Connector für Microsoft Exchange - Troubleshooting

1. MediaGateway-Konfiguration

1.1. Kein Zugriff auf das Intrexx MediaGateway

Sollten beim Testen der Verbindung zum Administrator-Konto Fehler auftreten, kontrollieren Sie bitte folgende Punkte. Für ein erfolgreiches Login sind die folgenden Logininformationen korrekt zu hinterlegen.

• MediaGateway Verbindungsdaten
  Stellen Sie sicher, dass die eingegebenen Verbindungsdaten für Host und Port korrekt sind. Als Hostadresse ist die Adresse des Servers anzugeben, auf dem das Intrexx-MediaGateway installiert wurde. Sollte sich das Intrexx-MediaGateway nicht auf demselben Server wie Intrexx befinden, ist zu prüfen, ob der Server im Allgemeinen erreichbar ist, also im Netzwerk verfügbar oder per Ping ansteuerbar. Der angegebene Port (Standard 8087) muss erreichbar sein und darf nicht blockiert sein, z.B. über eine Firewall.
• MediaGateway Passwort
  Das Standardpasswort nach einer Installation des Intrexx-MediaGateways lautet 1234. Sollte ein Login damit nicht möglich sein, wurde das Passwort u. U. geändert. Sollten Sie dieses Passwort vergessen haben, wenden Sie sich bitte an den United Planet Support.
• MediaGateway Dienst
  Bei einer erfolgreichen Installation des MediaGateways wird ein Windows-Dienst mit dem Namen Intrexx MediaGateway Server angelegt. Überprüfen Sie, ob der Dienst gestartet wurde und korrekt läuft.

1.2. Kein Zugriff auf das Exchange-Konto

Sollten beim Testen der Verbindung zum Exchange-Konto Fehler auftreten, kontrollieren Sie bitte die folgende Punkte.

1.2.1. Exchange 2003/2007

• Benutzername und Passwort
  Geben Sie hier den Benutzernamen und das Passwort des Exchange-Kontos an. Die Daten sind diejenigen, die auch bei einer Anmeldung an einem Windowsrechner anzugeben sind.
• Mailbox
  Das Postfach, also der Mailboxname, kann unter Umständen vom oben angegebenen Benutzernamen abweichen und richtet sich nach der jeweiligen Konfiguration von Exchange und ADS. Wenn Sie nicht sicher sind, wie der korrekte Mailboxname lautet, können Sie in diesem Feld eine für den Benutzer hinterlegte, gültige E-Mailadresse angeben. Zum Test können Sie von diesem Benutzer aus eine E-Mail versenden und die dann in der E-Mail angezeigte Adresse verwenden.
• Domäne
  Geben Sie den Domänennamen an, in der der Exchange-Benutzer angelegt wurde.
• Server-URL
  Kontrollieren Sie auch die Exchange-Server-URL. Verwenden Sie den fully-qualified domain name. In der Regel beginnt die URL mit dem Protokoll https://, gefolgt vom voll qualifizierten Servernamen und dem virtuellen Verzeichnis exchange. Beispiel: https://mailserver.example.org/exchange. Ist die URL richtig, überprüfen Sie innerhalb einer Kommandozeile mit ping, telnet oder nslookup, ob der Server vom aktuellen Rechner aus erreichbar ist.

