Stichwort Suche

Kategorie: 1) Microsoft Exchange Server Basics

Exchange 2013 – Basis Verbindungsaufbau

-InternalUrl und -ExternalUrl wurden zu besseren veranschaulichung mit unterschiedlichen FQDN´s dargestellt.

,

Exchange 2013 unterstützt kein RPC/TCP mehr. Statdessen kommt RPC/HTTP ( Outlook Anywhere ) oder MAPI/HTTP zum Einsatz.

 

Intern:

Der Outlook Client hat sich über Autodiscover das Profil eingerichtet.

In dem Profil ist kein “RpcClientAccessServer” oder “ClientAccessArray” mehr hinterlegt, stattdessen ist von dem jeweiligen Benutzer die PostfachGUID@domaine. hinterlegt.

Ob Outlook nun RPC/HTTP oder MAPI/HTTP verwendet hängt von folgenden Faktoren ab:

  • Organisationseinstellung (MapiHttpEnabled-Wert) – Was in der Exchange Organistation Konfiguration unter “MapiHttpEnabled” eingestellt ist ( $true oder $false )
  • Benutzer- oder Postfacheinstellung (MapiHttpEnabled-Wert) – Was auf der Userpostfach Ebene unter “MailEnabled” eingestellt ist ( $true oder $false )
  • Benutzer- oder Postfacheinstellung (MapiBlockOutlookExternalConnectivity-Einstellung) – ..

Für Outlook Anywhere werden die -InternalURL und -ExternalURL Werte von Get-Outlookanywhere verwendet.

Für MAPI/HTTP werden die -InternalURL und -ExternalURL Werte von Get-MapiVirtualDirectory verwendet.

 

RPC/HTTP:

Interner Client über Outlook Anywhere. Schön zu sehen ist über welchen “Proxyserver” ( CAS Server ) die Verbindung aufgbaut wird.

 

MAPI/HTTP:

Ist MAPI/HTTP aktiviert:

Der Client bekommt per Autodiscover die Angaben zu MAPI/HTTP mitgeteilt:

Outlook verbindet sich darüber:

Anfrage zur im MAPI Verzeichnis hinterlegten URL:

 

Der Reiter von Outlook Anywhere verschwindet:

 

Extern:

RPC/HTTP – identisch zu Exchange 2010….

 

MAPI/HTTP:

Client versucht sich zum -InternalURL Pfad vom MAPI Verzeichnis zu verbinden.

Da dies nicht gelingt schwenkt Outlook zur -ExternalURL vom MAPI Verzeichnis ” mail.rehberger.de” um.

Darüber kann sich Outlook dann verbinden:

 

 

Exchange 2010 – Basis Verbindungsaufbau

Nachdem Outlook mithilfe des SCP o.a. eingerichtet worden ist stellt Outlook die Verbindung zum Exchange CAS Server her.

Dieses Bild soll vereinfacht die Verbindung von einer internen LAN und externen WAN Verbindung veranschaulichen. Die Virtual Directorys URLs ( -InternalUrl / -ExternalUrl ) sind zur besseren veranschaulichung extra getrennt.

 

 

Intern:

Die Postfachdatenbanken von Exchange 2010 verfügen über die Eigenschaft “RpcClientAccessServer” oder “ClientAccessArray”, die angeben wo der MAPI Endpunkt ( CAS Server ) zu finden ist. Nach der Grundinstallation von Exchange 2010 gibt es nur den Eintrag RPCClientAccessServer. Ein ClientAccessArray muss explizit erstellt werden.

In dem Outlook Profil ist einmal der “RpcClientAccessServer” oder das “ClientAccessArray” hinterlegt.

Outlook verbindet sich mit RPC/TCP zu dem CAS Server.

(Diese Anzeige in Outlook 2010 sieht erst so aus ab SP2 KB2687521 und Oktober 2015 PU KB3085604 )

Die restlichen Services werden über die URLs welche von der XML File geliefert werden angesteuert. Desweiteren führt Outlook bei jedem start und alle 60 Minuten ein Autodiscover durch um ggf. zwischenzeitliche Änderungen in den Einstellungen zu übernehmen.

