Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Abwesenheitsassistent unter Outlook 2007 in Verbindung mit Exchange 2007 funktioniert nicht

Heute rief mich ein Kunde an und berichtete, dass bei allen Mitarbeitern, die Microsoft Outlook 2007 nutzen, der Abwesenheitsassistent nicht mehr funktionieren würde. Also habe ich mich mit einem, für Testzwecke definierten, Benutzerkonto eingewählt, Outlook 2007 gestartet und beim Aufruf des Abwesenheitsassistenten bekam ich folgende Fehlermeldung:

Ihre Abwesenheitseinstellungen können nicht angezeigt werden da der Server zurzeit nicht verfügbar ist. Versuchen Sie es später erneut.

Ich hatte zwar kürzlich den Microsoft Exchange Server 2007 auf Service Pack 3 aktualisiert, das Problem bestand aber bereits vor dem Upgrade. Außerdem bemängelte der Kunde, dass Benutzer bei der Terminerstellung bei Einladung anderer Benutzer deren Frei/Gebucht Status nicht abrufen konnten. All diese Dinge hatten aber bereits funktioniert. Nachdem ich ein paar Treffer meiner Suche bei Google verfolgt und gelesen hatte, fand ich den brauchbarsten Hinweis bei http://www.server-talk.eu, wo im Beitrag Out of Office Error Message in Outlook 2007 eine sehr gute Ursachenforschung beschrieben wird.

Der Exchange Server des Kunden befindet sich im internen Netz des Kunden, über eine Firewall (Microsoft ISA Server 2006) wird aber Outlook Web Access (OWA) und Exchange ActiveSync veröffentlicht, für deren Funktion auch ein öffentliches SSL Zertifikat eingerichtet wurde. Dabei weicht – wie so oft – der interne DNS-Domänenname von dem externen ab:

Intern: <exchangeserver>.<internal-fqdn>
Extern: <exchangeserver>.<public-fqdn>

Die Kontrolle der installierten Zertifikate auf dem Exchange Server mit Hilfe des PowerShell-Befehls

Get-ExchangeCertificate | fl

brachte keine Fehler – alle Zertifikate für interne und externe Zwecke waren ordnungsgemäß registriert und gültig. Also begann ich, mir den Autodiscover-Dienst von Exchange 2007 genauer unter die Lupe zu nehmen. Wie im oben erwähnten Beitrag von Michel Lüscher beschrieben, versucht Outlook Kontakt mit dem Exchange Web Services (EWS) aufzunehmen, dessen Adresse es vom Autodiscover-Dienst (bzw. dessen XML-Datei) erfährt – und zwar intern:

https://servername.<internal-fqdn>/Autodiscover/Autodiscover.xml

sowie für externe Aufrufe über:

https://autodiscover.<public-fqdn>/Autodiscover/Autodiscover.xml

Dabei bezieht sich der <public-fqdn> auf die SMTP-Adresse (also folgende Zeichen nach dem @) in der Standard-E-Mail-Adresse der Benutzerkonfiguration im Exchange. Als ich nun den weiteren PowerShell-Befehl

Test-OutlookWebServices | fl

ausführte, erhielt ich die folgende Fehlermeldung:

Error Id 1013: Fehler – Der Remoteserver hat einen Fehler zurückgegeben: (403) Unzulässig. beim Herstellen der Verbindung mit https://<exchangeserver>.<public-fqdn>/Rpc.

Zwar wurde die Autodiscover XML Datei unter https://<exchangeserver>.<internal-fqdn>/Autodiscover/Autodiscover.xml gefunden und erfolgreich gelesen, allerdings erfolgte der RPC-Aufruf (Remote Procedure Call) auf der (über den ISA Server) veröffentlichten Adresse. Da RPC-Verbindungen auf dem ISA Server auf dieser Adresse aber verboten sind, meldete Outlook obigen Fehler. Und da fiel mir wieder ein, was ich schon öfter von Microsoft Mitarbeitern gehört (und verinnerlicht) hatte: „90 % aller Microsoft Fehler sind DNS-Fehler.“

Also legte ich im DNS eine neue primäre Zone <public-fqdn> an, in der ich die Host-A-Einträge für autodiscover und den <exchangeserver> mit der internen IP Adresse des Exchange Servers erzeugte. (Achtung: Geht man diesen Weg, muss man in dieser Zone alle gültigen, existierenden Host-A Einträge manuell erstellen, da sonst die Auflösung externer Adressen für diese Zone fehlschlägt.)