1.2.2. Exchange 2010 / 2016

• Benutzername und Passwort
  Geben Sie hier den Benutzernamen und das Passwort des Exchange-Kontos an. Verwenden Sie die Daten, die auch bei einer Anmeldung an einem Windowsrechner anzugeben sind.
• E-Mail
  Hier muss die dem Konto zugewiesene E-Mail-Adresse eingegeben werden.
• Server-URL
  Kontrollieren Sie auch die Exchange-Server-URL. Verwenden Sie dabei den fully-qualified domain name. In der Regel beginnt die URL mit dem Protokoll https://, gefolgt vom voll qualifizierten Servernamen und ews/Exchange.asmx. Beispiel: https://mailserver.example.org/ews/Exchange.asmx. Ist die URL korrekt, überprüfen Sie innerhalb einer Kommandozeile mit ping, telnet oder nslookup, ob der Server von dem aktuellen Rechner aus erreichbar ist.
• Exchange-Konto gesperrt
  Beim Testen der Login-Informationen kann das Konto nach mehrfachen fehlerhaften Versuchen gesperrt sein. Kontaktieren Sie in diesem Fall Ihren Administrator, um das Konto wieder entsperren zu lassen.
• Postfach initialisieren
  Bei neu angelegten Exchangekonten muss zur korrekten Initialisierung des dazugehörigen Postfachs einmalig ein Zugriff auf das Konto über OWA oder Outlook erfolgt sein.
• Outlook und OWA
  Wurde auf dem Exchange-Server OWA installiert und ist diese Funktionalität korrekt gestartet? Außerdem muss im IIS des Exchange-Server das virtuelle Verzeichnis /exchange vorhanden sein. Sollte dies nicht der Fall sein, wenden Sie sich bitte an Ihren Exchange-Administrator. Aus Gründen der Systemsicherheit kann der Zugriff auf das virtuelle Verzeichnis /exchange gesperrt bzw. nur von bestimmten Rechnern/IP-Adressen aufrufbar sein. Überprüfen Sie die Zugriffsberechtigungen im IIS des Exchange-Servers.

2. Kerberos - Exchange 2010 / 2016

2.1. Anpassung EWSFindCountLimit

Ab Exchange Server 2010 gibt es aus Sicherheitsgründen eine Einschränkung der maximalen Anzahl von Objekten, die bei einer Abfrage in Betracht gezogen werden. Überschreitet eine Abfrage diese Einschränkung, so werden keine Ergebnisse zurückgeliefert. Die maximale Anzahl wird in der Eigenschaft EWSFindCountLimit der ThrottlingPolicy festgelegt. Ab Exchange 2010 SP1 ist EWSFindCountLimit in der DefaultThrottlingPolicy standardmäßig auf 1000 eingestellt. Beinhaltet z.B. der Ordner Posteingang 5000 Nachrichten und EWSFindCountLimit ist auf 1000 beschränkt, so liefert eine Abfrage auf diesen Ordner keine Ergebnisse. Erst wenn das Limit auf mindestens 5000 angehoben wird, können Objekte im Posteingang abgefragt werden. Der Wert für EWSFindCountLimit kann entweder global oder für einzelne Postfächer definiert werden. Mit den folgenden Befehlen, die in der Exchange Management Shell ausgeführt werden müssen, lässt sich das Limit anpassen.

• Global
  • Get-ThrottlingPolicy
  • In der Ausgabe den Namen der Default-Policy ermitteln (z.B. DefaultThrottlingPolicy_3f6fa3c1-2bf1-4b54-a221-534d03203807)
  • Set-ThrottlingPolicy <PolicyName> -EWSFindCountLimit 10000 (oder $NULL für unbegrenzt)
  • iisreset (bewirkt Neustart des IIS, damit die Änderung sofort wirksam wird)
• Pro Mailbox
  • New-ThrottlingPolicy -Name "IntrexxThrottlingPolicy" -EWSFindCountLimit 10000 (oder $NULL für unbegrenzt)
  • Set-Mailbox <UserName> -ThrottlingPolicy "IntrexxThrottlingPolicy" (muss für jeden User/Mailbox ausgeführt werden, der über Intrexx auf Exchange zugreift)
  • iisreset

2.2. Kalender

Serientermine

Auf Serientermine kann nur zugegriffen werden, wenn bei der Abfrage auf die Tabelle Appointment ein Datumszeitraum mitgegeben wird. Dazu muss nach den Feldern StartDate und EndDate gefiltert werden.

Sortierung von Terminen

Wenn die Tabelle Appointment nach Start- und Enddatum gefiltert wird, werden die Termine vom Exchange 2010 / 2016 Server immer nach Startdatum aufsteigend sortiert geliefert. Individuell eingestellte Sortierungen in der Applikation oder im Browser werden in diesem Fall nicht unterstützt.

