none
Outook 2007 auf Win2k8 Terminalserver, keine Verbindung mit Exchange 2007 RRS feed

  • Frage

  • Hallo,

    Forum, wir haben ein Problem: Mit Outlook 2007 können wir auf dem Temrinalserver kein Konto mehr einrichten.

    Folgendes Umgebung besteht:
    PDC (primärer Domänencontroller), Win 2k8 Standard
    SRV2, Exchangeserver, Win 2k8 Standard, Exchange 2007 SP3 Updaterollup 1
    TS, Terminalserver, Win 2k8 Standard mit Terminalserver Rolle und ist zu dem zweiter Domänencontroller

    Beim (automatischen) konfigurieren von Outlook passiert folgendes. Erst will er das Passwort wissen, schluckt er aber nicht. Ich brech dann den Vorgang ab.

    In der Ereignisanzeige taucht dann folgends auf:


    Protokollname: System
    Quelle:        LsaSrv
    Datum:         13.09.2010 15:03:55
    Ereignis-ID:   6037
    Aufgabenkategorie:Keine
    Ebene:         Warnung
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      TS.DOMAIN.local
    Beschreibung:
    Das Programm lsass.exe mit der zugewiesenen Prozess-ID 652 konnte sich mit dem  Zielnamen exchangeAB/srv2.DOMAIN.local nicht lokal authentifizieren. Der verwendete Zielname ist ungültig. Ein Zielname muss sich auf einen der lokalen Computernamen beziehen, z. B. den DNS-Hostnamen.
     
     Wählen Sie einen anderen Zielnamen.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="LsaSrv" />
        <EventID Qualifiers="32768">6037</EventID>
        <Level>3</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2010-09-13T13:03:55.000Z" />
        <EventRecordID>93851</EventRecordID>
        <Channel>System</Channel>
        <Computer>TS.DOMAIN.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data>652</Data>
        <Data>lsass.exe</Data>
        <Data>exchangeAB/srv2.DOMAIN.local</Data>
      </EventData>
    </Event>

    setspn -l srv2 sagt:

    Registrierte Dienstprinzipalnamen (SPN) fr CN=SRV2,OU=DOMAINServer,OU=Domain Controllers,DC=DOMAIN,DC=local:
        exchangeMDB/srv2.DOMAIN.local
        exchangeMDB/SRV2
        exchangeRFR/srv2.DOMAIN.local
        exchangeRFR/SRV2
        SMTP/SRV2
        SMTP/srv2.DOMAIN.local
        SmtpSvc/SRV2
        SmtpSvc/srv2.DOMAIN.local
        TERMSRV/SRV2
        TERMSRV/srv2.DOMAIN.local
        HOST/SRV2
        HOST/srv2.DOMAIN.local

    setspn -l TS sagt:

    Registrierte Dienstprinzipalnamen (SPN) fr CN=TS,OU=Terminalserver,OU=Domain Controllers,DC=DOMAIN,DC=local:
        exchangeAB/TS
        exchangeAB/TS.DOMAIN.local
        MSSQLSvc/TS.DOMAIN.local:1433
        MSSQLSvc/TS.DOMAIN.local:65118
        ldap/TS.DOMAIN.local/ForestDnsZones.DOMAIN.local
        HOST/TS.DOMAIN.local/DOMAIN
        HOST/TS.DOMAIN.local/DOMAIN.local
        GC/TS.DOMAIN.local/DOMAIN.local
        ldap/69bd2800-79ed-4eec-8309-1e53a2526f5f._msdcs.DOMAIN.local
        ldap/TS.DOMAIN.local/DOMAIN
        ldap/TS
        ldap/TS.DOMAIN.local
        ldap/TS.DOMAIN.local/DomainDnsZones.DOMAIN.local
        ldap/TS.DOMAIN.local/DOMAIN.local
        DNS/TS.DOMAIN.local
        NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/TS.DOMAIN.local
        E3514235-4B06-11D1-AB04-00C04FC2DCD2/69bd2800-79ed-4eec-8309-1e53a2526f5f/DOMAIN.local
        Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/TS.DOMAIN.local
        TERMSRV/TS
        TERMSRV/TS.DOMAIN.local
        HOST/TS
        HOST/TS.DOMAIN.local

    setspn -l PDC sagt:
       
