LastSuccessSync":
foreach($user in Get-Mailbox) {Write-output $user.alias; GetMobileDeviceStatistics
-Mailbox $user.alias | ft First-SyncTime, LastSuccessSync, DeviceModel, DeviceOS,
DeviceAccessState -AutoSize -Wrap}
Für mobile Geräte lassen sich auch Zugriffsregeln definieren. Hierüber
steuern Sie, welche Geräte überhaupt mit Postfächern synchronisieren
dürfen. Im EAC-Menü unter "Mobil / Zugriff auf mobile Geräte" definieren
Sie zunächst, wie sich Exchange gegenüber neuen Geräten verhalten soll.
An dieser Stelle lassen sich neue Geräte blockieren, in Quarantäne
versetzen oder einfach erlauben, was dem Standard entspricht.
Bild 1: Die mobilen Geräte eines Benutzers finden sich im EAC in den Eigenschaften des Benutzers.
Hier sind auch weitere Aktionen wie das Löschen eines mobilen Gerätes verfügbar.
Ist ein Gerät in Quarantäne, wird ein definierter Administrator
informiert, um das neue Gerät zuzulassen oder zu sperren. Beachten Sie,
dass die aktive Option "In Quarantäne" alle vorhandenen Geräte in
Quarantäne schickt. Über die PowerShell nehmen Sie die Einstellung zum
Verhalten über folgenden Befehl vor:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Quarantine
-AdminMailRecipients christian@ schulenburg.co -UserMailInsert
"Ihr Gerät wird temporär geblockt bis es verifiziert wurde."
Einen Schritt weiter gehen Gerätezugriffsregeln [1]. Hier steuern Sie ebenfalls im EAC unter dem Punkt "Zugriff auf mobile Geräte", welche Geräteklassen, die Exchange bereits kennt, erlaubt sind. Diese Zugriffsregeln kombinieren Sie mit dem oben definierten Standardverhalten für neue Geräte. So sperren Sie alle Geräte über die Standardregel und lassen zum Beispiel nur iOS-Geräte über eine Geräteregel in die Quarantäne zu. Über die Exchange Management Shell (EMS) lassen sich die Filter noch genauer auf DeviceModel, DeviceType oder DeviceOS anwenden. Sie hinterlegen hier auch Gerätetypen, die Exchange nicht kennt. Mit dem folgenden Befehl legen Sie eine neue Regel an, die alle iOS-Geräte zulässt:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceOS -QueryString "iOS"
-AccessLevel Allow
Auf diesem Weg schränken Sie zum Beispiel auch die Verbindung von
Outlook for iOS and Android oder andere Anwendungen ein, die ebenfalls
über EAS synchronisieren.
Im ersten Teil
des Workshops erklären wir, wie mobile Geräte über MAPI over HTTP und EAS Kontakt mit dem Exchange-Server aufnehmen. In der zweiten Folge schildern wir, wie Sie IMAP, POP3 und EWS für den Clientzugriff nutzen. Außerdem gehen wir im Detail auf die Autodiscover-Funktion ein. Im dritten und letzten Teil
des Workshops beschäftigen wir uns mit der Fehlerbehebung bei Autodiscover. 