3. Kerberos - Exchange 2003 / 2007

Kerberos ermittelt anhand des aktuellen Windows-Users die Anmeldeinformationen und meldet Sie automatisch am Exchange-Postfach an. Bei der Kerberos-Authentifizierung haben Sie ein echtes Single-Sign on (SSO) für den Zugriff Ihrer Benutzer auf den Exchange Server und verwenden die integrierte Windows-Authentifizierung. Beim erstmaligen Zugriff auf eine Exchange Applikation über Kerberos wird der Benutzer einmalig aufgefordert, sein Postfach einzugeben bzw. zu bestätigen. Alle weiteren Zugriffe erfolgen dann über SSO. Wird der Benutzer trotz eingestellter Kerberos-Authentifizierung aufgefordert, sich mit Benutzername /Passwort an dem Exchange-Server anmelden, deutet dies auf Probleme bei der Authentifizierung hin. In diesem Fall wird von Intrexx automatisch die sitzungsbasierte Anmeldung aktiviert und das vollständige Login-Formular mit Benutzername/Passwort eingeblendet. Bei Problemen mit der Authentifizierung überprüfen Sie bitte folgende Grundvoraussetzungen für eine erfolgreiche Authentifizierung mit Kerberos.

3.1. Konfiguration in Intrexx

• Portal mit integrierter Authentifizierung
  Das Intrexx Portal muss mit integrierter Authentifizierung betrieben werden. Diese stellen Sie über das Modul Benutzer über das Hauptmenü Benutzer / Konfiguration her.
• Active Directory Benutzer
  Die Benutzer aus Ihrem Active Directory müssen entsprechend in Intrexx angelegt sein. Einen Import können Sie im Modul Benutzer über das Hauptmenü Benutzer / Benutzer und Gruppenimport erstellen. Bitte stellen Sie sicher, dass mindestens ein Benutzer in der Benutzergruppe Administratoren enthalten ist, um das System weiterhin administrieren zu können.
• Server Principal Name
  Für die erfolgreiche Authentifizierung ist die Angabe eines sogenannten Service-Principal-Names (SPN) notwendig. Der SPN enthält die Informationen über den Dienst, für den ein Kerberos Ticket erzeugt werden soll. Dieses Ticket wird für den MediaGateway-Server benötigt. Der SPN ist in der Regel wie folgt aufgebaut: host/<Gateway-Host-Fully Qualified Domain Name>@<KERBEROS_REALM>. Gateway-Host-Fully Qualified Domain Name: Voll qualifizierter Host-Name (z.B. meinrechner.meinefirma.de). KERBEROS_REALM: In der Regel die Domäne in Großbuchstaben. (z.B. MEINEFIRMA.DE) Ein Beispiel-SPN könnte demnach wie folgt lauten: host/meinrechner.meinefirma.de@MEINEFIRMA.DE. Der Konfigurations-Dialog der Kerberos-Authentifizierung schlägt Ihnen einen SPN vor, der jedoch in der Praxis abhängig von Ihrer Systemumgebung angepasst werden muss.

3.2. Konfiguration der Infrastruktur

• Server-Delegierung
  Der Server, auf dem der MediaGateway Server installiert ist, benötigt die Gruppenrichtlinie Delegierung. Definieren Sie diese im Active Directory Manager. Wählen Sie dazu aus der Domäne den Rechner mit installiertem MediaGateway aus, öffnen Sie das Eigenschaftenfenster und wechseln Sie auf den Reiter Delegierung. Beachten Sie bitte, dass der Einstellungsdialog je nach eingesetzter Exchange Version variieren kann.
  
  
  
• Gleiche Domäne
  Um den Exchange-Adapter einsetzen zu können, müssen sich der Exchange-Server, der Intrexx MediaGateway Server und alle zugreifenden Clients in der gleichen Domäne befinden. Ein Zusammenspiel verschiedener Domänen ist nicht möglich.
• Form-based authentication
  Für das virtuelle Verzeichnis /exchange des OWA-Servers darf keine Form-based authentication für Outlook Web Access / Exchange verwendet werden. Öffnen Sie den IIS und wählen Sie den Punkt Authentifizierung beim virtuellen Verzeichnis /exchange.
  
