none
Migration EX2010 - EX2016 - Fragen zu OWA und Verbindungsstatus RRS feed

  • Frage

  • Hallo Forengemeinde!

    Ich bin gerade in der Migration von EX2010 nach EX2016 (jeweils nur ein Server).
    Ich gehe dabei nach der Anleitung von Franky vor.

    Aktuell bin ich an dem Punkt, an dem ich ein Test-Postfach von einer EX2010-DB in eine EX2016-DB verschoben habe.
    Alle URLs zeigen für´s LAN noch auf den EX2010-Server, an meinem Test-Client (Win 7 / Outlook 2010) habe ich aber die HOSTS so angepasst, dass die URLs an diesem PC auf den EX2016 zeigen.

    Erstens:

    Der Postfach-Zugriff via Outlook funktioniert, ich kann intern und extern senden und empfangen. Rufe ich OWA auf dem EX2016 auf, kann ich mich mit dem Test-Benutzer anmelden und habe Zugriff auf das Postfach. Rufe ich OWA auf dem EX2010 auf gelingt das nicht. Nach der Anmeldung erscheint folgende Meldung:

    "Der Zugriff auf Ihr Konto wird durch eine Änderung an der Serverkonfiguration vorübergehend verhindert. Schließen Sie alle Browserfenster, und versuchen Sie es in einigen Minuten erneut."

    Ist das normal, kann EX2010 hier nicht den Proxy für EX2016 spielen? Oder deutet das auf ein Problem hin, das ich noch habe?

    Zweitens:
    Obwohl der Postfachzugriff via Outlook augenscheinlich und ohne irgendwelche Fehlermeldungen funktioniert, habe ich im Verbindungsstatus Fehler:



    Quasi die selbe Frage: Ist das an dieser Stelle der Migration normal? Oder habe ich da ein Problem, an dem ich noch arbeiten muss? Was könnte das ggf. sein?

    Vielen Dank im Voraus!

    TJ




    • Bearbeitet T.J. Hooker Mittwoch, 19. April 2017 08:11
    Mittwoch, 19. April 2017 08:01

Antworten

Alle Antworten

  • Hallo,

    zu Deiner ersten Frage:

    Der EX2010 kann nicht den Proxy für den EX2016 spielen. Das geht immer nur vom EX2016 zum EX2010. Ist daher so in Ordnung, wie Du es beschreibst.

    Zu Deiner zweiten Frage:

    Welchen Outlook Client setzt Du ein? Der Zugriff erfolgt ja via MAPI-over-HTTP. Eventuell hilft dies:
    https://support.microsoft.com/en-us/help/2986802/outlook-2013-cannot-connect-to-exchange-server-2013-or-exchange-server-2016-using-mapi-over-http-when-a-proxy-is-enabled

    Viele Grüße,
    Benjamin

    Mittwoch, 19. April 2017 09:53
  • Hallo Benjamin!

    Vielen Dank!

    Zum Einsatz kommt Outlook 2010 auf Windows 7.

    Den von Dir verlinkten Artikel hatte ich bei meiner Suche auch schon gefunden, er passt m.E. aber nicht (korrigiert mich da aber gerne wenn ich falsch liege).

    A) weil ich Outlook 2010 einsetze und vor allem B) weil ich ja zu meinem EX2016 verbinden kann.
    Wie schon geschrieben startet Outlook, mailen ist möglich, alles ohne irgendwelche Fehler. "Nur" im Verbindungsstatus steht eben was von "Fehler".

    Hmmm...

    TJ

    Mittwoch, 19. April 2017 10:05
  • Korrekt, der verlinkte Artikel gilt nur für Office ab 2013.

    Welches Service Pack bzw. welche Version von Outlook 2010 kommt zum Einsatz?

    Kannst Du bitte einmal die Ausgabe von

    Get-MapiVirtualDirectory -Server <Servername> | fl

    hier posten?

    Zertifikat ist korrekt eingebunden?

    • Bearbeitet benkleinow Mittwoch, 19. April 2017 10:43
    Mittwoch, 19. April 2017 10:27
  • Hi!

    Danke und gerne.

