none
Verbindungsproblem mit Exchange Server 2013 und Outlook 2010 RRS feed

  • Allgemeine Diskussion

  • Folgendes Problem:

    Seit kurzer Zeit bekommen alle Clients mit Outlook 2010 eine Fehlermeldung beim Öffnen von Outlook. Diese lautet:

    "Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Von Outlook kann keine Verbindung mit dem Proxyserver 'FQDN des Servers' hergestellt werden (Fehlercode: 80000000)."

    Außerdem poppt ein Zertifikat mit folgenden Daten auf:

    Ausgestellt für: varnish.artube.de

    Ausgestellt von: Let's Encrypt Authority X3

    Ein Installieren des Zertifikates schafft keine Abhilfe. Es kommt immer wieder.

    Was hat sich geändert:

    Zuletzt waren 2 Linuxserver mit der Aufgabe Mail-In und Mail-Out im Einsatz. Da diese noch ein Relikt der vorhergehenden Umgebung mit Novell Groupwise darstellten, wurden diese nun außer Betrieb genommen. Um das Thema Mail-Out kümmert sich Exchange ja ohnehin selbst. Für das Mail-In kommt nun PopCon zum Einsatz.

    Außerdem sollte letzte Woche der Domain Controller auf einen neuen Server umgezogen werden, was zu merkwürdigen Phänomenen führte, so dass dieser Schritt wieder zurückgerollt wurde. Auch das Scan-To-Mail der Großraumkopierer, bei den der Exchange als SMTP hinterlegt ist, funktioniert nicht mehr richtig.

    Warum interpretiert Outlook den Exchangeserver als Proxyserver?

    Was ist das für ein Zertifikat?

    Warum funktioniert Scan-To-Mail nicht mehr?

    Bin aktuell etwas ratlos.


    Mittwoch, 15. März 2017 09:38

Alle Antworten

  • Hallo,

    das sind ja einige Fragen.

    Warum Proxy Server? Exchange 2010 war die letzte Version dir Clientverbindungen über RPC bereitgestellt hat. Ab 2013 erfolgt die Verbindung zwischen Outlook und Server über HTTPs (Outlook AnyWhere oder MAPI over HTTPs).
    Das ist dann der im Outlookprofil hinterlegte Proxy Server. Für die Konfiguration nutzt Outlook die Autodiscover Funktion.

    "varnish.artube.de" ist das Dein Server? Die IP dazu gehört zu "Amazon Technologies Inc." und das bemängelte Zertifikat ist auch drauf. Ich nehme mal, dass Dein Exchange Server einen anderen FQDN hat.

    Hast Du im IExplorer einen Proxyserver hinterlegt oder eine automatische Proxykonfiguration für den IExplorer im Einsatz? Wenn ja, dann nimm die mal raus und starte Outlook nochmal.

    Gruß Malte

    Mittwoch, 15. März 2017 12:18
  • Hi,

    vielen Dank für die schnelle Reaktion.

    Ich habe in der genannten Umgebung keinen Proxy im Einsatz. Das ist ja schon das erste Fragezeichen!

    "varnish.artube.de" ist nicht der Server. Ich weiß wie gesagt nicht, was dieses Zertifikat hervorruft. Muss aber irgendwie mit der Fehlermeldung bzgl. Proxy zusammenhängen, da alle Symptome parallel aufgetreten sind.

    Mit den im Exchange hinterlegten Zertifikaten hat es auch nichts zu tun.

    Grüße Peter

    Mittwoch, 15. März 2017 14:05
  • Moin,

    > Ich habe in der genannten Umgebung keinen Proxy im Einsatz. Das ist ja schon das erste Fragezeichen!

    der Proxy in der Fehlermeldung ist kein Proxy im üblichen Sinne, sondern Exchange, der als HTTPS-Proxy die RPC-Verbindung zur Mailbox "tunnelt".


    > "varnish.artube.de" ist nicht der Server. Ich weiß wie gesagt nicht, was dieses Zertifikat hervorruft.

    Eine falsche Konfiguration von:
     - Outlook Anyhwere
     - Autodiscover
     - oder einer der anderen Webdienste von Exchange

    Und noch zu Ergänzung:
    > Für das Mail-In kommt nun PopCon zum Einsatz.