Kaum war der Eintrag erstellt und auf allen DNS Servern repliziert, meldete der PowerShell-Befehl Test-OutlookWebServices | fl (nach einem ipconfig /flushdns):

Success Id 1017: [EXPR]-Erfolg beim Herstellen der Verbindung mit dem Dienst ‚RPC/HTTP‘ bei https://<exchangeserver>.<public-fqdn>/Rpc. Die verstrichene Zeit betrug 343 Millisekunden.

Nach dem Neustart von Outlook 2007 funktionierte sowohl der Abwesenheitsassistent als auch die Frei/Gebucht Anzeige für eingeladene Mitarbeiter bei neuer Terminerstellung. Abschließend noch ein Link zum Autodiscover-Song, der mir während meiner durchgeführten Arbeiten ständig im Hinterkopf „herumschwirrte“ …

Weitere interessante Links zu diesem Thema:

Bei Tipps, Hinweisen, Anregungen oder Fragen und Kritiken hinterlasst bitte einen Kommentar.

Einen Blog am Leben zu erhalten kostet Zeit und Geld. Da ich auf meiner Seite weder Werbung einbinde, noch andersweitige Zuwendungen erhalte, freue ich mich über jede kleine Spende. Einfach und unkompliziert geht das über PayPalMe. Du unterstützt damit diesen Blog. Vielen Dank.

5 Kommentare für “Abwesenheitsassistent unter Outlook 2007 in Verbindung mit Exchange 2007 funktioniert nicht”

  • Carsten

    Hallo,

    ich leide auch gerade an bisher einem einzigen Client in einem kleinen Netz unter diesem Problem.
    Die Tests konnte ich zwar nicht vollständig durchführen, mangels PowerShell, aber was ich über andere Wege herausbekommen habe, deutet alles auf eine richtige Konfiguration. Nur das Problem mit der Abwesenheitsmeldung besteht weiterhin. Dank eines Tipps im Server-Talk-Forum (Einfügen des Registry-Eintrages) geht jetzt wenigstens die Kalender-Anzeige mit Belegt-Zeiten anderer Nutzer. Aber der Abwenseheitsassistent mag immer noch nicht. Welche Möglichkeiten gibt es denn da noch?

    Carsten

  • Bent Schrader

    Hallo Carsten,

    ich frage mich, warum Du keine PowerShell hast? Die ist bei der Installation von Exchange 2007 eigentlich Standard? Es gibt sehr viele Konfigurationseinstellungen im Exchange, die Du nur via PowerShell setzen kannst, aus diesem Grund sollte sie auch installiert sein.

    Was deutet denn Deiner Meinung nach auf eine richtige Installation hin?
    Untersuche auch mal die DNS-Konfiguration – statistisch gesehen hängen zu etwa 90 % Fehler mit fehlerhaften DNS-Einstellungen zusammen.

    Gruß,
    Bent

  • swa

    Hallo, ich weiß nicht, wie ich weiter meinen Fehler eingrenzen kann.
    Habe auch das Problem mit dem Abwesenheitsagenten. Lief schon mal ohne Probleme.
    Ich bekomme Fehler beim Test der ExchangeWebServices.
    Unten habe ich die Certifikate geprüft. Kann eigentlich keine Auffälligkeiten feststellen.
    OWA ist kein Problem, auch der OOA über Web funktioniert.
    Können Sie mir einen tip geben?

    Danke Ralf

    [PS] C:Windowssystem32>Test-OutlookWebServices | fl

    Id : 1003
    Type : Information
    Message : Die AutoErmittlung wird gleich mit E-Mail-Adresse administrator@tilia
    -umwelt.com getestet.

    Id : 1007
    Type : Information
    Message : Der Server SERVER01.tilia.local mit dem veröffentlichten Namen https:
    //remote.tilia-umwelt.com/EWS/Exchange.asmx & http://bit.ly/ynUt3R

    welt.com/EWS/Exchange.asmx wird getestet.