        Registrierte Dienstprinzipalnamen (SPN) fr CN=PDC,OU=DOMAINServer,OU=Domain Controllers,DC=DOMAIN,DC=local:
        exchangeAB/PDC.DOMAIN.local
        exchangeAB/PDC
        Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/PDC.DOMAIN.local
        DNS/PDC.DOMAIN.local
        ldap/PDC
        ldap/PDC.DOMAIN.local
        ldap/PDC.DOMAIN.local/DomainDnsZones.DOMAIN.local
        ldap/PDC.DOMAIN.local/DOMAIN.local
        GC/PDC.DOMAIN.local/DOMAIN.local
        ldap/0c76e2af-67e8-4836-9a78-a34608e73cbc._msdcs.DOMAIN.local
        ldap/PDC.DOMAIN.local/DOMAIN
        HOST/PDC.DOMAIN.local/DOMAIN.local
        HOST/PDC.DOMAIN.local/DOMAIN
        ldap/PDC.DOMAIN.local/ForestDnsZones.DOMAIN.local
        TERMSRV/PDC
        TERMSRV/PDC.DOMAIN.local
        NtFrs-88f5d2bd-b646-11d2-a6d3-00c04fc9b232/PDC.DOMAIN.local
        Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/PDC
        E3514235-4B06-11D1-AB04-00C04FC2DCD2/0c76e2af-67e8-4836-9a78-a34608e73cbc/DOMAIN.local
        HOST/PDC
        HOST/PDC.DOMAIN.local

    Eine Überlegung war, dass es hiermit zusammen hängt http://support.microsoft.com/kb/927612, aber keine Variante, exchangeAB mit verschiedenen Servern zu assozieren, hat das Problem behoben.

    Wenn man nun Outlook manuell konfiguriert, kommen bekannte Fehlermeldungen. Die Screenshots davn habe ich bei imageshake.us hochgeladen:

    http://img198.imageshack.us/img198/198/fehler1.png
    http://img831.imageshack.us/img831/2884/fehler2t.png
    http://img684.imageshack.us/img684/212/fehler3.png
    http://img442.imageshack.us/img442/7279/smtp.png

    Das witzige dran ist, dass bei einer Anmeldung beim TS einmal ein temporäres Profil geladen wurde und dann ging die Konfiguration von Outlook. Bei einer zweiten Anmeldung, auch mit temporären Profil, ging das anze dann wieder nicht (s.o.)


    Ich war schon fleißig und hab folgendes gesucht, gefunden und probiert, aber keine Erfolg. Die Frage: Wo liegt mein Denkfehler? Wer kann mir helfen, die Tomaten von meinen Augen zu kriegen? Wäre cool, wenn ich etwas Unterstützung kriegen könnte!

    Danke und Gruß Chris

    http://www.mcseboard.de/ms-exchange-forum-80/outlook-2007-xp-verbindung-exch2k7-verlangt-credentials-141097.html

    http://technet.microsoft.com/en-us/library/aa996905%28EXCHG.80%29.aspx

    http://www.petri.co.il/forums/showthread.php?t=30075

    http://support.microsoft.com/kb/927612

    http://social.technet.microsoft.com/forums/en-US/exchangesvrgeneral/thread/4a651fbd-cc79-49ea-830a-b6d6c9e46f7f/

    http://msexchangeteam.com/archive/2007/09/21/447067.aspx

    http://social.technet.microsoft.com/Forums/en-US/exchangesvrmigration/thread/ad803427-de20-4911-b4cf-67aeec11c816 (trifft nicht zu)

    Montag, 13. September 2010 13:43

Antworten

  • Also, wir haben heute das Service Pack 2 für Windows Server 2008 installiert. Danach ging es wieder. Warum auch immer. Ich vermute, dass irgendeine Einstellung hinichtlich Kerberos/DNS/spn nicht ganz sauber war und der korrekte Eintrag durch das Service Pack gesetzt wurde. Konnte aber diese Vermutung noch nicht prüfen.

    Trotzdem Danke für die Hilfe!!

    Dienstag, 14. September 2010 15:48

Alle Antworten

  • Moin,

    puh, langer Text und viele Links die ich nicht alle im Detail gelesen
    haben.

    Meine Erfahrung würde auf ein Namensauflösungsproblem tippen. Klappt die
    Replikation der beiden DC untereinander? Sind beide auch GC? Stimmen alle
    DNS-Einträge?

    Sagt die Funktion "E-Mail-Autokonfiguration testen..." von Outlook
    irgendwas sinnvolles, d.h. stimmen die URLs darin?

    BTW: TS auf einem DC ist ein kräftiges Sicherheitsproblem, das nur am
    Rande.


    Grüße aus Berlin schickt Robert
    Montag, 13. September 2010 16:34
  • Hi Chris,

    Hallo,

    Forum, wir haben ein Problem: Mit Outlook 2007 können wir auf dem Temrinalserver kein Konto mehr einrichten.