    Gaaanz schlecht. Will man nicht nutzen, wenn man sicher und nachvollziehbar Mails erhalten will. Aus diversen technischen und rechtlichen Problemen solltest Du dringend von POP-Connectoren weg und auf saubere SMTP-Zustellung umstellen.

    > Außerdem sollte letzte Woche der Domain Controller auf einen neuen Server umgezogen werden, was zu merkwürdigen Phänomenen führte, so dass dieser Schritt wieder zurückgerollt wurde.

    Eventuell solltet ihr die "merkwürdigen Phänomene" erst mal lösen. Denn ein korrektes AD mit saubererm DNS ist absolute Grundlage für Exchange.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 16. März 2017 11:02
  • Hallo MSXBro,

    ergänzend zu Robert noch ein paar Powershell-Befehle zur Prüfung der URLs.

    Get-OwaVirtualDirectory | fl *url*
    Get-mapiVirtualDirectory | fl *url*
    Get-ClientAccessServer | fl *uri*
    Get-WebServicesVirtualDirectory | fl *url*
    Get-OabVirtualDirectory | fl *url*
    Get-OutlookAnywhere | fl *url*
    Get-OwaVirtualDirectory | fl *url*

    Wenn hier irgendwo "varnish.artube.de" auftaucht, dann haue dem Verursacher kräftig auf die Finger.

    Gruß Malte

    Donnerstag, 16. März 2017 20:15
  • Vielen Dank für die Antworten.

    @Malte

    Muss bei den Powershell-Befehlen eine bestimmte URL angegeben werden? Ohne liefern mir die Befehle keine aussagekräftigen Ergebnisse.

    @Robert

    Das mit dem Proxy dachte ich mir schon. Man sieht das ja auch an den vordefinierten Empfangsconnectoren.

    "Eine falsche Konfiguration" glaube ich auch, nur hat der Exchange ja schon funktioniert ohne das danach am Exchange irgendetwas verändert wurde.

    Der PopCon kommt aktuell zum Einsatz, damit überhaupt erstmal Mails zugestellt werden können. Sonst klappt ja aktuell auch dieses nicht.

    Wie genau würde denn eine "saubere SMTP-Zustellung" aussehen?

    Freitag, 17. März 2017 07:43
  • Hallo,

    das waren nur Beispiele.

    Get-MAPIVirtualDirectory | fl Server,*URL*

    liefert Dir den Servernamen und die hinterlegten URLs für interne / externe Zugriffe. Das Ergebnis könnte so aussehen:

    Server: DEINEXCHANGESERVER
    InternalUrl: https://xxx.deineinternedomain.yyy/mapi
    ExternalUrl: https://webmail.deineexternednsdomain.yyy/mapi

    So ähnlich könnte es Aussehen. Taucht hier irgendwo "varnish.artube.de" auf, dann musst Du mal mit dem der das eingerichtet hat ein ernstes Wort reden.

    Fehlen Einträge, kontaktiere bitte den der die Einrichtung geplant und umgesetzt hat. Ich kenne Deine genaue Umgebung nicht, daher sind meine Anmerkungen nur Ideen und keine Empfehlung "Genau so muss es gemacht werden."

    https://technet.microsoft.com/de-de/library/hh529912(v=exchg.150).aspx

    Gruß Malte

    Freitag, 17. März 2017 08:24
  • Vielen Dank für die Unterstützung. Der Fehler tritt nun erstmal nicht mehr auf. Problem war hier tatsächlich (wer hätte es gedacht) der misslungene Domain-Controller-Umzug. Der potentielle neue Domain Controller lief noch, ohne eigentlich eine Funktion zu haben. Nach Ausschalten der virtuellen Maschine war auf einmal Ruhe mit der Fehlermeldung. Scan-To-Mail funktioniert auch wieder.
    Donnerstag, 23. März 2017 12:58
  • Hallo MSXBro,

    das lässt mir ja jetzt keine Ruhe. Kannst Du bitte mal ein Blick in die DNS Zone des Active Directory werfen, ob dort noch Einträge (A- und SRV Records auf den missglückten DC) referenzieren? Nur aus reinem persönlichem Interesse, denn an Selbstheilung kann ich nicht glauben.

    Nur wenn Du Zeit und Bock auf eine Rückmeldung hast.

    Danke & Gruß Malte

    Donnerstag, 23. März 2017 20:26