von Redaktion IT-A…
Lesezeit
4 Minuten
Fehlersuche beim Clientzugriff unter Exchange (1)
E-Mail-Clients finden den Weg zu den Nachrichten an den Nutzer heutzutage eigentlich ganz von alleine. Sollte es dabei zu Problemen kommen, ist jedoch guter Rat teuer, denn es gibt zahlreiche Protokolle und Konfigurationsoptionen. Wir zeigen in diesem Beitrag, welche Protokolle Clients mit Exchange nutzen und wie sie sich den Weg zu Exchange suchen. Außerdem kommen wir möglichen Problemen im Fehlerfall auf die Schliche. Im ersten Teil erklären wir, wie mobile Geräte über MAPI over HTTP und EAS Kontakt mit dem Exchange-Server aufnehmen.
Zur Verbindung von Outlook mit Exchange war lange Zeit das Messaging Application Programming Interface (MAPI) der Standard. Das Protokoll wurde bereits in Exchange 2003 durch RPC over HTTP ergänzt, dass seit Exchange 2007 unter dem Namen Outlook Anywhere bekannt ist. Ergänzt wurde es seit Exchange 2013 SP1 durch das Protokoll MAPI over HTTP, dass direkt MAPI über HTTP schickt und es nicht mehr in RPC-Pakete wie bei RPC over HTTP packt.
MAPI over HTTP etabliert sich gerade als allgemeiner Standard und bei Microsoft 365 ist er das bereits, nachdem der Hersteller in Microsoft 365 den Zugang über Outlook Anywhere zum 31. Oktober 2017 deaktiviert hat, sodass nur noch MAPI over HTTP, Exchange Web Services und Exchange ActiveSync zum Einsatz kommen. In neuen lokalen Exchange-Installationen kommt das Protokoll auch immer häufiger zum Einsatz, da es ab Exchange 2016 per default aktiv ist – es sei denn, es befindet sich ein Exchange-2013-Server in der Umgebung und MAPI over HTTP wurde noch nicht aktiviert. Ein Zugriff auf Exchange 2016 und 2019 über das klassische MAPI ist seit Exchange 2013 nicht mehr möglich.
MAPI over HTTP und EAS
Mit Exchange 2013 wurde nur noch RPC over HTTP als Übertragungsprotokoll unterstützt, was das Routing und die Zugriffsmöglichkeiten vereinfachte. Microsoft hat mit Exchange 2013 SP1 zusätzlich MAPI over HTTP veröffentlicht und ermöglicht Messaging-API-Clients eine Verbindung über HTTP herzustellen ohne RPC zu nutzen. Gerade im Cloudbereich hatte Microsoft mit den Verbindungen von Outlook zu Exchange zu kämpfen, sodass dies eines der häufigsten Supportfälle war. Microsoft vereinfacht auf diesem Weg die Clientverbindung und verbessert die Connection Experience bei schwachen oder häufig wechselnden Netzwerken.
Für Unternehmen mit einer eigenen Infrastruktur spielt das neue Protokoll zunächst keine Rolle und die Zeit wird zeigen, wie schnell es sich verbreitet. Die Funktion ist in Exchange 2019 ab Werk aktiviert, sofern es keine älteren Server mehr gibt. Andernfalls müssen Sie es zunächst in der Organisationskonfiguration aktivieren:
Exchange ActiveSync (EAS) ist vor allem für die Synchronisation von Smartphones und Tablets ausgelegt und für Netzwerke mit langen Laufzeiten und niedrigen Bandbreiten optimiert. Dabei synchronisiert es neben E-Mails auch Kalender, Aufgaben und Kontakte, weshalb EAS den Protokollen POP3 und IMAP meist vorzuziehen ist. Standardmäßig ist EAS lokal als auch bei Exchange Online aktiviert. Sofern der lokale Exchange-Server den Zugriff aus dem Internet zulässt und die URLs korrekt konfiguriert sind, können mobile Geräte synchronisieren. Den Zugriff steuern Sie im Exchange Admin Center (EAC) über die Eigenschaften des Benutzers unter dem Punkt "Postfachfunktionen" im EAC-Menü "Empfänger / Postfächer". In der Listenansicht des EAC können Sie auch mehrere Postfächer markieren und über die Schnellverwaltungsaufgabe im Detailbereich EAS aktivieren beziehungsweise deaktivieren.
