Hallo zusammen, 

ich hab unseren Exchange2013 wie von FrankysWeb empfohlen eingerichtet und konfiguriert. Der läuft auch schon eine weile ohne Probleme. 

Heute habe ich mal wieder ein Problem angegangen, welches mich beim Verbinden mit den Handys bei diesem Server trifft. Beim Servername wird immer firma.de verteilt und nicht mail.firma.de. Außerdem muss ich bei der GMail App immer firma\vorname.nachname eintragen, weil er das irgendwie nicht selber macht.

Bei einem anderen Exchange den ich genau so eingerichtet habe, funktioniert es aber.

Ich habe also irgendwo eine Einstellung übersehen.

Die Einrichtung von Outlook funktioniert sauber. Hier frägt er aber immer noch nach User & PW. D.h. SSO geht irgendwie noch nicht richtig. Outlook Anywhere geht aber einwandfrei.

Meine Frage:
- Wo wird der Eintrag gesetzt, welcher über Autodiscovery verteilt wird?

Habt Dank!
Grüße
Leon

Guten Abend

Ich konnte leider das KB5000871 nicht installieren, da mir noch das CU23 fehlt. CU23 lässt sich allerdings aufgrund fehlender Berechtigung auf den Pfad "C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth" fehlt. 

Nach etwas Recherche und Tracking bin ich überzeugt, dass es den Exchange Server erwischt hat. Die Berechtigungen stimmen nicht mehr mit denen auf dem Backup von vor zwei Wochen überein. Zudem wurde gestern ein verdächtiges ASPX File von Kaspersky gefunden und in die Quarantäne verschoben. Nun die Frage:

Wie kann ich -ohne den Sicherheitspatch zu installieren- die bereits von der Infektion getätigten Änderungen rückgängig machen? Gibt es dazu irgend einen Artikel? Habe leider trotz intensiver Suche nichts gefunden. 

Vielen Dank schon im Voraus.

Hallo Technet-Community,

wie schon im Titel erklärt können über meinen Exchange 2019 interne E-Mail problemlos gesendet und empfangen werden, allerdings können von externen Adresses keine Mails empfangen werden. Senden zu externen Adressen geht auch ohne Probleme.

Wir haben einen Windows Server 2019 mit zwei virtuellen Maschinen. Einmal den Domaincontroller und einmal den Exchange 2019. Beides sind auch Windows Server 2019 Betriebssysteme.

Bei Strato haben wir eine URL, die auf unsere feste öffentliche IP-Adresse zeigt. Vom Router wird diese weitergegeben auf den Exchange Server.

Per Handy von außen Mails reinsenden funktioniert auch ohne Probleme.

Habt ihr einen Lösungsansatz für mich? Ich bin grad am verzweifeln und wäre über alles dankbar.

Schon mal vielen Dank im voraus
Andi

Hallo zusammen,

auf Grund der aktuellen Bedrohung der Exchange Server habe ich neben dem Skript „Test-ProxyLogon.ps1“ (was zum anzeigt, dass nichts Verdächtiges vorliegt) auch mal das aktuelle Skript „HealthChecker.ps1“ (v 3.3.3) auf unsere „Exchange 2016 CU19“ (VM`s) ausgeführt.

Hier wurden mir diverse Meldungen angezeigt.

1. Warning a reboot is pending and can cause issues on the server.
   • Am System selbst wird mir aber nicht angezeigt das ich neustarten muss und nach dem Security Patch hatte ich auch einmal ein Reboot durchgeführt.

1. Warning: Enabling RSS is recommended.
   • Damit kann ich rein Garnichts anfangen

1. Warning: It's recommended to disable NIC power saving options

1. TCPKeepAlive - Not Set Error: Without this value the KeepAliveTime defaults to two hours, which can cause connectivity and performance issues between network devices such as firewalls and load balancers depending on their configuration.
   • Wir haben einen Loadbalancer von KEMP vor den Exchange Server und da ist das Timeout auf 660 im Standard

1. CVE-2020-1147 See: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1147
   • Hier wird wohl der Update Stand vom .Net angemeckert. Wir haben damals auf Grund der Abhängigkeit der .Net Version keine Updates für Exchange Server für .Net aktiviert bzw. lassen diese freigeben. In der Registry bei uns steht die Version „4.8.03761“.