    Outlook 14.0.780.5002 (aus Office Professional Plus; müsste komplett getpatched sein)

    EX 2016:

    RunspaceId                      : 57016068-14f7-461f-a607-559022726a7c
    IISAuthenticationMethods        : {Ntlm, OAuth, Negotiate}
    MetabasePath                    : IIS://SRV04-W2K16.MyDomain.local/W3SVC/1/ROOT/mapi
    Path                            : C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\mapi
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    AdminDisplayVersion             : Version 15.1 (Build 669.32)
    Server                          : SRV04-W2K16
    InternalUrl                     : https://ex.MyDomain.de/mapi
    InternalAuthenticationMethods   : {Ntlm, OAuth, Negotiate}
    ExternalUrl                     : https://ex.MyDomain.de/mapi
    ExternalAuthenticationMethods   : {Ntlm, OAuth, Negotiate}
    AdminDisplayName                :
    ExchangeVersion                 : 0.10 (14.0.100.0)
    Name                            : mapi (Default Web Site)
    DistinguishedName               : CN=mapi (Default Web
                                      Site),CN=HTTP,CN=Protocols,CN=SRV04-W2K16,CN=Servers,CN=Exchange Administrative
                                      Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=MyDomain,CN=Microsoft
                                      Exchange,CN=Services,CN=Configuration,DC=MyDomain,DC=local
    Identity                        : SRV04-W2K16\mapi (Default Web Site)
    Guid                            : 7abf9a41-f250-45ce-8d8b-e0f2ed48a6ea
    ObjectCategory                  : MyDomain.local/Configuration/Schema/ms-Exch-Mapi-Virtual-Directory
    ObjectClass                     : {top, msExchVirtualDirectory, msExchMapiVirtualDirectory}
    WhenChanged                     : 27.03.2017 18:14:55
    WhenCreated                     : 27.03.2017 17:51:59
    WhenChangedUTC                  : 27.03.2017 16:14:55
    WhenCreatedUTC                  : 27.03.2017 15:51:59
    OrganizationId                  :
    Id                              : SRV04-W2K16\mapi (Default Web Site)
    OriginatingServer               : SRV01-W2K16.MyDomain.local
    IsValid                         : True
    ObjectState                     : Changed

    Mittwoch, 19. April 2017 11:06
  • Das sieht an sich gut aus.

    Steht irgendetwas Interessantes in diesen Logs:

    • CAS: %ExchangeInstallPath%\Logging\HttpProxy\Mapi\
    • Mailbox: %ExchangeInstallPath%\Logging\MAPI Client Access\
    • Mailbox: %ExchangeInstallPath%\Logging\MAPI Address Book Service\

    Was erscheint, wenn Du im Browser auf die folgende Adresse gehst:

    https://mail.contoso.com/mapi/emsmdb bzw. https://mail.contoso.com/mapi/emsmdb/?showdebug=yes


    • Bearbeitet benkleinow Mittwoch, 19. April 2017 14:45
    Mittwoch, 19. April 2017 14:45
  • Guten Morgen!

    Die Logs sind aus meiner Sicht unauffällig.

    Aus HttpProxy\Mapi:
    2017-04-20T06:39:24.366Z,a4d691b5-a46e-4588-bbcf-1cfb63d3e738,15,1,669,32,R:{999131D7-CCF0-4825-AA64-2E3D1BF6C2C6}:195;RT:Execute;CI:{6D61BBBD-6B1A-401F-9A92-1F13E6F0A99B}:18;CID:<null>,Mapi,ex.MyDomain.de,/mapi/emsmdb/,,Negotiate,true,MyDomain\K.Muster,MyDomain.de,MailboxGuid~6d4aa6b6-b149-4b16-b399-bbf577006d72,Microsoft Office/14.0 (Windows NT 6.1; Microsoft Outlook 14.0.7180; Pro),192.168.62.31,SRV04-W2K16,200,200,,POST,Proxy,srv04-w2k16.MyDomain.local,15.01.0669.000,IntraForest,MailboxGuidWithDomain,Database~d2ac19dc-2671-4648-8968-2e3c204245a6~~2017-05-20T06:35:26,,,203,166,,,2,0,,0,,0,,0,0,,0,9,0,0,1,0,4,0,0,0,0,0,7,0,5,2,3,5,9,,?MailboxId=6d4aa6b6-b149-4b16-b399-bbf577006d72@MyDomain.de,,BeginRequest=2017-04-20T06:39:24.357Z;CorrelationID=<empty>;ProxyState-Run=None;FEAuth=BEVersion-1942061725;XForwardedMod=true;BeginGetRequestStream=2017-04-20T06:39:24.360Z;OnRequestStreamReady=2017-04-20T06:39:24.361Z;MailboxServerByServerGuard_SRV04-W2K16.MyDomain.local=1;MailboxServerByForestGuard_MyDomain.local=1;TotalMailboxServerGuard=1;BeginGetResponse=2017-04-20T06:39:24.361Z;OnResponseReady=2017-04-20T06:39:24.365Z;EndGetResponse=2017-04-20T06:39:24.365Z;ProxyState-Complete=ProxyResponseData;SharedCacheGuard=0;EndRequest=2017-04-20T06:39:24.366Z;,,,|RoutingDB:d2ac19dc-2671-4648-8968-2e3c204245a6

    MAPI Client Access:
    Gibt es bei mir nicht (?)