MAPI over HTTP etabliert sich gerade als allgemeiner Standard und bei Microsoft 365 ist er das bereits, nachdem der Hersteller in Microsoft 365 den Zugang über Outlook Anywhere zum 31. Oktober 2017 deaktiviert hat, sodass nur noch MAPI over HTTP, Exchange Web Services und Exchange ActiveSync zum Einsatz kommen. In neuen lokalen Exchange-Installationen kommt das Protokoll auch immer häufiger zum Einsatz, da es ab Exchange 2016 per default aktiv ist – es sei denn, es befindet sich ein Exchange-2013-Server in der Umgebung und MAPI over HTTP wurde noch nicht aktiviert. Ein Zugriff auf Exchange 2016 und 2019 über das klassische MAPI ist seit Exchange 2013 nicht mehr möglich.
MAPI over HTTP und EAS
Mit Exchange 2013 wurde nur noch RPC over HTTP als Übertragungsprotokoll unterstützt, was das Routing und die Zugriffsmöglichkeiten vereinfachte. Microsoft hat mit Exchange 2013 SP1 zusätzlich MAPI over HTTP veröffentlicht und ermöglicht Messaging-API-Clients eine Verbindung über HTTP herzustellen ohne RPC zu nutzen. Gerade im Cloudbereich hatte Microsoft mit den Verbindungen von Outlook zu Exchange zu kämpfen, sodass dies eines der häufigsten Supportfälle war. Microsoft vereinfacht auf diesem Weg die Clientverbindung und verbessert die Connection Experience bei schwachen oder häufig wechselnden Netzwerken.
Für Unternehmen mit einer eigenen Infrastruktur spielt das neue Protokoll zunächst keine Rolle und die Zeit wird zeigen, wie schnell es sich verbreitet. Die Funktion ist in Exchange 2019 ab Werk aktiviert, sofern es keine älteren Server mehr gibt. Andernfalls müssen Sie es zunächst in der Organisationskonfiguration aktivieren:
Set-OrganizationConfig -MapiHttpEnabled $TrueMit Get-OrganizationConfig prüfen Sie die Funktion entsprechend. Exchange 2019 unterstützt MAPI over HTTP mit Outlook ab der Version 2013.
Exchange ActiveSync (EAS) ist vor allem für die Synchronisation von Smartphones und Tablets ausgelegt und für Netzwerke mit langen Laufzeiten und niedrigen Bandbreiten optimiert. Dabei synchronisiert es neben E-Mails auch Kalender, Aufgaben und Kontakte, weshalb EAS den Protokollen POP3 und IMAP meist vorzuziehen ist. Standardmäßig ist EAS lokal als auch bei Exchange Online aktiviert. Sofern der lokale Exchange-Server den Zugriff aus dem Internet zulässt und die URLs korrekt konfiguriert sind, können mobile Geräte synchronisieren. Den Zugriff steuern Sie im Exchange Admin Center (EAC) über die Eigenschaften des Benutzers unter dem Punkt "Postfachfunktionen" im EAC-Menü "Empfänger / Postfächer". In der Listenansicht des EAC können Sie auch mehrere Postfächer markieren und über die Schnellverwaltungsaufgabe im Detailbereich EAS aktivieren beziehungsweise deaktivieren.
Über die PowerShell nutzen Sie den GetCasMailbox-Befehl, um sich den Status sämtlicher Postfächer anzuschauen. Mit dem Set-CasMailbox-Cmdlet deaktivieren Sie EAS. Im folgenden Beispiel deaktivieren wir EAS für alle Mailboxen mit einem Aufruf:
Darüber hinaus zeigen Sie sich genauere Informationen zum Synchronisationsstatus eines Gerätes über das Get-MobileDeviceStatistic-Cmdlet an. So erhalten Sie eine Übersicht über alle Benutzer mit den Synchronisationsinformationen über folgenden Aufruf, achten Sie auf den Punkt "LastSuccessSync":
Ist ein Gerät in Quarantäne, wird ein definierter Administrator informiert, um das neue Gerät zuzulassen oder zu sperren. Beachten Sie, dass die aktive Option "In Quarantäne" alle vorhandenen Geräte in Quarantäne schickt. Über die PowerShell nehmen Sie die Einstellung zum Verhalten über folgenden Befehl vor:
Get-CasMailbox | Set-CasMailbox -ActiveSyncEnabled $falseWelches Gerät sich mit einem Postfach aktuell synchronisiert, erfahren Sie im EAC in den Eigenschaften des Benutzers unter dem Punkt "Postfachfunktionen / Mobile Geräte / Details anzeigen" (Bild 1). Hier sehen Sie sämtliche Geräte eines Benutzers und starten weitere Aktionen wie das Sperren oder das Löschen von Geräten. In der PowerShell kommen die Get-MobileDevice-, Set-MobileDevice-, RemoveMobileDevice- und Clear-MobileDeviceCmdlets zur Anwendung.
