[Outlook 2010] Exchange, Profielen & Certificaten - Windows clients

dinsdag 6 oktober 2015 14:34

Acties:

0 Henk 'm!

BEATI PAVPERES SPIRITV

Topicstarter

Gegeven tientallen gebruikers met dezelfde configuratie: per Sophos VPN verbinden ze met de organisatie, ze openen Outlook en e-mail komt binnen.

Bij één gebruiker lukt dit niet: hij krijgt een certificaatwaarschuwing dat de naam van het certificaat niet overeenkomt en ongeachte wat men dan klikt (yes/no/cancel) kan er geen verbinding met Outlook tot stand gebracht worden. Als ik naar de accountinstellingen ga, dan kan de Exchange-server ook niet meer resolved worden op basis van host name. Op basis van IP adres gaat het wel. Nochtans: vanuit een command prompt zijn er geen resolving problemen.

Vanop zijn PC met een ander gebruikersprofiel gaat het wel. Oplossing: we maken hem een nieuw profiel aan. En terug hetzelfde probleem...

Na uren zoek weet ik het niet meer. Er is een link met zijn (lokale) profiel, de certificate store is niet te onderscheiden van een andere gebruiker, bij alle andere gebruikers is het geen probleem en op internet vind ik enkel info over hoe hetzij het certificaatprobleem server-side op te lossen (maar het is maar één gebruiker met dit probleem!), hetzij de redirectmelding te onderdrukken (wat ik al geprobeerd heb).

Wie o wie heeft een goeie inval?

donderdag 8 oktober 2015 11:04

Acties:

0 Henk 'm!

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Na bijna twee dagen mag ik wel een schopje geven...

donderdag 8 oktober 2015 11:48

Acties:

0 Henk 'm!

Squ1zZy

Ok, probleem bij 1 gebruiker, dus voor nu zoeken op de client of useraccount.

- Certificaat komt niet overeen, maar welke naam zie je dan wel?
- Wat zie je als je de test doet met 'CTRL' + rechtermuis op de Outlook icoon en daar kiest voor een Autodiscover test?
- Heb je de hosts file bekeken?
- Direct na een nieuw profiel hetzelfde probleem of duurt het even?
- Public cert of een eigen CA?

donderdag 8 oktober 2015 15:39

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Geef eens wat meer info over de certificaatmelding. Nu is het maar gissen wat er gebeurd.

Waar komt deze melding vandaan?
Indien je exchange-omgeving, welke server, welke versie Exchange, etc
Hoe is eea ingericht mbt Exchange toegang
Wat staat er qua namen in het certificaat, op welke naam wordt geprobeerd te verbinden en wat had je verwacht qua namen?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 8 oktober 2015 16:24

Acties:

0 Henk 'm!

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

PPLUK is een gebruiker die zich verbindt met een Exchange 2003 server SERVER01.MYDOMAIN.COM (...op een Windows Server 2003). Binnen het bedrijfsnetwerk is alles OK.

Echter: via VPN - dezelfde VPN als een hoop andere gebruikers die niet dit probleem hebben - kan eerst en vooral de account niet ingericht worden met SERVER01.MYDOMAIN.COM, ondanks dat de naam vanuit een command prompt te resolven is. Als ik het IP adres invul lukt het wel, maar dan komt er vervolgens een certificaatwaarschuwing dat de naam van de website AUTODISCOVER.MYOTHERDOMAIN.COM niet met het certificaat overeen komt.

Als het aan het certificaat aan de serverkant ligt, dan verklaart dat niet waarom het probleem slechts bij één gebruiker voorkomt. Des te meer omdat op een ander Windows profiel met zijn credentials alles gewoon werkt. Het is enkel op zijn eigen lokaal profiel - zelfs als ik het opnieuw aanmaak ! - dat het niet werkt. Meteen niet (@Squ1zZy). HOSTS was leeg. Het enige dat er nu in staat is een entry van mij om de hostname van de Exchange gedwongen naar zijn IP om te leiden, maar zonder resultaat.