 

Outlook wird gestartet und es wir direkt der RPC Punkt angesprochen ( Zeile 8.. )

 

 

Extern:

Damit sich ein Client von extern ohne VPN Verbinden kann, muss Outlook Anywhere in der Organisation aktiviert werden.

Der Client versucht sich über RPC/TCP mit dem im Outlook Profil hinterlegten “RpcClientAccessServer” oder “ClientAccessArray” zu verbinden. Da dies von extern nicht möglich ist wechselt er zu RPC/HTTP     ( Outlook Anywhere ) über. Damit werden die RPC Packete in das HTTP Protokoll verpackt.

Die Einstellungen hierzu erhält er auch der Autodiscover.xml, welche hier definiert werden:

 

Hier habe ich bei dem Client einmal den “RpcClientAccessServer” IP in der Host Datei abgeändert, damit der Client den CAS Server nicht mehr erreichen kann.

Nach dem start von Outlook versucht der Client sich zu dem RPC Server zu verbinden ( Zeile 13 .. – 172.16.21.222 – ausgedachte fake IP.. )

Nachdem dies nicht gelingt versucht er es über Outlook Anyhwhere ( Zeile 21 .. – mail.rehbergerold.de )

Dies klappt und er baut dann eine Verbindung auf ( Zeile 40.. )

Outlook ist nun über RPC/HTTP ( Outlook Anywhere ) verbunden

Autodiscover Service Connection Point / Exchange SCP

Der Service Connection Point ist ein Eintrag im Active Directory, der von einem Outlook Client genutzt werden kann, um eine Quelle zu finden, über die er das “Autodiscover.xml” File beschaffen kann.

Anschauen kann man ihn sich unter AD Standorte und Dienste ( Ansicht > Dienstknoten anzeigen aktivieren ) unter “Services/Microsoft Exchange/EXOrga/Administrative Groups/Exchange Administrative Group/Servers/EXServer/Protocols/Autodiscover/EXServer

Oder über die Powershell:

Get-ClientAccessServer -Identity Server | fl

Unter dem Punkt “AutoDiscoverServiceInternalUri”.

 

Möchten man den SCP abändern lässt sich dies über die Powershell ausführen.

Set-ClientAccessServer -Identity Server -AutoDiscoverServiceInternalUri https://autodiscover.domain.com/Autodiscover/Autodiscover.xm

Wichtig:

  • Wird der Eintrag angepasst, muss sichergestellt sein, dass der FQDN auf dem Zertifikat, welches auf dem Exchange Server hinterlegt ist, enthalten ist. Sonst bekommen die Outlook Clients beim starten eine Zertifikatswarnung.  Das heißt wenn der Eintrag zum Beispiel auf “https://autodiscover.rehberger.de/Autodiscover/Autodiscover.xml” abgeändert wird, MUSS auf der Eintrag “autodiscover.rehberger.de” auf dem Zertifikat vorhanden sein.
  • Der SCP kann einer Active Directory Site zugwiesen werden. Damit kann in größeren Firmen mit mehreren Standorten und Exchange Servern pro Standort gesteuert werden, welchen SCP der Client nutzt.
  • Nachdem der AutodiscoverServiceInternalUri angepasst wurde muss der IIS neugestartet werden und die Domänen Controller müssen repliziert werden.

 

Autodiscover / Outlook Autodiscover / Outlook Postfach Einrichtung

Autodiscover ist ein Mechanismus, der u.a. von Outlook genutzt wird, um ein Outlook Profil so einzurichten, das dieses mit dem Exchange Postfach verbunden ist.

Mithilfe von Autodiscover bezieht der Client ( von einem CAS Server ) das “Autodisocover.xml” File, in dem sich für ihn alle wichtigen Informationen der Exchange Anbindung befinden.