  
  
  
  
  Unter Exchange 2003 ist das Setzen der Authentifizierung für einzelne virtuelle Verzeichnisse nicht möglich, sondern kann lediglich global für alle virtuellen Verzeichnisse (/owa, /exchange und /exchweb) gesetzt werden. Es existiert jedoch ein Workaround, mit dem es unter Exchange 2003 trotz aktivierter form-based Authentication möglich ist, Kerberos-Authentifizierung einzusetzen. Informationen hierzu finden Sie hier.

3.3. Browser-Einstellungen

• Internet Explorer
  Im Internet Explorer muss in den Sicherheitseinstellungen der verwendeten Zone bei Benutzerauthentifizierung Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort eingestellt sein. Diese Einstellungen finden Sie unter Extras / Internetoptionen / Sicherheit. Selektieren Sie hier die verwendete Zone und anschließend Stufe anpassen.
  
  
  
  
  
  Außerdem muss unter Internetoptionen / Erweitert die Einstellung Integrierte Windows-Authentifizierung aktivieren gesetzt sein.
  
  
  
• Mozilla Firefox
  Editieren Sie die Einstellungen des Firefox, indem Sie about:config in die Adresszeile des Browsers eingeben.
  
  
  
  
  
  Tragen Sie für den Schlüssel network.negotiate-auth.delegation-uris den Hostnamen des Intrexx-Servers ein: network.negotiate-auth.trusted-uris
• Safari
  Der Safari Browser auf Mac OS weist bei Apple bereits bekannte, jedoch noch nicht behobene Probleme mit der Kerberos-Authentifizierung auf. Aus diesem Grund kann Safari nicht als Browser In Verbindung mit Kerberos verwendet werden.

3.4. Kerberos Authentifizierung testen

Sind alle hier beschriebenen Maßnahmen überprüft, so kann die korrekte Funktionsweise der Kerberos-Authentifizierung wie folgt überprüft werden: Kopieren Sie aus dem Installationsverzeichnis bin/windows das Verzeichnis support in das Portalverzeichnis external/htmlroot. Laden Sie die Seite http://<intrexx-server-hostname>/<portal_name>/support/krbdebug.asp im Browser. Im Folgenden sehen Sie verschiedene Ergebnisse, die beim Aufruf der Seite auftreten können.

Situation

Keine integrierte Windows-Anmeldung im IIS aktiviert:

Situation

IIS mit aktivierter integrierter Windows-Anmeldung, aber Kerberos Ticket nicht verfügbar:

Situation

IIS mit aktivierter integrierter Windows-Anmeldung und verfügbarem Kerberos Ticket:

4. IIS-Server

Wenn Sie für Ihr Intrexx Portal einen IIS-Server einsetzen, können folgende Konfigurationen für den Einsatz mit dem Intrexx-MediaGateway erforderlich sein.

4.1. Datei Up- und Downloads

Für das Hoch- bzw. Herunterladen von Exchange-Dateianhängen, z.B. in E-Mails, müssen die Dateigrößenbeschränkungen bei Bedarf angepasst werden. Öffnen Sie dazu den Informationsdienste (IIS)-Manager und ändern Sie die ASP-Limiteigenschaften:

• Für den Upload: Limit für Entitätskörper in Anforderung (in Bytes)
• Für den Download: Antwortpufferlimit (in Bytes)

4.2. Länge der Abfragezeichenfolge

In der Applikation Exchange – Ressource kann bei der Abfrage mehrerer überlappender Ressourcen eine Erhöhung der Länge der Abfragezeichenfolge notwendig sein. Das erkennen Sie daran, dass beim Versuch, überlappende Ressourcen zu bearbeiten, im Browser der Fehler Http Error 404: Not Found zurückgegeben wird. Gehen Sie in diesem Fall wie folgt vor:

• Öffnen Sie den Informationsdienste (IIS)-Manager
• Andern Sie die Featureeinstellungen für die Anforderungsfilterung: Maximale Länge einer Abfragezeichenfolge (in Bytes)