none
IMAP Login mit Exchange2010 RRS feed

  • Frage

  • Hallo

    ich versuche hier unseren Exchange2003 durch Exchange2010 abzulösen.

    Zustand z.Z. : Alle Postfächer noch auf dem Ex2003, Ex2010 mit CAS und HT installiert.

    Zugriff über OWA ( eigentlich ja nur die Umleitung) funktioniert.

    Beim testen des Zugriffs über IMAP habe ich jetzt das Problem das Thunderbird immer wieder nach dem Password fragt und keine

    Nachrichten abrufen kann.

    Also habe ich mit Wireshark mal das ganze verfolgt :

    * OK The Microsoft Exchange IMAP4 service is ready.
    1 capability
    * CAPABILITY IMAP4 IMAP4rev1 AUTH=GSSAPI AUTH=PLAIN STARTTLS IDLE NAMESPACE LITERAL+
    1 OK CAPABILITY completed.
    2 authenticate plain
    +
    AHJvbmFsZABkbDRodWY=
    1 OK NAMESPACE completed.
    4 login "testuser" "testpassword"
    2 OK AUTHENTICATE completed.
    4 BAD LOGIN command received in invalid state.
    

    Das heisst die Authentifizierung ist ok ( das PW stimmt ja auch), aber was will mir

    das "Bad LOGIN command received in invalid state" sagen ?

    Ich kann ja auch an dem Thunderbird-Protokoll nichts ändern.

    Es kann ja auch eigentlich nicht sein das Exchange2010 und Thunderbird nicht miteinander können (?)

     

    Wenn ich STARTTLS oder SSL aktiviere komme ich leider auch nicht weiter ( gleiches Effekt, nur PW-Abfrage)

    und kann leider auch nicht sehen was da passiert.

    Wo schreibt Exchange2010 eigentlich seine Logs hin ?

    Im Eventlog steht so gut wie nichts, obwohl die "Diagnoseprotokolleigenschaften" für IMAP auf "Experte" stehen.

     

    Gruß Ronald

     

    • Verschoben Andrei Talmaciu Dienstag, 16. November 2010 08:35 Exchange Thema (aus:Windows Server)
    Freitag, 12. November 2010 15:14

Antworten

  • Hi Ronald,
     
    > ich versuche hier unseren Exchange2003 durch Exchange2010 abzulösen.
    >
    > Zustand z.Z. : Alle Postfächer noch auf dem Ex2003, Ex2010 mit CAS und HT
    > installiert.
    >
    > Zugriff über OWA ( eigentlich ja nur die Umleitung) funktioniert.
    >
    > Beim testen des Zugriffs über IMAP habe ich jetzt das Problem das
    > Thunderbird immer wieder nach dem Password fragt und keine
    >
    > Nachrichten abrufen kann.
     
    Auf welchem Patch-Stand befindet sich aktuell der Exchange 2010 Server?
     
    Folgendes ist nämlich zu beachten:
     
    Certain third-party IMAP4 clients cannot connect to Exchange Server 2003
    mailboxes through an Exchange Server 2010 CAS server
    http://support.microsoft.com/kb/977633/en-us
     
     
    Hast Du auch folgendes beachtet:
     
    Understanding Proxying and Redirection
    [..]
    The following steps show how incoming requests are handled for a user who
    makes a request to an Exchange 2010 Client Access server named CAS-01 using
    a [IMAP] client
    [..]
    If the user's mailbox is on an Exchange 2003 server, CAS-01 proxies the
    connection to the [IMAP] service running on the Exchange 2003 server that's
    hosting the user’s mailbox.
    [..]
    You must ensure that the authentication method for all these virtual
    directories is set to Integrated Windows authentication. Proxying isn't
    supported for virtual directories that use other authentication methods
    except for POP3 and IMAP4, which use SSL/TLS and proxy the user's Basic
    authentication credentials.
    [..]
    http://technet.microsoft.com/en-us/library/bb310763.aspx
     
     
    D.h. Der IMAP4-Client (hier: Thunderbird) muss eine TCP-Verbindung auf Port
    993 mit dem CAS-Server aufbauen können (der wiederum die Anfrage an den
    Exchange 2003 Mailbox-Server weiterleitet - "proxying") welcher mittels
    einem gültigen SSL-Zertifikat antwortet und dieses dem Client als
    vertrauenswürdig eingestuft sein muss. Ist dem auch so?
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Montag, 15. November 2010 13:38
  •  
    Auf welchem Patch-Stand befindet sich aktuell der Exchange 2010 Server?
     