Müssten wir dann von Hand dies hier installieren?

„2020-10 Cumulative Update for Windows Server 2016 for x64-based Systems (KB4580346)“

Hat jemand Erfahrung mit diesen Aussagen vom Skript „HealthChecker.ps1“ und eine Empfehlung was man einstellen sollte und was eher nicht?

Vielen Dank vorab für Tipps und Antworten.

MfG Paul

Hallo zusammen!

Vorhanden ist EX2016 auf SRV2016 und Win 10 Ent als Client, Office 2016.
I-Net über eine Sophos-UTM, die als Proxy fungiert.

Die Proxy-Einstellungen verteile ich über eine proxy.pac an meine Clients.

Wenn ich in der .pac nur auf den Proxy verweise, funktioniert Autodiscover nicht,
daher sieht meine .pac wie folgt aus. Ohne die 3 Ausnahmen = kein Autodiscover.

Nun wollen wir MS Teams einsetzen und ich bin daher auf das PS-Script "get-pacfile" gestoßen,
das eine fertige PAC-Datei mit allen MS-Adressen holt, die für die Nutzung von MS Teams
bzw. MS 365 direkt, also ohne Proxy, genutzt werden sollen (Proxy-Ausnahme).

Wenn ich nun diese "O365.pac" an Stelle meiner o.g. .pac verwende, funktioniert mein Autodiscover
TROTZDEM bzw. OBWOHL meine Ausnahmen (s. oben) in dieser Datei nicht enthalten sind, und das verstehe ich nicht.
Kann dazu jemand was sagen bzw. hat dazu jemand eine Idee?

Die über das Script bezogene .pac sieht wie folgt aus:

Hallo liebe Helfer,

ich habe einen Exchange Server 2016 mit zwei Adressbuchrichtlinien. Jede Adressbuchrichtlinie hat eine eigene GAL und zwei Adresslisten. Wenn jetzt eine universelle Verteilergruppe erstellt wird, welche neben Exchange Postfaechern auch im Exchange angelegte Kontakte fuer externe Empfaenger enthaelt, sieht man diese nicht beim Erstellen einer E-Mail wenn man die Mitglieder mit dem "+" aufklappt. Fuege ich die Kontakte zu der GAL der Adressbuchrichtlinie hinzu werden die Kontakte aufgelistet. Soweit so gut, logischerweise tauchen diese  jetzt aber auch in der GAL auf was nicht gewuenscht ist. Blende ich die Kontakte aus den Adresslisten aus, tauchen diese aber nicht mehr beim Aufgliedern der Verteilerliste auf. Hat jemand eine Idee was ich falsch mache oder was ich aendern muss?

Danke und Gruss Marc

moin,

kann bitte jemand nachsehen ob ihr dieses Verzeichnis bei eurem Exchange habt und ob es im ECP Script Dateien gibt?

C:\inetpub\temp\IIS Temporary Compressed Files\MSExchangeECPAppPool\$^_gzip_C^\PROGRAM FILES\MICROSOFT\EXCHANGE SERVER\V15\CLIENTACCESS\ECP

Chris

Hallo zusammen, 

auf Grund des aktuellen Angriffs auf Exchange-Umgebungen wollen wir OWA abstellen. Allerdings habe ich nur eine Anleitung gefunden wo man bei einem einzelnen Postfach OWA abschalten kann. Gibt es eine Möglichkeit generell für alle das OWA abzuschalten ohne dass ich jeden Benutzer anpacken muss?

Vielen Dank für Eure Hilfe im Voraus.

Viele Grüße

Tom

Hallo Zusammen,

wir haben den Auftrag bekommen, bestimmte Verteilergruppen einzuschränken:

1. Sollen nur noch bestimmte Absender E-Mails über den Verteiler schicken können
2. Die Möglichkeit, die Empfänger in Outlook aufzuklappen, soll deaktiviert werden

1. Kann man natürlich durch eine Moderation oder globale Nachrichtenregel oder ähnlich lösen.

2. Wie könnte man verhindern, dass man den Verteiler in Outlook aufklappen kann? Ich habe mal getestet, was passiert, wenn man einen Verteiler vor dem eigentlichen Verteiler stellt. Hier scheint es dann tatsächlich so zu sein, dass nur der erste Verteiler als Absender angezeigt wird. Allerdings kann man den dann wieder aufklappen und den eigentlichen Verteiler sehen.

