Connector für Microsoft Exchange - Troubleshooting
1. MediaGateway-Konfiguration
1.1. Kein Zugriff auf das Intrexx MediaGateway
Sollten beim
Testen der Verbindung zum Administrator-Konto Fehler auftreten, kontrollieren Sie bitte folgende Punkte.
Für ein erfolgreiches Login sind die folgenden Logininformationen korrekt zu hinterlegen.
MediaGateway Verbindungsdaten
Stellen Sie sicher, dass die eingegebenen Verbindungsdaten für Host und Port korrekt sind.
Als Hostadresse ist die Adresse des Servers anzugeben, auf dem das Intrexx-MediaGateway
installiert wurde. Sollte sich das Intrexx-MediaGateway nicht auf demselben Server
wie Intrexx befinden, ist zu prüfen, ob der Server im Allgemeinen erreichbar ist,
also im Netzwerk verfügbar oder per Ping ansteuerbar. Der angegebene Port
(Standard 8087) muss erreichbar sein und darf nicht
blockiert sein, z.B. über eine Firewall.
MediaGateway Passwort
Das Standardpasswort nach einer Installation des Intrexx-MediaGateways lautet
1234. Sollte ein Login damit nicht möglich sein,
wurde das Passwort u. U. geändert. Sollten Sie dieses Passwort vergessen haben,
wenden Sie sich bitte an den United Planet Support.
MediaGateway Dienst
Bei einer erfolgreichen Installation des MediaGateways wird ein
Windows-Dienst mit dem Namen Intrexx MediaGateway Server
angelegt. Überprüfen Sie, ob der Dienst gestartet wurde und korrekt läuft.
1.2. Kein Zugriff auf das Exchange-Konto
Sollten beim Testen der Verbindung
zum Exchange-Konto Fehler auftreten, kontrollieren Sie bitte die folgende Punkte.
1.2.1. Exchange 2003/2007
Benutzername und Passwort
Geben Sie hier den Benutzernamen und das Passwort des Exchange-Kontos an.
Die Daten sind diejenigen, die auch bei einer Anmeldung an einem Windowsrechner
anzugeben sind.
Mailbox
Das Postfach, also der Mailboxname, kann unter Umständen vom
oben angegebenen Benutzernamen abweichen und richtet sich nach der
jeweiligen Konfiguration von Exchange und ADS. Wenn Sie nicht sicher sind,
wie der korrekte Mailboxname lautet, können Sie in diesem Feld eine
für den Benutzer hinterlegte, gültige E-Mailadresse angeben.
Zum Test können Sie von diesem Benutzer aus eine E-Mail versenden
und die dann in der E-Mail angezeigte Adresse verwenden.
Domäne
Geben Sie den Domänennamen an, in der der Exchange-Benutzer angelegt wurde.
Server-URL
Kontrollieren Sie auch die Exchange-Server-URL.
Verwenden Sie den fully-qualified domain name.
In der Regel beginnt die URL mit dem Protokoll https://, gefolgt vom
voll qualifizierten Servernamen und dem virtuellen Verzeichnis
exchange. Beispiel:
https://mailserver.example.org/exchange. Ist die URL richtig,
überprüfen Sie innerhalb einer Kommandozeile mit ping, telnet oder nslookup,
ob der Server vom aktuellen Rechner aus erreichbar ist.
1.2.2. Exchange 2010 / 2016
Benutzername und Passwort
Geben Sie hier den Benutzernamen und das Passwort des Exchange-Kontos an.
Verwenden Sie die Daten, die auch bei einer Anmeldung an
einem Windowsrechner anzugeben sind.
E-Mail
Hier muss die dem Konto zugewiesene E-Mail-Adresse eingegeben werden.
Server-URL
Kontrollieren Sie auch die Exchange-Server-URL. Verwenden Sie dabei den
fully-qualified domain name. In der Regel beginnt die URL mit dem Protokoll
https://, gefolgt vom voll qualifizierten Servernamen und
ews/Exchange.asmx.
Beispiel: https://mailserver.example.org/ews/Exchange.asmx.