Darüber hinaus zeigen Sie sich genauere Informationen zum Synchronisationsstatus eines Gerätes über das Get-MobileDeviceStatistic-Cmdlet an. So erhalten Sie eine Übersicht über alle Benutzer mit den Synchronisationsinformationen über folgenden Aufruf, achten Sie auf den Punkt "LastSuccessSync":
foreach($user in Get-Mailbox) {Write-output $user.alias; GetMobileDeviceStatistics
-Mailbox $user.alias | ft First-SyncTime, LastSuccessSync, DeviceModel, DeviceOS,
DeviceAccessState -AutoSize -Wrap}
Für mobile Geräte lassen sich auch Zugriffsregeln definieren. Hierüber steuern Sie, welche Geräte überhaupt mit Postfächern synchronisieren dürfen. Im EAC-Menü unter "Mobil / Zugriff auf mobile Geräte" definieren Sie zunächst, wie sich Exchange gegenüber neuen Geräten verhalten soll. An dieser Stelle lassen sich neue Geräte blockieren, in Quarantäne versetzen oder einfach erlauben, was dem Standard entspricht.
Bild 1: Die mobilen Geräte eines Benutzers finden sich im EAC in den Eigenschaften des Benutzers.
Hier sind auch weitere Aktionen wie das Löschen eines mobilen Gerätes verfügbar.
Ist ein Gerät in Quarantäne, wird ein definierter Administrator informiert, um das neue Gerät zuzulassen oder zu sperren. Beachten Sie, dass die aktive Option "In Quarantäne" alle vorhandenen Geräte in Quarantäne schickt. Über die PowerShell nehmen Sie die Einstellung zum Verhalten über folgenden Befehl vor:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Quarantine -AdminMailRecipients christian@ schulenburg.co -UserMailInsert "Ihr Gerät wird temporär geblockt bis es verifiziert wurde."Einen Schritt weiter gehen Gerätezugriffsregeln [1]. Hier steuern Sie ebenfalls im EAC unter dem Punkt "Zugriff auf mobile Geräte", welche Geräteklassen, die Exchange bereits kennt, erlaubt sind. Diese Zugriffsregeln kombinieren Sie mit dem oben definierten Standardverhalten für neue Geräte. So sperren Sie alle Geräte über die Standardregel und lassen zum Beispiel nur iOS-Geräte über eine Geräteregel in die Quarantäne zu. Über die Exchange Management Shell (EMS) lassen sich die Filter noch genauer auf DeviceModel, DeviceType oder DeviceOS anwenden. Sie hinterlegen hier auch Gerätetypen, die Exchange nicht kennt. Mit dem folgenden Befehl legen Sie eine neue Regel an, die alle iOS-Geräte zulässt:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceOS -QueryString "iOS" -AccessLevel AllowAuf diesem Weg schränken Sie zum Beispiel auch die Verbindung von Outlook for iOS and Android oder andere Anwendungen ein, die ebenfalls über EAS synchronisieren.
Im ersten Teil des Workshops erklären wir, wie mobile Geräte über MAPI over HTTP und EAS Kontakt mit dem Exchange-Server aufnehmen. In der zweiten Folge schildern wir, wie Sie IMAP, POP3 und EWS für den Clientzugriff nutzen. Außerdem gehen wir im Detail auf die Autodiscover-Funktion ein. Im dritten und letzten Teil des Workshops beschäftigen wir uns mit der Fehlerbehebung bei Autodiscover.
Weitere Infos:
[1] https://technet.microsoft.com/de-de/library/dd876923(v=exchg.160).aspx