Dazu kommt noch, dass wir die E-Mail Adresse der eigentlichen Verteiler, gar nicht ändern können, weil die an sehr vielen Stellen eingebunden sind. Also könnte man darüber auch wieder die Empfänger in Outlook aufklappen.

Wie habt Ihr das Problem gelöst? Gibt es hier elegantere Wege?

Viele Grüße

Manuel

Hallo Zusammen,

wir würden gerne bestimmte Verteilergruppen einschränken:

1. Sollen nur noch bestimmte Absender E-Mails über den Verteiler schicken können
2. Die Möglichkeit, die Empfänger in Outlook aufzuklappen, soll deaktiviert werden

1. Kann man natürlich durch eine Moderation oder globale Nachrichtenregel oder ähnlich lösen.

2. Wie könnte man verhindern, dass man den Verteiler in Outlook aufklappen kann? Ich habe mal getestet, was passiert, wenn man einen Verteiler vor dem eigentlichen Verteiler stellt. Hier scheint es dann tatsächlich so zu sein, dass nur der erste Verteiler als Absender angezeigt wird. Allerdings kann man den dann wieder aufklappen und den eigentlichen Verteiler sehen.

Dazu kommt noch, dass wir die E-Mail Adresse der eigentlichen Verteiler, gar nicht ändern können, weil die an sehr vielen Stellen eingebunden sind. Also könnte man darüber auch wieder die Empfänger in Outlook aufklappen, wenn bereits bekannt.

Wie habt Ihr das Problem gelöst? Gibt es hier elegantere Wege?

Viele Grüße

Manuel

Servus Community,

am 05.03 wurde auf unserem Exchange-Knoten (Exchange 2016 CU14), der aus dem Internet erreichbar ist, die Backdoor aus dem Hafnium Exploit installiert. Die Lücke wurde von uns am 10.03 gepatcht und seitdem bin ich auf der Suche nach eventuellen Post-Exploit Aktivitäten. Im MSExchange Management Log habe ich ab dem 05.03 bis Ende 06.03 recht ungewöhnliche Logeinträge gefunden:

Beim OAB habe ich sogar eine erfolgreiche Ausführung des CMD-Lets gefunden:

Diese Einträge habe ich vor dem 05.03 nicht gefunden.

• Besteht da ein kausaler Zusammenhang mit dem Hafnium Exploit?
• Welche Ziele wurden mit dem Absetzen der Kommandos konkret verfolgt?
• Gibt es Stellen wo man weiter suchen kann, um die og Ziele zu verfolgen?

Sind im Allgemeinen weitere Post-Exploit Aktivitäten bekannt, die man prüfen sollte?

Thx & Bye Tom

Hallo,

wie wertet man Ergebnisse aus diesem Test-ProxyLogon Script bzg. eines HAFNIUM Angriffs aus?

ProxyLogon Status: Exchange Server MAIL-CONTOSO
  Log age days: Oabgen -204,0 Ecp -234,5 Autod -204,0 Eas -204,0 EcpProxy -204,0 Ews -204,0 Mapi -204,0 Oab -204,0 Owa -
204,0 OwaCal -204,0 Powershell -204,0 RpcHttp -204,0
  Report exported to: C:\Users\administrator.contoso\Desktop\Test-ProxyLogonLogs\MAIL-CONTOSO-LogAgeDays.csv
  [CVE-2021-26855] Suspicious activity found in Http Proxy log!
  Report exported to: C:\Users\administrator.CONTOSO\Desktop\Test-ProxyLogonLogs\MAIL-CONTOSO-Cve-2021-26855.csv

  Other suspicious files found: 37
  Report exported to: C:\Users\administrator.CONTOSO\Desktop\Test-ProxyLogonLogs\MAIL-CONTOSO-other.csv

Wurde die Sicherheitslücke CVE-2021-26855 schon ausgenutzt? Oder können es auch nur Angriffsversuche sein?