    Folgendes ist nämlich zu beachten:
     
    Certain third-party IMAP4 clients cannot connect to Exchange Server 2003
    mailboxes through an Exchange Server 2010 CAS server
    http://support.microsoft.com/kb/977633/en-us
     

    Asche auf mein Haupt :(

    Ich habe den Server zwar am WSUS hängen und da war alles im grünen Bereich. Allerdings hatte ich vergessen im WSUS neben dem Ex2003 auch den EX2010 als Produkt zu aktivieren und deshalb hat der das aktuelle "Update Rollup 4" nicht gezogen und angeboten.

    Mit installiertem Update Rollup klappts nun auch mit dem Thunderbird !

    Fazit: auf "Anfängerfehler" reingefallen, aber trotztem auch was dazugelernt.

     

    Gruß Ronald

     

     

    Montag, 15. November 2010 15:24

Alle Antworten

  • Hi,

    hast du die Tests mit dem Administratorkonto durchgeführt ?

    Using Non-Standard Accounts with POP3 and IMAP4

    You can't use an Anonymous account or Guest account to sign in to an Exchange 2010 mailbox through POP3 or IMAP4. This kind of access is blocked because of security vulnerabilities when you use non-standard accounts for POP3 and IMAP4 access. Additionally, you can't connect to the Administrator mailbox through POP3 or IMAP4. This limitation was included intentionally in Exchange 2010 to enhance security for the Administrator mailbox. To access the Administrator mailbox, you must use Microsoft Office Outlook or Outlook Web App.


    Viele Grüße Carsten
    Freitag, 12. November 2010 15:51
  • Nein, mit einem "echten" Testaccount.

     

    Samstag, 13. November 2010 13:19
  • Hi Ronald_,

    Nein, mit einem "echten" Testaccount.

    wie sah des Format der Credentials aus? Exchange 2007/2010 möchten am liebsten
    den UPN:
    http://www.msxfaq.de/clients/pop3imap4.htm

    Viele Grüße
    Christian

    Samstag, 13. November 2010 14:56
    Moderator
  • So wie oben im Mitschnitt.

    Aber auch die Verwendung von "testuser@domain.de" als Usernamen

    bringt leider keinen Erfolg.

    Ich werde das am Mo. noch mal tracen ob da andere Fehlermeldungen kommen.

     

    Wenn ich die Schritte per Hand mache kann ich mich auch anmelden.

    Das Problem hängt offensichlich mit den Zeilen zusammen :

    Client : 2 authenticate plain
    Server : +
    Client : AHJvbmFsZABkbDRodWY=
    Server : 2 OK AUTHENTICATE completed.

    Was sendet der Client da, ein Username/Password-Hash ?

    Denn offenbar ist der Server danach schon mit einer Anmeldung zufrieden.

    Ich habe mal versucht im Wiki und den IMAP-RFCs zu lesen.

    Aber das was der Thunderbird da macht kommt dort nicht vor.

    Es sieht ja bald danach aus das der Fehler beim Thunderbird liegt.

    Aber ich bin doch nicht der erste der Exch2010 und Thunderbird mit IMAP benutzten

    möchte ?

     

    Gruß Ronald

     

     

     

    Samstag, 13. November 2010 17:53
  • Hi Ronald_,

    Aber das was der Thunderbird da macht kommt dort nicht vor.

    OK, warum prüfst du das Verhalten nicht mit einem anderen IMAP-Client gegen -
    notfalls Telnet...

    Um das IMAP-Logging zu aktivieren, schau die folgenden Link an:
    http://technet.microsoft.com/en-us/library/aa997690.aspx

    Es sieht ja bald danach aus das der Fehler beim Thunderbird liegt.

    ...anderer Client...

    Aber ich bin doch nicht der erste der Exch2010 und Thunderbird mit IMAP benutzten möchte?