In dem “Autodiscover.xml” ist enthalten:

  • Der Benutzer Anzeige Name
  • Verbindungseinstellungen für interne und externe Verbindungen
  • Location der Benutzer Mailbox ( der Server der gerade die Aktive Datenbank hostet )
  • URLs für Free/Busy, OAB, Unified Messaging
  • Outlook Anywhere Einstellungen

 

Zusammen gefasst nutzt Outlook Autodiscover für:

  • Outlook Profil einzurichten oder Outlook Profil zu updaten
  • Regelmäßige überprüfung der Web Service URLs
  • Änderungen der Netzwerkverbindungen

 

Um das “Autodiscover.xml” File zu erhalten prüft Outlook drei Möglichkeiten, welche in folgender Reihenfolge abgefragt werden:

  1. Outlook sucht im Active Directory nach einem SCP ( Service Connection Point ) gelingt dies nicht geht es über zu Punkt zwei.
  2. Outlook versucht “https://domain.com/Autodiscover/Autodiscover.xml zu erreichen, gelingt dies nicht geht es über zu Punkt drei.
  3. Outlook versucht “https://autodiscover.domain.com/Autodiscover/Autodiscover.xml” zu erreichen
  4. Führt dies nicht zum erfolg wird Punkt 2. und 3. wieder mit HTTP redirect probiert.
  5. Als letztes probiert Outlook es über SRV Records

Für die Anfragen aus Punkt 2. und 3. nutzt Outlook immer die Domänen Endung von der SMTP Adresse ( in dem Beispiel oben wäre die Email Adresse also “max.mustermann@domain.com” )

Der SCP befindet sich im Active Directory. Erstellt wird er bei der Exchange Server installation. Es gibt pro CAS Server einen SCP. Per default ist dort der FQDN des Servers hinterlegt.

Mehr zum SCP befindet sich hier: https://deer-it.de/autodiscover-service-connection-point-exchange-scp/

 

Ausschnitt einer Ersteinrichtung eines Outlook Profils:

 

In diesem Beispiel ist der mitgeteilte SCP Endpunkt Server nicht erreichbar:

Client hat den SCP erhalten und löst den Namen auf, um sich mit ihm zu verbinden.

Er erhält keine antworten auf seine Anfragen..

Der Outlook Client schwenkt um und versucht es über eine “autodiscover.domain.com” oder SRV Record abfrage…

 

In diesem Beispiel ist der mitgeteilte SCP Endpunkt Server erreichbar:

Outlook verbindet sich dort hin und fordert das “Autodiscover.xml” File an.

 

Damit ist das Outlook Postfach eingerichtet.

Immer wenn Outlook gestartet wird frägt es erneut das “Autodiscover.xml” File an, um zu überprüfen, ob noch alle Einstellungen korrekt sind.

 

RPC/TCP – RPC/HTTP – Outlook Anywhere – MAPI/HTTP – Unterschied

Die einzelnen Transportprotkolle vereinfach dargestellt:

 

Jede Outlook Verbindung benutzt MAPI. MAPI-Aufrufe basieren immer auf Remoteprozeduraufrufen (RPC). RPC wird einfach genutzt um MAPI für die Kommunkation zu verpacken.

– RPC/TCP ist nur für die interne Kommunikation. Unterstütze Version Exchange 2010, 2007 und 2010.

– RPC/HTTP benutzt HTTP für die MAPI Kommunikation. Externe Kommunikation ist unterstüzt. Unterstütze Versionen sind Exchange 2016, 2013, 2010, 2007, 2003.

Exchange 2013 direkt nutzt RPC/HTTP – ( RPC/TCP ist bei Exchange 2013 nicht verfügbar )

– MAPI/HTTP wurde mit Exchange 2013 SP1 CU4 eingeführt. Dadurch wird MAPI nur in HTTP verpackt. ( Muss in der Organisation aktiviert werden )

Im Bild wird bei dem User unten der Outlook Zugriff über das interne Netzwerk durchgeführt.

Oben bei dem User wird über das Internet zugegriffen.