Ist die URL korrekt, überprüfen Sie innerhalb einer Kommandozeile mit
ping, telnet oder nslookup, ob der Server von dem aktuellen Rechner aus erreichbar ist.
Exchange-Konto gesperrt
Beim Testen der Login-Informationen kann das Konto nach
mehrfachen fehlerhaften Versuchen gesperrt sein. Kontaktieren Sie in
diesem Fall Ihren Administrator, um das Konto wieder entsperren zu lassen.
Postfach initialisieren
Bei neu angelegten Exchangekonten muss zur korrekten Initialisierung des
dazugehörigen Postfachs einmalig ein Zugriff auf das Konto über OWA oder
Outlook erfolgt sein.
Outlook und OWA
Wurde auf dem Exchange-Server OWA installiert und ist diese Funktionalität
korrekt gestartet? Außerdem muss im IIS des Exchange-Server das virtuelle
Verzeichnis /exchange vorhanden sein.
Sollte dies nicht der Fall sein, wenden Sie sich bitte an Ihren Exchange-Administrator.
Aus Gründen der Systemsicherheit kann der Zugriff auf das virtuelle Verzeichnis
/exchange gesperrt bzw. nur von bestimmten
Rechnern/IP-Adressen aufrufbar sein. Überprüfen Sie die Zugriffsberechtigungen
im IIS des Exchange-Servers.
2. Kerberos - Exchange 2010 / 2016
2.1. Anpassung EWSFindCountLimit
Ab Exchange Server 2010 gibt es aus Sicherheitsgründen eine Einschränkung
der maximalen Anzahl von Objekten, die bei einer Abfrage in Betracht gezogen werden.
Überschreitet eine Abfrage diese Einschränkung, so werden keine Ergebnisse zurückgeliefert.
Die maximale Anzahl wird in der Eigenschaft EWSFindCountLimit
der ThrottlingPolicy festgelegt. Ab Exchange 2010 SP1 ist
EWSFindCountLimit in der DefaultThrottlingPolicy
standardmäßig auf 1000 eingestellt. Beinhaltet z.B. der Ordner Posteingang 5000 Nachrichten und
EWSFindCountLimit ist auf 1000 beschränkt, so liefert eine
Abfrage auf diesen Ordner keine Ergebnisse. Erst wenn das Limit auf mindestens 5000
angehoben wird, können Objekte im Posteingang abgefragt werden.
Der Wert für EWSFindCountLimit kann entweder global
oder für einzelne Postfächer definiert werden. Mit den folgenden Befehlen, die in der
Exchange Management Shell ausgeführt werden müssen, lässt sich das Limit anpassen.
Global
Get-ThrottlingPolicy
In der Ausgabe den Namen der Default-Policy ermitteln
(z.B. DefaultThrottlingPolicy_3f6fa3c1-2bf1-4b54-a221-534d03203807)
Set-ThrottlingPolicy <PolicyName> -EWSFindCountLimit 10000 (oder $NULL für unbegrenzt)
iisreset (bewirkt Neustart des IIS, damit die Änderung sofort wirksam wird)
Pro Mailbox
New-ThrottlingPolicy -Name "IntrexxThrottlingPolicy" -EWSFindCountLimit 10000 (oder $NULL für unbegrenzt)
Set-Mailbox <UserName> -ThrottlingPolicy "IntrexxThrottlingPolicy"
(muss für jeden User/Mailbox ausgeführt werden, der über Intrexx
auf Exchange zugreift)
iisreset
2.2. Kalender
Serientermine
Auf Serientermine kann nur zugegriffen werden, wenn bei der Abfrage auf die
Tabelle Appointment ein Datumszeitraum
mitgegeben wird. Dazu muss nach den Feldern StartDate
und EndDate gefiltert werden.
Sortierung von Terminen
Wenn die Tabelle Appointment nach Start- und Enddatum
gefiltert wird, werden die Termine vom Exchange 2010 / 2016 Server immer nach
Startdatum aufsteigend sortiert geliefert. Individuell eingestellte Sortierungen
in der Applikation oder im Browser werden in diesem Fall nicht unterstützt.