    Bestimmt nicht und mein Kollege nutzt auch Thunderbird auf seiner Linux-Kiste
    - auf den Link zu Franks Seite findest du auch Thunderbirds-Tips.
    Also fang bei der Mailbox an - ist IMAP aktiviert und hast du 100%ig das
    richtige Kennwort (über OWA testen). Als nächstes die Frage, wie die Bindungen
    am Exchange aussehen - standardmäßig ist nur Port 993 in der CAS-Bindung unter
    Serverkonfiguration aktiv. Nach Änderungen immer den Dienst neustarten...

    Jetzt heißt es testen und Rückmeldung geben...

    Viele Grüße
    Christian

    Sonntag, 14. November 2010 14:37
    Moderator
  • Hallo und Danke für die Unterstützung bis jetzt.

    Das Logging konnt ich einschalten, auch wenn es den Parameter "-LogFileLocation" nicht gibt (es kommen immer Fehlermeldungen zu Paramtern die ich nicht angegeben habe und in der Hilfe ist er auch nicht erwähnt). Das Logfile wird nach "C:\Program Files\Microsoft\Exchange Server\V14\Logging\Imap4" geschrieben und hat offenbar nichts mit den "Diagnoseprotokolleigenschaften" zu tun denn es läst sich darüber auch nicht im Umfang einschränken.

    In meinem (Fehler)Fall sieht es so aus :

    2010-11-15T06:46:52.237Z,0000000000000009,0,192.168.4.185:143,192.168.1.183:3653,+,,
    2010-11-15T06:46:52.238Z,0000000000000009,1,192.168.4.185:143,192.168.1.183:3653,>,* OK The Microsoft Exchange IMAP4 service is ready.,
    2010-11-15T06:46:52.241Z,0000000000000009,2,192.168.4.185:143,192.168.1.183:3653,<,1 capability,
    2010-11-15T06:46:52.242Z,0000000000000009,3,192.168.4.185:143,192.168.1.183:3653,>,* CAPABILITY IMAP4 IMAP4rev1 AUTH=GSSAPI AUTH=PLAIN STARTTLS IDLE NAMESPACE LITERAL+,
    2010-11-15T06:46:52.242Z,0000000000000009,4,192.168.4.185:143,192.168.1.183:3653,>,1 OK CAPABILITY completed.,
    2010-11-15T06:46:55.392Z,0000000000000009,5,192.168.4.185:143,192.168.1.183:3653,<,2 authenticate plain,
    2010-11-15T06:46:55.392Z,0000000000000009,6,192.168.4.185:143,192.168.1.183:3653,>,+,
    2010-11-15T06:46:55.394Z,0000000000000009,7,192.168.4.185:143,192.168.1.183:3653,<,<auth blob>,
    2010-11-15T06:46:55.401Z,0000000000000009,8,192.168.4.185:143,192.168.1.183:3653,*,,User domain\ronald Sid S-1-5-21-1659004503-562591055-725345543-1135
    2010-11-15T06:46:56.011Z,0000000000000009,9,192.168.4.185:143,192.168.1.183:3653,*,,"Mailbox: User ""Ronald, Ronald"" Server name ""ex2003.domain.de"", Version 0.0 (Build 7638.0), legacyId ""/o=domain/ou=Erste administrative Gruppe/cn=Recipients/cn=ronald"""
    2010-11-15T06:46:56.012Z,0000000000000009,10,192.168.4.185:143,192.168.1.183:3653,*,,Start Proxy to ex2003.domain.de:143 using Plaintext
    2010-11-15T06:46:56.026Z,0000000000000009,11,192.168.4.185:143,192.168.1.183:3653,*,,"<<< ProxyResponse:* OK Der Microsoft Exchange Server 2003 IMAP4rev1-Server, Version 6.5.7638.1 (ex2003.domain.de), steht zur Verf?gung.<<<"
    2010-11-15T06:46:56.026Z,0000000000000009,12,192.168.4.185:143,192.168.1.183:3653,*,,Sending LOGIN ronald <password> to the BE server.
    2010-11-15T06:46:56.033Z,0000000000000009,13,192.168.4.185:143,192.168.1.183:3653,*,,<<< ProxyResponse:1 OK LOGIN completed.<<<
    2010-11-15T06:46:56.033Z,0000000000000009,14,192.168.4.185:143,192.168.1.183:3653,*,,Sending NAMESPACE to the BE server.
    2010-11-15T06:46:56.037Z,0000000000000009,15,192.168.4.185:143,192.168.1.183:3653,*,,"<<< ProxyResponse:* NAMESPACE (("""" ""/"")) NIL ((""&ANY-ffentliche Ordner/"" ""/""))<<<"
    2010-11-15T06:46:56.037Z,0000000000000009,16,192.168.4.185:143,192.168.1.183:3653,>,Proxy 27 bytes,
    2010-11-15T06:46:56.037Z,0000000000000009,17,192.168.4.185:143,192.168.1.183:3653,>,Proxy 30 bytes,
    2010-11-15T06:46:56.037Z,0000000000000009,18,192.168.4.185:143,192.168.1.183:3653,*,,LdapCount=8 LdapLatency=609
    2010-11-15T06:46:56.039Z,0000000000000009,19,192.168.4.185:143,192.168.1.183:3653,>,Proxy 48 bytes,
    2010-11-15T06:48:38.519Z,0000000000000009,20,192.168.4.185:143,192.168.1.183:3653,-,,
    Man kann hier zwar keinen Fehler erkennen aber das Problem zeigt ja der Netzwerkmittschnitt oben.