    MAPI Adress Book Service:
    2017-04-20T06:35:11.681Z,15,15,/o=MyDomain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=userc1515ab2,,192.168.62.31,fe80::4d5c:8233:7e5d:6829%6,MapiHttp,NspiGetProps,,1,,,,

    EMSMDB:
    Exchange MAPI/HTTP Connectivity Endpoint
    Version: 15.1.669.32
    Vdir Path: /mapi/emsmdb/
    User: MyDomain\K.Muster
    UPN:
    SID: S-1-5-21-2000478354-1757981266-839522115-6896
    Organization:
    Authentication: Negotiate
    PUID:
    TenantGuid::
    Cafe: srv04-w2k16.MyDomain.local
    Mailbox: srv04-w2k16.MyDomain.local
    Session Contexts
    None
    Created: 20.04.2017 06:28:17


    • Bearbeitet T.J. Hooker Donnerstag, 20. April 2017 07:32
    Donnerstag, 20. April 2017 06:48
  • Moin,

    nur um sicher zugehen: Ex 2010 macht keinerlei Proxy für 2016. Da oben im zweiten Screenshot: Das sind nicht zufällig URLs, die noch auf den 2010 zeigen?

    Alle Client-Dienste müssen auf den 2016 zeigen, MAPI und HTTPS.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 20. April 2017 06:51
  • Hallo Robert!

    Danke!

    Die Antwort auf Deine Frage lautet: Jein.

    Beide EX-Server sind auf die selben URLs konfiguriert. Der DNS-Server im AD zeigt für diese URLs noch auf die IP des EX2010. An meinem Test-Client, von dem auch die o.g. Screenshots stammen, habe ich die HOSTS aber so angepasst, dass "ex.mydomain.de" nicht mehr auf den EX2010 sondern auf den EX2016 zeigt.

    Bevor ich alle Postfächer umziehe werde ich natürlich den EX2016 "nach vorne" stellen.
    Im Moment habe ich aber nur ein einziges Test-Postfach migriert und teste damit rum. Dabei ist der o.g. Fehler aufgefallen.
    Wie ich in meinem Anfangspost schon geschrieben habe, kann es aber natürlich sein, dass dieser Fehler in der jetzigen Konstellation mit der angepassten HOST auftreten MUSS, nur weiß ich das eben nicht.

    TJ
    • Bearbeitet T.J. Hooker Donnerstag, 20. April 2017 07:31
    Donnerstag, 20. April 2017 07:28
  • Liebe Gemeinde,

    kann das denn funktionieren?

    Ich greife als Postfachnutzer 2016 auf die URL basierend auf der IP im DNS zu. Diese verweist auf den 2010er. Der versucht ein Redirect auf den 2016er, dessen URLs im DNS wiederum auf den 2010er verweisen. Henne & Ei was war zu erst da?

    Und Robert hat vollkommen Recht: "Proxyaccess funktioniert nur von der höheren in Richtung der niedrigeren Version"

    Hallo TJ, das ist für mich etwas verwirrend. Besonders in Migrationsumgebungen mit unterschiedlichen Versionen im Verbund, ist die DNS Trennung wichtig.

    ??? Malte

    Donnerstag, 20. April 2017 17:57
  • Hallo Malte!

    Danke für Deine Beteiligung!

    Ganz so wie Du schreibst ist es ja nicht, oder ich verstehe Dich falsch. Oder meinen Aufbau.

    Mein Test-User greift m.E. direkt auf den EX2016 zu, wo auch sein Postfach liegt (wurde vom EX2010 dorthin migiert). Direkt auf den EX2016 greift er zu, weil zwar der DNS im AD, der de URL für alle (anderen) Clients auflöst, noch auf den EX2010 zeigt, die HOST-Datei auf meinem Test-PC, an dem auch mein Test-User angemeldet ist, die URL aber auf den EX2016 lenkt.