Over de domeinnamen: we hebben 14 domeinen en evenveel aliassen voor onze gebruikers. Bekijk het als:
user@hoofdfirma.com
user@nevenfirma1.com
user@nevenfirma2.com
user@nevenfirma3.com
...

De FQDN is hoofdfirma.com maar de gebruikers gebruiken voornamelijk hun nevenfirmaX.com e-mailadres, afhankelijk van hun locatie.

In het echt zijn er nog .nl, .fr., .de, .eu voor elk van deze domeinen, maar ik probeer het wat eenvoudig te houden...

donderdag 8 oktober 2015 16:56

Acties:

0 Henk 'm!

Squ1zZy

Wat is de gebruiker zijn primair email adres?

donderdag 8 oktober 2015 17:06

Acties:

0 Henk 'm!

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Squ1zZy schreef op donderdag 08 oktober 2015 @ 16:56:
Wat is de gebruiker zijn primair email adres?

Het primaire SMTP adres is @nevenfirma.com, maar dat is ook zo voor alle andere gebruikers op die site.

En zoals gezegd: met een ander Windows-profiel lukt het wel. Volgens mij ligt de oplossing niet aan de Exchange kant.

donderdag 8 oktober 2015 17:10

Acties:

0 Henk 'm!

Squ1zZy

Het is even lastig want ik zie MYOTHERDOMAIN.COM b.v. niet terug komen in de lijst.

Het is het Outlook profile lijkt. Gooi het Windows profile anders weg en probeer het met een nieuw Windows profile. Ook op de server als je gebruik maakt van roaming profiles.

donderdag 8 oktober 2015 19:37

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Outlook 2010 is niet supported met Exchange 2003.

Afbeeldingslocatie: https://xunyangit.files.wordpress.com/2010/07/a5ac06fb7dfab1a80ee2fa89bfde9ad6.png

Afbeeldingslocatie: https://xunyangit.files.wordpress.com/2010/07/a5ac06fb7dfab1a80ee2fa89bfde9ad6.png

Dat wil overigens niet zeggen dat het niet wil werken, maar is wel iets om rekening mee te houden. Het lijkt erop dat het al fout gaat met autodiscover. Dat is op zich niet zo verwonderlijk, echt Autodiscover bestaat pas vanaf Exchange 2007. Binnen het netwerk kán het wel werken, maar functioneerd het iets anders.

In an Exchange environment that does not include Microsoft Exchange Server 2007 or later, Outlook still attempts to locate Exchange mailboxes. Active Directory includes a mailbox server property that can be set for each user. If standard Autodiscover attempts fail, Outlook tries to configure simple Exchange connections to an earlier version of Exchange server by using the Exchange mailbox server property. For a simple server topology with one domain and all Outlook computers joined to the domain, Outlook queries Active Directory for the Exchange server defined for the user logged in to the computer.

Kortom, vergeet autodiscover en dat soort zaken....

Wat gebeurd er als je het complete Outlook profiel handmatig invuld?

Voor de rest is het een beetje vreemd om Outlook via een VPN te verbinden. Waarom wordt er geen gebruik gemaakt van Outlook Anywhere (of in dit geval rpc over https)?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 8 oktober 2015 20:48

Acties:

0 Henk 'm!

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Squ1zZy schreef op donderdag 08 oktober 2015 @ 17:10:
Het is even lastig want ik zie MYOTHERDOMAIN.COM b.v. niet terug komen in de lijst.

Het is het Outlook profile lijkt. Gooi het Windows profile anders weg en probeer het met een nieuw Windows profile. Ook op de server als je gebruik maakt van roaming profiles.

Het is een lokaal profiel en geen roaming profile. Daarom dat ik niet snap dat het op zijn profiel niet gaat en op een ander wel. Zijn profiel wissen en opnieuw aanmaken had het moeten oplossen, maar het probleem was meteen terug. Vanop het "Gast"-profiel op die PC werkt het dan weer wel. Heel erg vreemd

Question Mark schreef op donderdag 08 oktober 2015 @ 19:37:
Outlook 2010 is niet supported met Exchange 2003.

[afbeelding]

Dat wil overigens niet zeggen dat het niet wil werken, maar is wel iets om rekening mee te houden.