    Hier meine neusten Erkenntnisse :

    • Umgebung : Ex2010-CAS , Ex2003-Mailbox , Thunderbird -> geht nicht
    • Umgebung : Ex2010-CAS , Ex2003-Mailbox , OutlookExpress IMAP -> geht (nur "login user password"
    • Umgebung : Ex2010-CAS + Mailbox , Thunderbird -> geht ! (nur "authenticate plain" , das störende "login user password" fehlt)

    Das behindert mich zwar nun in meiner Migration. Den DNS-Alias kann ich also erst ändern wenn alle Mailboxen umgezogen sind. Mal sehen wie ich die andere Dienste testen kann. Leider habe ich keinen extra Alias für IMAP, SMTP usw.  sondern alles auf "mail.domain.de". Und die Server-Einstellungen bei ca. 100 Thunderbirds zu ändern macht keinen Spaß.

    Am Ende sollte aber hoffentlich alles laufen.

    Gruß Ronald

     

    Montag, 15. November 2010 10:06
  • Hi Ronald_,

    Das behindert mich zwar nun in meiner Migration. Den DNS-Alias kann ich also erst ändern wenn alle Mailboxen umgezogen sind. Mal sehen wie ich die andere Dienste testen kann. Leider habe ich keinen extra Alias für IMAP, SMTP usw.  sondern alles auf "mail.domain.de". Und die Server-Einstellungen bei ca. 100 Thunderbirds zu ändern macht keinen Spaß.

    nur mal auf die schnelle - ich glaube die Konfiguration kannst du bei
    Thunderbird direkt in der Config-Datei durchführen, was du mit einer
    Batchdatei hinbekommen solltest...

    Das Log muss ich mir mal in Ruhe anschauen.

    Am Ende sollte aber hoffentlich alles laufen.

    Jap, sollte es ... hoffentlicht... ;)

    Viele Grüße
    Christian

    Montag, 15. November 2010 10:21
    Moderator
  •  auch wenn es den Parameter "-LogFileLocation" nicht gibt

    Ich hab den Parameter "gefunden" : erst ab SP1 verfügbar.

    ( War etwas umständlich das SP1 in meiner Testumgebung zu installieren weil die keinen Inet-Zugang hat und noch zusätzliche Windows-Updates benötigt)

    Ob das SP1 auch an meinem ursprünglichen Problem was ändern würde weis ich nicht.

    Ich traue mich aber z.Z. nicht das SP1 in der produktiven Umgebung einzuspielen weil ich verschiedene

    Artikel im Netz gefunden habe die Probleme mit der Migration der Postfächer beim SP1 hatten.

    In der Testumgebung ist die Migration abgeschlossen. ( leider das IMAP-Problem nicht getestet).

     

    Gruß Ronald

     

    Montag, 15. November 2010 13:25
  • Hi Ronald,
     
    > ich versuche hier unseren Exchange2003 durch Exchange2010 abzulösen.
    >
    > Zustand z.Z. : Alle Postfächer noch auf dem Ex2003, Ex2010 mit CAS und HT
    > installiert.
    >
    > Zugriff über OWA ( eigentlich ja nur die Umleitung) funktioniert.
    >
    > Beim testen des Zugriffs über IMAP habe ich jetzt das Problem das
    > Thunderbird immer wieder nach dem Password fragt und keine
    >
    > Nachrichten abrufen kann.
     