MAIL-CONTOSO-Cve-2021-26855

#TYPE Selected.System.Management.Automation.PSCustomObject"DateTime","RequestId","ClientIpAddress","UrlHost","UrlStem","RoutingHint","UserAgent","AnchorMailbox","HttpStatus""2021-03-03T07:39:35.462Z","ada06ff2-b086-40c6-a822-fdf2f81ab3a0","86.105.18.116","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-03T11:11:25.805Z","817af99f-9b83-4e7b-921d-e1b9a95e7f9d","86.105.18.116","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-03T15:23:59.081Z","56326087-b648-43e9-b71e-2092f2b74c7a","182.18.152.105","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:26.723Z","f4cbde07-a6f0-4f01-9aae-a8b5f5372e04","210.91.184.216","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:30.112Z","cebf0739-c792-456d-9243-f6ee3cdaed5e","210.205.231.232","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:33.980Z","d7dbd637-c510-415a-9534-3c5541895af3","42.151.105.181","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:37.428Z","c92d71ce-7874-4474-9729-d0b872b3779e","14.245.75.119","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:40.857Z","5465f3e9-55d7-4b4d-bb57-69769a0c6b67","180.66.215.223","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:44.507Z","34a1a4f7-8e42-4b99-a3bc-d125bc3f36e6","1.236.112.189","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:49.231Z","c8e01a1e-e88b-44a8-87ee-93f2dba07c58","190.95.77.16","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:53.912Z","2b1aacd9-f468-4bbf-953b-5f4c21cab4cb","188.247.67.170","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:58.555Z","8ad6a336-935f-4f06-b030-fc8971758447","61.64.84.161","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:43:02.600Z","0185a9e8-8a41-438d-9bd1-8e8ff429087d","138.97.130.237","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:43:07.797Z","af1c98ec-a273-480b-b484-54fe21fe0a57","186.6.251.102","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:43:12.372Z","f38f298a-2921-4f9d-91f3-2f4499e8929d","117.221.225.135","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:43:14.830Z","a4f47a75-113a-4401-98e5-585c5839f7ac","46.118.55.181","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:18.362Z","009b70aa-11b0-4f4e-ab5b-c2482d886453","116.124.119.65","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:21.653Z","ecd358b1-8936-4552-a47d-bc70a1980f79","92.101.162.223","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:26.497Z","14b3fe8d-f594-4338-80c6-518d9bed4611","218.250.97.107","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:33.724Z","b7bf44a0-bf75-4d67-9e43-768236f3ab27","114.30.167.106","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:37.185Z","32ffe416-793f-4bac-b1da-4d8cf2be2522","112.169.159.60","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:42.085Z","d355bbbb-a5f9-482c-81c0-6638d765a7df","213.112.125.55","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:44.535Z","63aebe7b-14d5-4749-9902-4bbafd58f80e","35.135.236.173","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:49.298Z","d5cd3b2e-b755-4ea7-abba-b470ca923fe0","177.87.40.62","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-06T17:12:56.431Z","21033199-faa8-46ad-86f8-a16372d1f9d5","141.164.40.193","XXX.XXX.XXX.XXX","/ecp/x.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~akak]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-06T21:51:42.602Z","c10b976e-ebde-42e2-8bb6-24f41aa855a5","172.105.87.139","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-06T21:51:42.648Z","7e9c69b8-cea1-46bc-a849-cfb9df5f3746","172.105.87.139","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-07T00:58:02.968Z","0a96d1e5-4ba6-4a9b-90e1-1ddcbdaf67b0","104.225.219.16","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-07T01:06:08.437Z","9d394dcb-cb18-4dc9-b317-6abbc796c912","159.89.95.163","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 zgrab/0.x","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-07T14:43:44.184Z","384126fa-9fc8-4e2a-875a-cbb26d09341e","5.189.162.164","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/69.0.3497.81 Safari/537.36","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-07T19:49:53.919Z","51ab819e-801a-4214-9ccf-ab6dbbd4ff5e","104.225.219.16","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-08T02:20:30.211Z","9e695271-e8e0-4edd-9102-814e680e5730","5.189.181.43","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/69.0.3497.81 Safari/537.36","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-08T09:18:48.692Z","11ca37a4-81ad-4ff4-9d41-6aef80fa21e6","128.90.21.223","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/41.0.2228.0 Safari/537.36","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-08T12:09:47.646Z","feb5c64e-45f6-4795-9ef9-5cf8f5bd92a9","128.90.21.223","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30)","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-08T13:33:44.513Z","89bc0c34-60e5-4a2b-8242-fbef8044cf16","35.198.94.7","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/88.0.4324.182 Safari/537.36 Edg/88.0.705.81","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-09T00:06:36.137Z","95a73f87-a9da-4b1f-a06d-d39f638edba3","71.6.135.131","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-07T00:58:02.971Z","0a96d1e5-4ba6-4a9b-90e1-1ddcbdaf67b0","104.225.219.16","mail.contoso.de","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)","ServerInfo~localhost/ecp/default.flt?","500""2021-03-07T01:06:08.438Z","9d394dcb-cb18-4dc9-b317-6abbc796c912","159.89.95.163","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 zgrab/0.x","ServerInfo~localhost/ecp/default.flt?","500""2021-03-07T08:51:38.796Z","147b39f5-2013-4bf4-baad-abfa6eb2edf5","198.46.233.13","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/74.0.3729.108 Safari/537.36","ServerInfo~burpcollaborator.net/ecp/default.flt?","200""2021-03-07T14:43:44.185Z","384126fa-9fc8-4e2a-875a-cbb26d09341e","5.189.162.164","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/69.0.3497.81 Safari/537.36","ServerInfo~localhost/ecp/default.flt?","500""2021-03-07T16:52:31.396Z","4a8fa7c9-5c04-477b-aba5-436f66495cd2","185.173.235.54","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/74.0.3729.108 Safari/537.36","ServerInfo~burpcollaborator.net/ecp/default.flt?","200""2021-03-07T19:49:53.920Z","51ab819e-801a-4214-9ccf-ab6dbbd4ff5e","104.225.219.16","mail.contoso.de","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)","ServerInfo~localhost/ecp/default.flt?","500""2021-03-08T02:20:30.213Z","9e695271-e8e0-4edd-9102-814e680e5730","5.189.181.43","mail.contoso.de","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/69.0.3497.81 Safari/537.36","ServerInfo~localhost/ecp/default.flt?","500""2021-03-08T09:18:48.693Z","11ca37a4-81ad-4ff4-9d41-6aef80fa21e6","128.90.21.223","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/41.0.2228.0 Safari/537.36","ServerInfo~localhost/ecp/default.flt?","500""2021-03-08T12:09:47.648Z","feb5c64e-45f6-4795-9ef9-5cf8f5bd92a9","128.90.21.223","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30)","ServerInfo~localhost/ecp/default.flt?","500""2021-03-08T13:33:44.514Z","89bc0c34-60e5-4a2b-8242-fbef8044cf16","35.198.94.7","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/88.0.4324.182 Safari/537.36 Edg/88.0.705.81","ServerInfo~localhost/ecp/default.flt?","500""2021-03-09T00:06:36.137Z","95a73f87-a9da-4b1f-a06d-d39f638edba3","71.6.135.131","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0","ServerInfo~localhost/ecp/default.flt?","500""2021-03-09T00:44:02.715Z","48deb27c-8221-4f7f-a71f-039c96821fe3","193.160.32.138","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/74.0.3729.108 Safari/537.36","ServerInfo~burpcollaborator.net/ecp/default.flt?","200"

