none
Exchange 2010, TMG und Outlook Anywhere: Out Of Office funktioniert nicht, EWS Authentifzierung? RRS feed

  • Frage

  • Hi,

    ich habe gerade Outlook Anywhere über einen TMG veröffentlicht und soweit funktioniert auch alles...bis auf den Abwesenheitsassitenten. Der Ordner /EWS/ des entsprechenden CAS wird in der Regel auch mit veröffentlicht, aber ich glaube es hapert an der Authentizifierung. Im IIS auf dem CAS ist beim Verzeichnis EWS nur die Anonyme Authentifizierung + Windows Authentizifierung aktiv.

    Im Technet gibt es dazu schon einen Blogeintrag: http://blogs.technet.com/b/yuridiogenes/archive/2011/07/18/unable-to-view-oab-and-oof-via-outlook-anywhere-published-through-tmg-isa.aspx

    Dort wird dazu geraten, auf dem TMG eine extra Regel für das /EWS/ Verzeichnis zu erstellen und den Client dann dort direkt authentifzieren zu lassen.

    Ist das wirklich die "offizielle" Lösung für das Problem, oder gibt es da noch eine andere Möglichkeit? Klingt irgendwie nach einem Quick'n'Dirty Workaround...

    Nur die Basis Authentifzierung auf dem /EWS/ Verzeichnis zu aktivieren scheint jedenfalls nicht zu helfen.

    Gruß
    Michael

    Mittwoch, 6. Juni 2012 15:49

Antworten

Alle Antworten

  • Hallo,

    kennst du den Artikel vom Exchange-Team?

    http://blogs.technet.com/b/exchange/archive/2010/07/16/3410408.aspx

    Sonst wieder melden!

    ;)


    Gruß Norbert

    • Als Antwort markiert sam.bell Donnerstag, 7. Juni 2012 10:58
    Mittwoch, 6. Juni 2012 21:37
    Moderator
  • Hallo Norbert

    Danke, das Whitepaper kannte ich noch nicht. So wie es aussieht, hängt es mit dem Autodiscover zusammen. Nachdem ich den Eintrag im DNS erstellt und die Publishing Regel angepasst habe, funktionieren der Abwesenheitsassistent und der OAB Download.

    Das sehe ich aber gerade ein größeres Problem: Outlook sucht nicht nach autodiscover.domain.de in der Domain des RPC Proxys bzw. des TMG, sondern in der Domain des in Outlook konfigurierten E-Mail-Kontos.

    Wie soll das dann funktionieren, wenn man Mitarbeiter mit unterschiedlichen SMTP Adressen hat? Dann bräuchte man ja für jede SMTP Domain ein eigenes SSL Zertifikat und einen eigenen Listener?! So kommt kommt eine SSL Sicherheitswarnung beim Aufruf des Out Of Office Assistenten.

    Gibt es nicht eine Möglichkeit, Outlook Anywhere vollständig funktionsfähig ohne Autodiscover einzurichten?

    Gruß
    Michael



    • Bearbeitet sam.bell Donnerstag, 7. Juni 2012 09:15
    Donnerstag, 7. Juni 2012 09:08
  • Hallo Michael,

    damit Du nun nicht für jede SMTP Domäne ein Zertifikat brauchst, kannst Du SRV Einträge verwenden: http://support.microsoft.com/kb/940881

    Viele Grüße

    Timo


    Donnerstag, 7. Juni 2012 09:20
    Moderator
  • Hi Timo,

    puh, danke für den Artikel... Dann ist es ja alles lösbar! Ist es ansonsten korrekt, dass der Out Of Office Assistant und OAB nicht funktionieren, wenn Autodiscover nicht konfiguriert ist? Das ist ja ein bisschen verwirrent, wenn man das nicht weiß. Eigentlich geht man beim Erstellen einer entsprechenden Regel im TMG ja davon aus, dass Outlook mit der vordefinierten Regel auch vollständig funktioniert ;-)

    Ich lege die SRV Einträge gleich an und teste dann noch mal. Eine kurze Frage habe ich noch: Aktuell sind auf meinem CAS für das AutoDiscover Virtual Directory noch keine Werte für die URLs gesetzt:

    [PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory | fl
    InternalUrl                     :
    ExternalUrl                     :

    Sollte ich die auch entsprechend setzen? Für alle anderen Verzeichnisse (OWA, ECP, EWS, ActiveSync, OAB) habe ich das entsprechend getan.

    Gruß
    Michael
    Donnerstag, 7. Juni 2012 09:40
  • Hallo Michael,

    die URLs brauchst Du an der Stelle nicht zu setzen. Was den "Out Of Office Assistant" und OAB angeht, gebe ich Dir Recht. Das läuft halt über EWS und welche URL Outlook dazu aufrufen muss, bekommt es über den Autodiscover Dienst mitgeteilt :-).

    Viele Grüße

    Timo


    Donnerstag, 7. Juni 2012 10:32
    Moderator
  • Hallo Timo,

    danke, mittlerweile sind die SRV Einträge erstellt und es funktioniert alles, auch nachvollziehbar über www.testexchangeconnectivity.com :-) Im Prinzip muss man also noch zwingend zwei Dinge durchführen, ergänzend zu dem Erstellen der Publishing Regel in TMG:

    - SRV Einträgefür Autodiscover im DNS für die jeweiligen (primären) SMTP Domänen erstellen, die mit Outlook Anywhere Clients verwendet werden
    - Basic Authentication für das EWS Virtual Directory aktivieren
    - Übrigens: Bei der Erstellung der Publishing Regel in TMG für OA darauf achten, auch die Option "Publish Additional Folders" mit zu aktivieren. Auch wenn dort steht, dass das für Outlook 2007 ist...das stimmt nicht, ohne diese Option werden die Pfade für EWS und Autodiscover nicht in die Regel aufgenommen. Da müsste Microsoft nachbessern!

    Eine letzte Frage: Ist das Setzen der externen URLs für die Web Services überhaupt notwendig, wenn man über einen ISA/TMG Server veröffentlicht? Oder setzt man nach Best-Practice-Manier die externe URL auf allen CAS, die online erreichbar sind, sei es nun ohne oder mit TMG davor?

    Gruß
    Michael

    Donnerstag, 7. Juni 2012 10:57
  • Hi Michael,

    das Setzen der EWS URLs ist notwendig! Ansonsten passen die von Dir beschriebenen Schritte. Anstatt Basic Auth. könntest Du aber auch NTLM verwenden, wenn Deine Clients Domain-Joined sind.

    Viele Grüße

    Timo

    Donnerstag, 7. Juni 2012 11:49
    Moderator
  • Hi Timo,

    danke! NTLM geht m.W. nicht, weil alles über einen Listener mit formularbasierter Authentifizierung läuft. Und da ist das Fallback meines Wissens ja immer Basic Authentication.

    Viele Grüße
    Michael

    Donnerstag, 7. Juni 2012 12:08
  • ja das stimmt. Fallback geht nur auf Basic.
    Donnerstag, 7. Juni 2012 14:35
    Moderator
  • Danke! Jetzt läuft alles! Kennt noch jemand einen guten Artikel oder ein Whitepaper, das die Einrichtung von Outlook Anywhere mit SSO und Pre Authentication am TMG beschreibt? Wenn das überhaupt möglich ist ;-)

    Donnerstag, 7. Juni 2012 17:02
  • Hi,

    http://www.microsoft.com/en-us/download/details.aspx?id=8946
    Da steht wie Du mit KCD SSO einrichten kannst

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Freitag, 8. Juni 2012 05:36