    Auf welchem Patch-Stand befindet sich aktuell der Exchange 2010 Server?
     
    Folgendes ist nämlich zu beachten:
     
    Certain third-party IMAP4 clients cannot connect to Exchange Server 2003
    mailboxes through an Exchange Server 2010 CAS server
    http://support.microsoft.com/kb/977633/en-us
     
     
    Hast Du auch folgendes beachtet:
     
    Understanding Proxying and Redirection
    [..]
    The following steps show how incoming requests are handled for a user who
    makes a request to an Exchange 2010 Client Access server named CAS-01 using
    a [IMAP] client
    [..]
    If the user's mailbox is on an Exchange 2003 server, CAS-01 proxies the
    connection to the [IMAP] service running on the Exchange 2003 server that's
    hosting the user’s mailbox.
    [..]
    You must ensure that the authentication method for all these virtual
    directories is set to Integrated Windows authentication. Proxying isn't
    supported for virtual directories that use other authentication methods
    except for POP3 and IMAP4, which use SSL/TLS and proxy the user's Basic
    authentication credentials.
    [..]
    http://technet.microsoft.com/en-us/library/bb310763.aspx
     
     
    D.h. Der IMAP4-Client (hier: Thunderbird) muss eine TCP-Verbindung auf Port
    993 mit dem CAS-Server aufbauen können (der wiederum die Anfrage an den
    Exchange 2003 Mailbox-Server weiterleitet - "proxying") welcher mittels
    einem gültigen SSL-Zertifikat antwortet und dieses dem Client als
    vertrauenswürdig eingestuft sein muss. Ist dem auch so?
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Montag, 15. November 2010 13:38
  •  
    Auf welchem Patch-Stand befindet sich aktuell der Exchange 2010 Server?
     
    Folgendes ist nämlich zu beachten:
     
    Certain third-party IMAP4 clients cannot connect to Exchange Server 2003
    mailboxes through an Exchange Server 2010 CAS server
    http://support.microsoft.com/kb/977633/en-us
     

    Asche auf mein Haupt :(

    Ich habe den Server zwar am WSUS hängen und da war alles im grünen Bereich. Allerdings hatte ich vergessen im WSUS neben dem Ex2003 auch den EX2010 als Produkt zu aktivieren und deshalb hat der das aktuelle "Update Rollup 4" nicht gezogen und angeboten.

    Mit installiertem Update Rollup klappts nun auch mit dem Thunderbird !

    Fazit: auf "Anfängerfehler" reingefallen, aber trotztem auch was dazugelernt.

     

    Gruß Ronald

     

     

    Montag, 15. November 2010 15:24
  • Hi Ronald,
     
    > Auf welchem Patch-Stand befindet sich aktuell der Exchange 2010 Server?
    >
    > Folgendes ist nämlich zu beachten:
    >
    > Certain third-party IMAP4 clients cannot connect to Exchange Server 2003
    > mailboxes through an Exchange Server 2010 CAS server
    > http://support.microsoft.com/kb/977633/en-us
    >
    > Asche auf mein Haupt :(
    >
    > Ich habe den Server zwar am WSUS hängen und da war alles im grünen
    > Bereich.
    > Allerdings hatte ich vergessen im WSUS neben dem Ex2003 auch den EX2010
    > als
    > Produkt zu aktivieren und deshalb hat der das aktuelle "Update Rollup 4"
    > nicht gezogen
    > und angeboten.
    >
    > Mit installiertem Update Rollup klappts nun auch mit dem Thunderbird !
    >
    > Fazit: auf "Anfängerfehler" reingefallen, aber trotztem auch was
    > dazugelernt.
     
    kommt immer wieder mal vor, auch bei uns :)
     
    Danke trotzdem für's Feedback.
     
    Auch wir haben wieder etwas dazu gelernt, da jede Frage auch bei uns ein
    tieferes Verständnis herausfordert und sich so festigt.
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Montag, 15. November 2010 15:31