Gruß

SirNibo

Habe eine Anfrage von einem Kunden erhalten, dessen Exchange Server 2013 unter Windows 2008 R2 war am 03.03. (wurde noch am selben Tag gepatched) vom Internet her erreichbar (Port 443), JEDOCH war der Admin-Modus mit "Set-EcpVirtualDirectory -Identity"my-exchange\ecp (Default Web Site)" -AdminEnabled $false" auf DISABLED gesetzt.

Im Log-File hat der Kunde nur diese 2 Einträge (leider vor dem Patchen) gefunden:

"2021-03-03T08:02:42.208Z","214f76d3-9645-47e3-9001-a2487560f75e","xx.xx.xx.xx","exchange1.xxxxx.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@my-exchange.locdomain.loc:444/autodiscover/autodiscover.xml?#","200"
"2021-03-03T11:30:03.202Z","86a15a31-eb7a-417a-a54d-ee3dbe973235","xx.xx.xx.xx","exchange1.xxxxx.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@my-exchange.locdomain.loc:444/autodiscover/autodiscover.xml?#","200"

Eine Überprüfung mit MSERT ergab keine Funde -> alles OK. Anscheinend auch keine Veränderungen an den Files auf den ersten Blick.

Unter IIS-IUSRS wurde folgender Eintrag (siehe Bild unten) gefunden.