    Du versuchst es aber zunächst local oder schon über TS?

    Folgendes Umgebung besteht:
    PDC (primärer Domänencontroller), Win 2k8 Standard
    SRV2, Exchangeserver, Win 2k8 Standard, Exchange 2007 SP3 Updaterollup 1
    TS, Terminalserver, Win 2k8 Standard mit Terminalserver Rolle und ist zu dem zweiter Domänencontroller

    Beim (automatischen) konfigurieren von Outlook passiert folgendes. Erst will er das Passwort wissen, schluckt er aber nicht. Ich brech dann den Vorgang ab.

    In der Ereignisanzeige taucht dann folgends auf:

    Protokollname: System
    Quelle:        LsaSrv
    Datum:         13.09.2010 15:03:55
    Ereignis-ID:   6037
    Aufgabenkategorie:Keine
    Ebene:         Warnung
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      TS.DOMAIN.local
    Beschreibung:
    Das Programm lsass.exe mit der zugewiesenen Prozess-ID 652 konnte sich mit dem  Zielnamen exchangeAB/srv2.DOMAIN.local nicht lokal authentifizieren. Der verwendete Zielname ist ungültig. Ein Zielname muss sich auf einen der lokalen Computernamen beziehen, z. B. den DNS-Hostnamen.

    OK da stimmt etwas mit der Authentifizierung nicht. Gibt es noch
    An-/Abmeldefehler auf dem Server? Kann eine GPO verschiedene Protokolle
    voraussetzen, so dass keine Verbidnung zustande kommt?

    Jetzt heißt es etwas sniffen mit Wireshark: Wohin geht die Anfrage, wie sieht
    die Auth aus? Wenn du da Klarheit hast geht es weiter...

    Hier ist noch ein Artikel dazu:
    http://blogs.technet.com/b/askds/archive/2008/05/14/troubleshooting-kerberos-authentication-problems-name-resolution-issues.aspx

    Wenn Outlook über die URL geht und der Server mit einem anderen Namen kommt,
    solltest du zum Testen mal den Loopback check deaktivieren:
    http://support.microsoft.com/kb/896861

    Wenn es in die Richtunng SPN geht, kannst du Alternativ am Server den
    BackConnectionHostName anpassen oder an deinem DC den SPN der URL hinzufügen,
    über den der Exchangezugriff erfolgt:
    http://support.microsoft.com/kb/914137/de

    setspn -l srv2 sagt:

    Registrierte Dienstprinzipalnamen (SPN) fr CN=SRV2,OU=DOMAINServer,OU=Domain Controllers,DC=DOMAIN,DC=local:
        exchangeMDB/srv2.DOMAIN.local
        exchangeMDB/SRV2
        exchangeRFR/srv2.DOMAIN.local
        exchangeRFR/SRV2
        SMTP/SRV2
        SMTP/srv2.DOMAIN.local
        SmtpSvc/SRV2
        SmtpSvc/srv2.DOMAIN.local
        TERMSRV/SRV2
        TERMSRV/srv2.DOMAIN.local
        HOST/SRV2
        HOST/srv2.DOMAIN.local

    Sind alles lokale SPNs...

    Eine Überlegung war, dass es hiermit zusammen hängt http://support.microsoft.com/kb/927612, aber keine Variante, exchangeAB mit verschiedenen Servern zu assozieren, hat das Problem behoben.

    Wenn man nun Outlook manuell konfiguriert, kommen bekannte Fehlermeldungen. Die Screenshots davn habe ich bei imageshake.us hochgeladen:

    http://img198.imageshack.us/img198/198/fehler1.png
    http://img831.imageshack.us/img831/2884/fehler2t.png
    http://img684.imageshack.us/img684/212/fehler3.png
    http://img442.imageshack.us/img442/7279/smtp.png

    Das witzige dran ist, dass bei einer Anmeldung beim TS einmal ein temporäres Profil geladen wurde und dann ging die Konfiguration von Outlook. Bei einer zweiten Anmeldung, auch mit temporären Profil, ging das anze dann wieder nicht (s.o.)

    Beim manuellen Einrichten kannst du mal den legacyExchangeDN des Users
    eintragen - wäre gespannt ob das klappt...

    Ich war schon fleißig und hab folgendes gesucht, gefunden und probiert, aber keine Erfolg. Die Frage: Wo liegt mein Denkfehler? Wer kann mir helfen, die Tomaten von meinen Augen zu kriegen? Wäre cool, wenn ich etwas Unterstützung kriegen könnte!