Ik heb +/- 1600 mensen met Outlook 2010 op die (vier) Exchange 2003 server(s), dus dat lijkt mij niet echt een issue te zijn.

Het lijkt erop dat het al fout gaat met autodiscover. Dat is op zich niet zo verwonderlijk, echt Autodiscover bestaat pas vanaf Exchange 2007. Binnen het netwerk kán het wel werken, maar functioneerd het iets anders.

[...]

Kortom, vergeet autodiscover en dat soort zaken....
Wat gebeurd er als je het complete Outlook profiel handmatig invuld?
Voor de rest is het een beetje vreemd om Outlook via een VPN te verbinden. Waarom wordt er geen gebruik gemaakt van Outlook Anywhere (of in dit geval rpc over https)?

Ik heb die set-up geërft natuurlijk en de bedoeling is dat dit alles naar 2010 (en daarna hoger) gaat. Veel tijd aan de huidige infrastructuur ga ik niet verspillen. Kost nu al tijd doordat de Exchange DB aan zijn 75GB limiet zit en daardoor geregeld unmount wordt. Pfff. Maar sowieso dient die VPN tot meer dan alleen maar e-mail natuurlijk: dat zijn mensen die van thuis of onderweg werken en daarbij toegang nodig hebben tot bepaalde DBs en CMSen.

Het hele profiel handmatig invullen heb ik eigenlijk nog niet eens geprobeerd. Morgen eens doen, al verwacht ik eigenlijk wel dat identiek hetzelfde zal gebeuren. Maar we zullen zien.

donderdag 8 oktober 2015 20:59

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

YellowOnline schreef op donderdag 08 oktober 2015 @ 20:48:
[...]
Het hele profiel handmatig invullen heb ik eigenlijk nog niet eens geprobeerd. Morgen eens doen, al verwacht ik eigenlijk wel dat identiek hetzelfde zal gebeuren. Maar we zullen zien.

Ik ben erg benieuwd. De issue's die je ervaart lijken nl. erg te gaan over het aanmaken van het profiel middels autodiscover. Zodra je profiel gemaakt is, verbind je (via de vpn) rechtstreeks op de mailserver via MAPI, en heb je niks meer te maken met certificaten.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 8 oktober 2015 21:18

Acties:

0 Henk 'm!

Squ1zZy

Question Mark schreef op donderdag 08 oktober 2015 @ 20:59:
[...]

Ik ben erg benieuwd. De issue's die je ervaart lijken nl. erg te gaan over het aanmaken van het profiel middels autodiscover. Zodra je profiel gemaakt is, verbind je (via de vpn) rechtstreeks op de mailserver via MAPI, en heb je niks meer te maken met certificaten.

Is dat zo? Ik dacht dat er om de zoveel tijd wel gekeken wordt namelijk. Niets meer te maken met certs betwijfel ik.

vrijdag 9 oktober 2015 09:26

Acties:

0 Henk 'm!

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Question Mark schreef op donderdag 08 oktober 2015 @ 20:59:
[...]

Ik ben erg benieuwd. De issue's die je ervaart lijken nl. erg te gaan over het aanmaken van het profiel middels autodiscover. Zodra je profiel gemaakt is, verbind je (via de vpn) rechtstreeks op de mailserver via MAPI, en heb je niks meer te maken met certificaten.

't Zal niet voor vandaag zijn: hij is niet thuis voor 22:00. Zolang werk ik niet op vrijdag

vrijdag 9 oktober 2015 09:26

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Bij mijn weten gebruikt Exchange 2003 alleen maar certificaten voor:

ActiveSync (RPC/HTTPS)
OWA
Secure SMTP, IMAP en POP

Een client die rechtstreeks verbind met een mailserver via MAPI heeft dan in mijn ogen niets meer te maken met certificaten.

Al moet ik wel eerlijk zeggen dat ik al bijna 10 jaar geen Exchange 2003 server meer ben tegengekomen. Mijn kennis is wat roestig op dit vlak

[ Voor 5% gewijzigd door Question Mark op 09-10-2015 09:27 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B