Ich selbst unterhalte in einer Testumgebung auch einen Exchange Server 2013 und da ist dieser Eintrag interessanterweise nicht vorhanden.

Kann dieser Eintrag durch o.a. Zeilen im Log entstanden sein, bzw. hat jemand von Euch diesen Eintrag auch unter IIS-IUSRS stehen (mit einem 'sauberen' Log) ?
...bzw. kann dieser Eintrag gefahrlos gelöscht werden (nicht dass dieser Eintrag vielleicht für die Funktionalität des Servers notwendig ist) ?

Hallo ,

ich bin gerade an einer Exchange Migration von 2010 auf 2019. Imn ersten Schritt habe ich alles auf 2013 migriert. Auf den ersten Blick hat alles geklappt. Aber nun sind Probleme aufgetreten. Selbst interne Mails brauchen ewig bis sie zugetsellt werden. Von Kopierern die Mails versenden können werden auch sporadisch immer wieder Fehler generiert. Ich habe ein Get-HealthReport laufen lassen. Dort wird Network, Outlook und Compliance als Unhealthy ausgegeben. Im Log habe ich immer wieder folgende Fehler:

 HealthSet Compliance 

   Subject Fehler von ComplianceOutlookLogonToArchiveRpcCtpMonitor auf SERVERNAME. 

   Message Fehler bei Schritt EMSMDB.Connect() von ComplianceOutlookLogonToArchiveRpcCtpProbe/Mailbox Database 0652625243 für den Proxyvorgang von SERVERNAME.domaion.local zu Unknown für HealthMailboxbccb741ba9c84e3db3ec8bbc45dabf51@biberach-baden.de. 
   Wartezeit: 00:01:24.0510000 ActivityContext: Gliederung: [32]12.03.2021 19:31:11 Überprüfung der RpcProxy-Konnektivität; [84018]12.03.2021 19:31:11 [FAILED!] EMSMDB.Connect(); 
   Wahrscheinliche Fehlerursache: UnknownIssue 
   Details: Fehler: Error 0x6bf (Der Remoteprozeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt) from ClientAsyncCallState.CheckCompletion: RpcAsyncCompleteCall EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Status: 0x000006BF EEInfo: Detection location: 1710 EEInfo: Flags: 0 EEInfo: NumberOfParameters: 1 EEInfo: prm[0]: Long val: 0 (0x00000000) EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Status: 0xC002100A EEInfo: Detection location: 1464 EEInfo: Flags: 0 EEInfo: NumberOfParameters: 0 Protokoll: Überprüfung der RpcProxy-Konnektivität Von der Task erzeugte Ausgabe - TaskStarted = 12.03.2021 19:31:11 - TaskFinished = 12.03.2021 19:31:11 - ErrorDetails = - Latency = 00:00:00.0326243 - RequestUrl = http://SERVERNAME.domaion.local/rpc/rpcproxy.dll?518524ca-3aa8-488e-94e3-014562d53569@biberach-baden.de:6001 - ResponseStatusCode = OK - RequestedRpcProxyAuthenticationTypes = ntlm - RespondingHttpServer = SERVERNAME - RespondingRpcProxyServer = SERVERNAME.domaion.local - ResponseHeaderCollection = request-id: b93795b6-e263-45e6-9c5f-3ccdb3a7ab9b X-CalculatedBETarget: SERVERNAME.domaion.local X-DiagInfo: SERVERNAME X-BEServer: SERVERNAME Persistent-Auth: true X-FEServer: SERVERNAME Connection: close Content-Length: 20 Cache-Control: private Content-Type: application/rpc Date: Fri, 12 Mar 2021 18:31:11 GMT Server: Microsoft-IIS/8.5 X-AspNet-Version: 4.0.30319 X-Powered-By: ASP.NET Überprüfung der RpcProxy-Konnektivität erfolgreich abgeschlossen. Überprüfung der Postfachanmeldung EMSMDB.Connect() Von der Task erzeugte Ausgabe - TaskStarted = 12.03.2021 19:31:11 - TaskFinished = 12.03.2021 19:32:35 - Exception = Microsoft.Exchange.Rpc.RpcException: Error 0x6bf (Der Remoteprozeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt) from ClientAsyncCallState.CheckCompletion: RpcAsyncCompleteCall EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Status: 0x000006BF EEInfo: Detection location: 1710 EEInfo: Flags: 0 EEInfo: NumberOfParameters: 1 EEInfo: prm[0]: Long val: 0 (0x00000000) EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Status: 0xC002100A EEInfo: Detection location: 1464 EEInfo: Flags: 0 EEInfo: NumberOfParameters: 0 bei Microsoft.Exchange.Rpc.ClientAsyncCallState.CheckCompletion() bei Microsoft.Exchange.Rpc.ExchangeClient.ClientAsyncCallState_Connect.End(IntPtr& contextHandle, TimeSpan& pollsMax, Int32& retryCount, TimeSpan& retryDelay, String& dnPrefix, String& displayName, Int16[]& serverVersion, ArraySegment`1& segmentExtendedAuxOut) bei Microsoft.Exchange.Rpc.ExchangeClient.ExchangeAsyncRpcClient.EndConnect(ICancelableAsyncResult result, IntPtr& contextHandle, TimeSpan& pollsMax, Int32& retryCount, TimeSpan& retryDelay, String& dnPrefix, String& displayName, Int16[]& serverVersion, ArraySegment`1& segmentExtendedAuxOut) bei Microsoft.Exchange.RpcClientAccess.Monitoring.EmsmdbClient.ConnectCallContext.OnEnd(ICancelableAsyncResult asyncResult) bei Microsoft.Exchange.RpcClientAccess.Monitoring.ClientCancelableCallContext`1.<InternalEnd>b__3(ICancelableAsyncResult r) bei Microsoft.Exchange.RpcClientAccess.Monitoring.ClientCancelableCallContext`1.DeferExceptions[TArgIn](Action`1 guardedAction, TArgIn arg) - ErrorDetails = - RequestUrl = http://SERVERNAME.domaion.local/rpc/rpcproxy.dll?518524ca-3aa8-488e-94e3-014562d53569@biberach-baden.de:6001 - RespondingHttpServer = <null> - RespondingRpcProxyServer = <null> - ResponseHeaderCollection = - ResponseStatusCode = 0 - ResponseStatusCodeDescription = <null> - RequestHeaderCollection = - Latency = 00:01:24.0184974 EMSMDB.Connect() fehlgeschlagen. Von der Task erzeugte Ausgabe - TaskStarted = 12.03.2021 19:31:11 - TaskFinished = 12.03.2021 19:32:35 - Exception = Microsoft.Exchange.Rpc.RpcException: Error 0x6bf (Der Remoteprozeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt) from ClientAsyncCallState.CheckCompletion: RpcAsyncCompleteCall EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Sta 