    Das funktioniert natürlich nur mit diesem einem Test-User, denn nur sein Postfach ist schon auf dem EX2016. Und auch nur an diesem einen Test-PC, denn nur dort ist die HOSTS-Datei so angepasst, dass die URL auf den EX2016 zeigt.

    Für alle anderen User an allen andern PCs greift die DNS-Auflösung im AD, die die URL auf den EX2010 lenkt, wo sich auch nach wie vor alle produktiven Postfächer befinden.

    Ich verweise noch mal auf die Anleitung von Franky, nach der ich vorgehe:
    https://www.frankysweb.de/migration-von-exchange-2010-zu-exchange-2016-teil-1/

    Ich bin jetzt Quasi am Ende von Teil 1.
    Die URLs sind auf beiden EX-SRV identisch konfiguriert, auf beiden EX-SRV ist mein Zertifikat, das diese URLs abdeckt, installiert und zugewiesen. M.E. muss die Zertifikats-Zuweisung auf dem EX2016 korrekt sein (auf dem EX2010 ist sie das sowieso, da funktioniert ja schon "seit Jahren" alles), andernfalls würde ich beim Zugriff mit Outlook und meinem Test-User (s. oben) doch Fehler bekommen. Oder?

    In Bezug auf  die Zertifikatszuweisung habe ich ja allerdings noch mein "anderes Problem":

    https://social.technet.microsoft.com/Forums/de-DE/d62b65b6-ac19-40c8-80d5-994f31499aff/ex2016-zertifikatsbindung-an-smtp-scheitert-bzw-ist-nicht-sichtbar?forum=exchange_serverde

    https://social.technet.microsoft.com/Forums/de-DE/69503afa-6988-4d0f-9a85-f92b57e683d3/ex2016-zertifikat-binden-an-iis-ok-an-smtp-scheinbar-nicht?forum=exchange_serverde


    Was die Proxy-Funktion angeht: Das EX2010 nicht Proxy für ein Postfach spielen kann, dass auf einem EX2016 liegt, war mir bekannt - wenn man mit OULOOK auf das Postfach zugreift. Was ich schlicht nicht wusste, war, ob das auch bei einem Zugriff via OWA zutrifft. Das scheint aber so zu sein.


    TJ

     




    • Bearbeitet T.J. Hooker Donnerstag, 20. April 2017 19:07
    Donnerstag, 20. April 2017 18:51
  • Hallo TJ,

    genau so ist es. Proxy-Zugriff oder anders ausgedrückt impersonate funktioniert nur von der höheren Version auf die niedere. Daher muss man beim Aktualisieren auch immer die Front Ends im ersten Schritt anheben und danach alle Backendserver. Das hat sich mit 2013 und höher etwas entspannt, da Du jedoch noch einen 2010er im Verbund hast, besteht diese Abhängigkeit weiter.

    Hier findest Du eine ausführliche Darstellung zum Thema.

    Gruß Malte

    Donnerstag, 20. April 2017 19:41
  • Hallo Malte!

    Diese Antwort bezieht sich aber "nur" auf den Teil meiner Frage, in dem es darum geht, dass OWA in der o.g. Konstellation (nicht) über den EX2010 funktioniert?

    Oder siehst Du darin auch die Ursache für den Fehler im Outlook-Verbindungsstatus?
    (Wobei ich da nach wie vor gar keine Proxy-Abläufe sehe...)

    VG

    TJ
    Freitag, 21. April 2017 05:14
  • Hallo TJ,

    ich würde auch die Outlookverbindung mit einbeziehen. Denn Exchange 2016 spricht "MAPI over HTTPs" und Exchange 2010 "RPC over HTTPs". die Erweiterung kam erst mit 2013 SP1.

    Hier sind die verschiedenen Szenarien beschrieben: https://blogs.technet.microsoft.com/exchange/2015/10/26/client-connectivity-in-an-exchange-2016-coexistence-environment-with-exchange-2010/

    Gruß Malte

    • Als Antwort markiert T.J. Hooker Dienstag, 25. April 2017 13:31
    Dienstag, 25. April 2017 12:53
  • Hallo Malte!

    Erneut: Danke!

    Dann würde der Fehler "nur" daher rühren, dass ich noch den EX2010 und noch nicht den EX2016 vorne stehen habe. Das erledigt sich aber von alleine, wenn ich mit der Migration fortfahre und auch die produktiven Postfächer auf den EX2016 migriere, denn davor werden ich den EX2016 anheben.

    TJ
    Dienstag, 25. April 2017 13:29
  • Hallo zusammen!