3. Kerberos - Exchange 2003 / 2007
Kerberos ermittelt anhand des aktuellen Windows-Users die Anmeldeinformationen
und meldet Sie automatisch am Exchange-Postfach an. Bei der Kerberos-Authentifizierung
haben Sie ein echtes Single-Sign on (SSO) für den Zugriff
Ihrer Benutzer auf den Exchange Server und verwenden die integrierte Windows-Authentifizierung.
Beim erstmaligen Zugriff auf eine Exchange Applikation über Kerberos wird der
Benutzer einmalig aufgefordert, sein Postfach einzugeben bzw. zu bestätigen.
Alle weiteren Zugriffe erfolgen dann über SSO.
Wird der Benutzer trotz eingestellter Kerberos-Authentifizierung aufgefordert, sich mit
Benutzername /Passwort an dem Exchange-Server anmelden, deutet dies auf Probleme
bei der Authentifizierung hin. In diesem Fall wird von Intrexx automatisch die
sitzungsbasierte Anmeldung aktiviert und das vollständige Login-Formular mit
Benutzername/Passwort eingeblendet. Bei Problemen mit der Authentifizierung
überprüfen Sie bitte folgende Grundvoraussetzungen für eine erfolgreiche
Authentifizierung mit Kerberos.
3.1. Konfiguration in Intrexx
Portal mit integrierter Authentifizierung
Das Intrexx Portal muss mit integrierter Authentifizierung betrieben werden.
Diese stellen Sie über das Modul Benutzer
über das Hauptmenü Benutzer / Konfiguration her.
Active Directory Benutzer
Die Benutzer aus Ihrem Active Directory müssen entsprechend in Intrexx angelegt sein.
Einen Import können Sie im Modul Benutzer
über das Hauptmenü Benutzer / Benutzer und Gruppenimport erstellen.
Bitte stellen Sie sicher, dass mindestens ein Benutzer in der Benutzergruppe
Administratoren enthalten ist, um das System weiterhin
administrieren zu können.
Server Principal Name
Für die erfolgreiche Authentifizierung ist die Angabe eines sogenannten
Service-Principal-Names (SPN) notwendig. Der SPN
enthält die Informationen über den Dienst, für den ein Kerberos Ticket erzeugt werden soll.
Dieses Ticket wird für den MediaGateway-Server benötigt.
Der SPN ist in der Regel wie folgt aufgebaut: host/<Gateway-Host-Fully
Qualified Domain Name>@<KERBEROS_REALM>. Gateway-Host-Fully Qualified Domain Name:
Voll qualifizierter Host-Name (z.B. meinrechner.meinefirma.de).
KERBEROS_REALM: In der Regel die Domäne in Großbuchstaben. (z.B. MEINEFIRMA.DE)
Ein Beispiel-SPN könnte demnach wie folgt lauten: host/meinrechner.meinefirma.de@MEINEFIRMA.DE.
Der Konfigurations-Dialog der Kerberos-Authentifizierung schlägt Ihnen einen SPN vor, der jedoch in der
Praxis abhängig von Ihrer Systemumgebung angepasst werden muss.
3.2. Konfiguration der Infrastruktur
Server-Delegierung
Der Server, auf dem der MediaGateway Server installiert ist, benötigt die Gruppenrichtlinie
Delegierung. Definieren Sie diese im Active Directory Manager.
Wählen Sie dazu aus der Domäne den Rechner mit installiertem MediaGateway aus,
öffnen Sie das Eigenschaftenfenster und wechseln Sie auf den Reiter Delegierung.
Beachten Sie bitte, dass der Einstellungsdialog je nach eingesetzter Exchange Version variieren kann.
Gleiche Domäne
Um den Exchange-Adapter einsetzen zu können, müssen sich der Exchange-Server,
der Intrexx MediaGateway Server und alle zugreifenden Clients in der gleichen
Domäne befinden. Ein Zusammenspiel verschiedener Domänen ist nicht möglich.
Form-based authentication
Für das virtuelle Verzeichnis /exchange des OWA-Servers
darf keine Form-based authentication für Outlook Web Access / Exchange verwendet werden.