   Monitor ComplianceOutlookLogonToArchiveRpcCtpMonitor

Kann mir da jemand helfen? Ich weiß nicht so richtig wo ich da weiter forschen kann

Vielem Dank schon im Voraus

Liebes Forum,

ist es sinnvoll, nicht nur wegen "Hafnium", sondern überhaupt, des "Namen" für OWA zu ändern?

Also von https://[mail-domain]/owa

zu so etwas wie

https://[mail-domain]/apfelbaum

das keinerlei Bezug zu Exchange oder OWA hat.

Oder ist der owa-Name sowieso durch eine Abfrage an den Exchange-Server/IIS herauszubekommen?

Viele Grüß
Davorin

Hallo,

bei einem Kunden musste ich nun feststellen, dass scheinbar in der Outlook-APP auf Smartphones o. Tablets, freigegebene Kalender anderer Benutzer nicht angezeigt werden können.

Dies scheint im speziellen dann so zu sein, wenn es sich um einen "On Premises Exchange" handelt und somit um keinen Exchange aus der M365-Cloud.

Bei einem Exchange aus der M365-Cloud kann man in der APP nach Personen suchen und die Kalender dann je nach Berechtigung hinzufügen, hierzu gibt es ja sogar eine Anleitung von Microsoft im Netz. Bei lokal installierten Exchange scheint dies aber nicht zu funktionieren.

Dieser Button mit Personen suchen fehlt aber komplett bei Kunden ohne Exchange aus der Cloud sondern eben bei lokal installierten Exchange-Systemen. Dies konnte ich sowohl bei Exchange Server 2019 sowie 2016 testen.

Scheint immer der Fall zu sein.

Kann diese Thematik durch Jemanden bestätigt werden? Bzw. ist das bei euch auch so?