    Wie ich höre ist verschiedentlich der Eindruck aufgekommen, ich möchte hier unter Umständen nur Wissen absaugen, mich selbst möglichst wenig mit der Materie beschäftigen und die Community so kostenlos meine Migration erledigen lassen.

    Diesem Eindruck möchte ich deutlich entgegentreten, dem ist nicht so!

    Als Einzelkämper in (m)einer kleinen Umgebung möchte ich aber möglichst viel selbst erledigen.

    Jenseits des hiesigen IT-Budgets bin ich persönlich der Meinung, dass, wenn sich mein Arbeitgeber jemanden wie mich "leistet",  meine Aufgabe mehr umfassen muss, als nur" die Beauftragung von Dienstleistern und Consultants.

    Ich versuche mir also mit Büchern, Video-Schulungen, Google-Suchen usw. so gut es geht selbst zu helfen. Das habe ich übrigens auch vor jeder Frage, die ich hier in den letzten Wochen gepostet habe, getan.

    Da ich nur alle paar Jahre mal mit der Installation/Migration von Exchange zu tun habe, stoße ich hier aber sicherlich vergleichsweise früh an meine Grenzen und dies ist dann der Zeitpunkt, zu dem ich hier Hilfe suche.

    Jenseits dessen kann ich aber gut verstehen, dass mindestens diejenigen unter euch, die mit Leuten wie mir ihr Geld verdienen, Ihre Dienstleistung hier nicht dauerhaft und umfänglich kostenlos anbieten können.
    Ich war auch schon auf der anderen Seite.

    Um hier nun nicht vollkommen in Ungnade zu fallen werde ich meine letzten Threads als "Beantwortet" kennzeichnen und mir nun doch ernsthaft Gedanken zu kostpflichtiger, externer Hilfe machen.

    VG

    TJ

    Dienstag, 25. April 2017 13:31
  • Hallo Zusammen!

    Für den Fall, dass es jemandem hilft:

    Die Ursache des Problems liegt hier:
    https://social.technet.microsoft.com/Forums/ie/en-US/6c05d28d-fc16-4535-81c3-26960dc97d62/mapi-over-http-authn-error?forum=exchangesvrclients

    Sobald der Proxy raus ist, tritt der Fehler nicht mehr auf und der Verbindungsstatus ist "sauber".
    Dies unabhängig davon, ob ich meine URLs via HOSTS-Datei und/oder DNS auf den alten oder neuen Server zeigen lasse.

    TJ

    Freitag, 26. Mai 2017 07:56
  • Hallo TJ,

    Die Ursache sind also die Proxy Einstellungen die der IE sich zieht.

    Danke für Deine Rückmeldung.

    Liebe Grüße Malte

    Donnerstag, 1. Juni 2017 21:14
  • Ja. Wobei sich mir der Zusammenhang nicht ganz erschließt.

    Der von mir oben verlinkte Artikel gibt die Umstände auch nur in Teilen wieder.

    Zwar sind die Proxy-Einstellungen die Ursache für die "Fehler-Anzeige", wenn ich den Proxy rausnehme, ist die Verbindungsstazus-Anzeige wieder OK (=fehlerfrei).

    Anders als im verlinkten Artikel setze ich aber a) Outlook 2010 an Stelle von Outlook 2013 ein und b) habe ich augenscheinlich keine Probleme in der Kommunikation Outlook <=> Exchange, die Verbindung kommt zustande, ich kann arbeiten. Ich habe halt "nur" die Fehleranzeige im Verbindungsstatus.

    TJ

    Freitag, 2. Juni 2017 10:48
  • Hallo!

    Als Abschluss:

    Ich habe meinen Test-Client von Outlook 2010 auf Outlook 2016 umgestellt (das hatte ich ohnehin mit allen Clients vor, ursprünglich allerdings erst NACH der Umstellung des Exchange-Servers von 2010 auf 2016).

    Auch unter Outlook 2016 bestand das Problem weiterhin.

    Ich habe dann dieses Updates gefunden und installiert:
    https://support.microsoft.com/en-us/help/3115101/may-3,-2016,-update-for-outlook-2016-kb3115101

    Danach war der Fehler verschwunden. Auch mit eingetragenem Proxy-Server.

    Wobei es letztendlich wohl tatsächlich nur ein "Anzeigefehler war".
    Zum Einen legt der Text zu o.g. Patch das nahe, zum Anderen funktionierte bei mir auch ohne den o.g. Patch alles.

    TJ

    Sonntag, 6. August 2017 09:27