Öffnen Sie den IIS und wählen Sie den Punkt Authentifizierung
beim virtuellen Verzeichnis /exchange.
Unter Exchange 2003 ist das Setzen der Authentifizierung für einzelne virtuelle Verzeichnisse nicht möglich,
sondern kann lediglich global für alle virtuellen Verzeichnisse (/owa, /exchange und /exchweb) gesetzt werden.
Es existiert jedoch ein Workaround, mit dem es unter Exchange 2003 trotz aktivierter form-based Authentication
möglich ist, Kerberos-Authentifizierung einzusetzen. Informationen hierzu finden Sie
hier.
3.3. Browser-Einstellungen
Internet Explorer
Im Internet Explorer muss in den Sicherheitseinstellungen der verwendeten Zone bei
Benutzerauthentifizierung Automatische Anmeldung mit aktuellem
Benutzernamen und Kennwort eingestellt sein. Diese Einstellungen finden
Sie unter Extras / Internetoptionen / Sicherheit.
Selektieren Sie hier die verwendete Zone und anschließend
Stufe anpassen.
Außerdem muss unter Internetoptionen / Erweitert die Einstellung
Integrierte Windows-Authentifizierung aktivieren gesetzt sein.
Mozilla Firefox
Editieren Sie die Einstellungen des Firefox, indem Sie about:config
in die Adresszeile des Browsers eingeben.
Tragen Sie für den Schlüssel network.negotiate-auth.delegation-uris
den Hostnamen des Intrexx-Servers ein: network.negotiate-auth.trusted-uris
Safari
Der Safari Browser auf Mac OS weist bei Apple bereits bekannte, jedoch noch nicht behobene
Probleme mit der Kerberos-Authentifizierung auf. Aus diesem Grund kann Safari nicht als
Browser In Verbindung mit Kerberos verwendet werden.
3.4. Kerberos Authentifizierung testen
Sind alle hier beschriebenen Maßnahmen überprüft, so kann die korrekte Funktionsweise der
Kerberos-Authentifizierung wie folgt überprüft werden: Kopieren Sie aus dem
Installationsverzeichnisbin/windows das Verzeichnis
support in das Portalverzeichnisexternal/htmlroot.
Laden Sie die Seite http://<intrexx-server-hostname>/<portal_name>/support/krbdebug.asp im Browser.
Im Folgenden sehen Sie verschiedene Ergebnisse, die beim Aufruf der Seite auftreten können.
Situation
Keine integrierte Windows-Anmeldung im IIS aktiviert:
Situation
IIS mit aktivierter integrierter Windows-Anmeldung, aber Kerberos Ticket nicht verfügbar:
Situation
IIS mit aktivierter integrierter Windows-Anmeldung und verfügbarem Kerberos Ticket:
4. IIS-Server
Wenn Sie für Ihr Intrexx Portal einen IIS-Server einsetzen, können folgende
Konfigurationen für den Einsatz mit dem Intrexx-MediaGateway erforderlich sein.
4.1. Datei Up- und Downloads
Für das Hoch- bzw. Herunterladen von Exchange-Dateianhängen, z.B. in E-Mails,
müssen die Dateigrößenbeschränkungen bei Bedarf angepasst werden.
Öffnen Sie dazu den Informationsdienste (IIS)-Manager
und ändern Sie die ASP-Limiteigenschaften:
Für den Upload: Limit für Entitätskörper in Anforderung (in Bytes)
Für den Download: Antwortpufferlimit (in Bytes)
4.2. Länge der Abfragezeichenfolge
In der Applikation Exchange – Ressource kann bei der
Abfrage mehrerer überlappender Ressourcen eine Erhöhung der Länge der
Abfragezeichenfolge notwendig sein. Das erkennen Sie daran, dass beim Versuch,
überlappende Ressourcen zu bearbeiten, im Browser der Fehler
Http Error 404: Not Found zurückgegeben wird.
Gehen Sie in diesem Fall wie folgt vor:
Öffnen Sie den Informationsdienste (IIS)-Manager
Andern Sie die Featureeinstellungen für die Anforderungsfilterung: Maximale Länge einer Abfragezeichenfolge (in Bytes)