Wenn ja, dann natürlich die Frage, ob das jemand ändern konnte, denke aber, dass sich hier der Cloud-Exchange von Microsoft von der lokal installierten Variante unterscheidet.

Hallo zusammen,

ich weis nicht ob ich hier im Bereich Exchange richtig bin.

ich habe folgendes Problem:

Umgebung: 2016er AD mit 2016er Exchange und Outlook 2016

Ein Postfach:

Anzeigename:TestPostfach

Hauptadresse: aaa@test.de 

Alias: bbb@test.de, ccc@test.de

Wenn ich jetzt von Outlook (absender@test.de) eine EMail an bbb@test.de versende ( versenden möchte ) ändert Outlook automatisch die eingegebene E-Maladresse in den Anzeigenamen TestPostfach und ändert die an-Adresse in aaa@test.de

Frage: Wie kann man dem System dies abgewöhnen ? Wir benötigen die eingegebene E-Mailadresse in der empfangenen EMail und darf nicht geändert werden, da darauf Auswertungen laufen.

Ich bin für jeden Tipp dankbar.

Gruß, Carsten

Hallo,

ich habe eine Frage. Wenn Kollegen bei uns längere Zeit abwesend sind (Mutterschutz, Elternzeit - diese Kategorie) wird bei uns der Nutzer aus dem Adressbuch ausgeblendet und die Narichtenzustellung für das Postfach gesperrt - es sollen eben keine Mails mehr in das PF eingehen. 

Wenn nun ein Nutzer, intern oder extern, eine Mail an das PF schreibt bekommt er die Meldung.

Ihre Nachricht kann nicht zugestellt werden, weil Sie keine Berechtigung zum Senden an diese E-Mail-Adresse besitzen. Bitten Sie den Administrator des E-Mail-Empfängers, Ihnen Berechtigungen zu erteilen, und versuchen Sie es dann noch mal. Weitere Informationen zu diesem Problem finden Sie unter DSN-Code 5.7.1 in Exchange Online.

Kann ich das irgendwie anders steuern?

Mein Hintergrund ist, dass ich dem Sender gerne eine Mail antworten möchte in der Form:

Vielen Dank...im Moment nicht erreichbar...bei Fragen telefonisch: 02255 - 111 222 333. .

Mir ist bekannt, dass man die DSN Code anpassen kann. Aber dann bekommt ja auch ein Nutzer die angepasste Meldung wenn er an eine Verteilergruppe schreibt an die er nicht mailen darf.

Wie macht ihr das? Gibt es einen anderen Weg? Danke für Tipps.

Toni

Hallo,

ich habe ein einem Netzwerk gemäß https://www.frankysweb.de/erweiterung-der-kleinen-exchange-organisation-teil-3/ einen zusätzlichen Exchange Server hinzugefügt. Es handelt sich dabei um Exchange 2016 CU19 auf Windows Server 2016. Die DNS-Einträge für autodiscover.externedomäne.de und mail.externedomäne.de habe ich als jeweils eigene nicht-AD-integrierte Zonen im DNS hinzugefügt. Diese DNS-Namen entsprechenden den Adressen der Exchange-URLs (mail) bzw. dem SCP-Eintrag (autodiscover).

Seit dieser Änderung brauchen die meisten (nicht alle) Outlook-Installationen mehrere Minuten um zu starten.

Im Verbindungsstatus wird angezeigt, dass die Verbinung zum Postfach und verbundenen Funktionspostfächern zunächst auf einen Authentisierungsfehler läuft bis sich der Status dann in "hergestestellt" mit Authn "Nego*" und Verschlüsselung "SSL" ändert. Dieser Vorgang ist wohl die Ursache der langen Startdauer des Outlook-Clients.

Auch während des Betriebs friert Outlook immer wieder ein und bringt die Meldung "Outlook versucht Daten vom Server abzurufen".

Sämtliche Outlook-Clients sind im Cache-Modus konfiguriert.

Zum Eingrenzen des Fehlers habe ich die MAPI-Logs auf den Exchange-Servern ausgewertet, bin aber abgeshen von der Erkenntnis, dass die Benutzer scheinbar auf beiden Knoten der DAG verbinden zu keiner weiterführenden Erkenntnis gekommen.

Welchen Ansatz kann ich zur Identifizierung der Fehlerquelle weiter verfolgen ?

Grüße

Tobias