    Sehr gut und mal schauen wo der Hund begraben ist! ;-)

    Viele Grüße
    Christian

    Dienstag, 14. September 2010 05:02
    Moderator
  • Hallo,

    Meine Erfahrung würde auf ein Namensauflösungsproblem tippen. Klappt die
    Replikation der beiden DC untereinander? Sind beide auch GC? Stimmen alle
    DNS-Einträge?

    Beide sind GC, DSN Einträge stimmen. Die Replikation funktioniert (soweit ich das im Moment beurteilen kann). Ich denke das Problem liegt irgendwo zwischen Namensauflösung und Kerberostickets, hat ja ne gewisse Wechselwirkung.

    Sagt die Funktion "E-Mail-Autokonfiguration testen..." von Outlook
    irgendwas sinnvolles, d.h. stimmen die URLs darin?

    Auf dem "normalen" Weg geht es ja gerade nicht, deswegen hier der Output von einem Outlook auf dem TS, "ohne E-Mailunterstützung", Die URLs stimmen soweit, da wird auch unter den anderen Reitern (Protokoll etc) kein Fehler angezeigt.

    XML:

    <?xml version="1.0" encoding="utf-8"?>
    <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
      <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
        <User>
          <DisplayName>VORNAME NACHNAME</DisplayName>
          <LegacyDN>/o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=VORNAME.NACHNAME</LegacyDN>
          <DeploymentId>032d3755-44c3-44bf-be87-f7f68562f328</DeploymentId>
        </User>
        <Account>
          <AccountType>email</AccountType>
          <Action>settings</Action>
          <Protocol>
            <Type>EXCH</Type>
            <Server>srv2.DOMAIN.local</Server>
            <ServerDN>/o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SRV2</ServerDN>
            <ServerVersion>72038053</ServerVersion>
            <MdbDN>/o=Erste Organisation/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SRV2/cn=Microsoft Private MDB</MdbDN>
            <PublicFolderServer>srv2.DOMAIN.local</PublicFolderServer>
            <AD>TS.DOMAIN.local</AD>
            <ASUrl>https://srv2.DOMAIN.local/EWS/Exchange.asmx</ASUrl>
            <EwsUrl>https://srv2.DOMAIN.local/EWS/Exchange.asmx</EwsUrl>
            <OOFUrl>https://srv2.DOMAIN.local/EWS/Exchange.asmx</OOFUrl>
            <UMUrl>https://srv2.DOMAIN.local/UnifiedMessaging/Service.asmx</UMUrl>
            <OABUrl>http://srv2.DOMAIN.local/OAB/a3ff76a9-471e-46cd-be90-080b314568d5/</OABUrl>
          </Protocol>
          <Protocol>
            <Type>WEB</Type>
            <Internal>
              <OWAUrl AuthenticationMethod="Basic, Fba">https://srv2.DOMAIN.local/owa</OWAUrl>
              <Protocol>
                <Type>EXCH</Type>
                <ASUrl>https://srv2.DOMAIN.local/EWS/Exchange.asmx</ASUrl>
              </Protocol>
            </Internal>
          </Protocol>
        </Account>
      </Response>
    </Autodiscover>

    BTW: TS auf einem DC ist ein kräftiges Sicherheitsproblem, das nur am
    Rande.

    Ja, ging aber nicht anders, weil wir sonst keinen Backup DC hätten. Aber inzwischen sind wir wieder so gut ausgestattet, dass wir ihn zurückstufen können.
    Dienstag, 14. September 2010 09:01
  • Also, wir haben heute das Service Pack 2 für Windows Server 2008 installiert. Danach ging es wieder. Warum auch immer. Ich vermute, dass irgendeine Einstellung hinichtlich Kerberos/DNS/spn nicht ganz sauber war und der korrekte Eintrag durch das Service Pack gesetzt wurde. Konnte aber diese Vermutung noch nicht prüfen.

    Trotzdem Danke für die Hilfe!!

    Dienstag, 14. September 2010 15:48
  • Hi weeeman,

    Also, wir haben heute das Service Pack 2 für Windows Server 2008 installiert. Danach ging es wieder. Warum auch immer. Ich vermute, dass irgendeine Einstellung hinichtlich Kerberos/DNS/spn nicht ganz sauber war und der korrekte Eintrag durch das Service Pack gesetzt wurde. Konnte aber diese Vermutung noch nicht prüfen.

    Ansatzpunkte dazu hättest du ja mal bei mir lesen können... ;)

    Viele Grüße
    Christian

    Mittwoch, 15. September 2010 08:16
    Moderator