    Id : 1019
    Type : Information
    Message : Es wurde ein gültiger Verbindungspunkt für den AutoErmittlungsdienst
    gefunden. Die URL dieses Objekts für die AutoErmittlung ist https://r
    emote.tilia-umwelt.com/Autodiscover/Autodiscover.xml.

    Id : 1006
    Type : Information
    Message : Es wurde eine Verbindung mit dem AutoErmittlungsdienst bei https://re
    mote.tilia-umwelt.com/Autodiscover/Autodiscover.xml hergestellt.

    Id : 1013
    Type : Error
    Message : Fehler Fehler bei der Anforderung mit HTTP-Status 403: Forbidden. bei
    m Herstellen der Verbindung mit http://bit.ly/x4RWw2

    xchange.asmx.

    Id : 1016
    Type : Error
    Message : [EXCH]-Fehler beim Herstellen der Verbindung mit dem Dienst ‚AS‘ bei
    http://bit.ly/yYvHPO
    . Die verstrichene Z
    eit betrug 965 Millisekunden.

    Id : 1015
    Type : Success
    Message : [EXCH]-Erfolg beim Herstellen der Verbindung mit dem Dienst ‚OAB‘ bei
    http://bit.ly/yYvHPO
    . Die verstrichene
    Zeit betrug 0 Millisekunden.

    Id : 1014
    Type : Success
    Message : [EXCH]-Erfolg beim Herstellen der Verbindung mit dem Dienst ‚UM‘ bei
    http://bit.ly/z5AafF
    . Die ve
    rstrichene Zeit betrug 15 Millisekunden.

    Id : 1013
    Type : Error
    Message : Fehler Fehler bei der Anforderung mit HTTP-Status 403: Forbidden. bei
    m Herstellen der Verbindung mit http://bit.ly/x4RWw2

    xchange.asmx.

    Id : 1016
    Type : Error
    Message : [EXPR]-Fehler beim Herstellen der Verbindung mit dem Dienst ‚AS‘ bei
    http://bit.ly/yYvHPO
    . Die verstrichene Z
    eit betrug 46 Millisekunden.

    Id : 1015
    Type : Success
    Message : [EXPR]-Erfolg beim Herstellen der Verbindung mit dem Dienst ‚OAB‘ bei
    http://bit.ly/yYvHPO
    . Die verstrichene
    Zeit betrug 0 Millisekunden.

    Id : 1014
    Type : Success
    Message : [EXPR]-Erfolg beim Herstellen der Verbindung mit dem Dienst ‚UM‘ bei
    http://bit.ly/z5AafF
    . Die ve
    rstrichene Zeit betrug 15 Millisekunden.

    Id : 1013
    Type : Error
    Message : Fehler Der Server hat eine Protokollverletzung ausgeführt.. Section=R
    esponseStatusLine beim Herstellen der Verbindung mit https://remote.t
    ilia-umwelt.com/Rpc.

    Id : 1017
    Type : Error
    Message : [EXPR]-Fehler beim Herstellen der Verbindung mit dem Dienst ‚RPC/HTTP
    ‚ bei http://bit.ly/wysFdx
    . Die verstrichene Zeit betr
    ug 280 Millisekunden.

    Id : 1006
    Type : Success
    Message : Der AutoErmittlungsdienst wurde erfolgreich getestet.

    Id : 1021
    Type : Information
    Message : Die folgenden Webdienste haben Fehler generiert.
    As in EXCH
    As, in EXPR
    Verbinden mit dem Server in EXPR
    Verwenden Sie die vorherige Ausgabe für die Diagnose und Korrektur de
    r Fehler.

    [PS] C:Windowssystem32>Get-ExchangeCertificate

    Thumbprint Services Subject
    ———- ——– ——-
    D9444F4DADA1BE0089E2C3F60BB4FAECF01A4EB3 IP..S CN=SERVER01.tilia.local
    E86A0377940B27250E204EE79A4D1F5C312DD761 IP..S CN=SERVER01
    25A88C51D20459785E797E18C823EE397D5C1BE3 …WS CN=remote.tilia-umwelt….
    7047880F1CDC7740B28065221A646312E3CC22E1 IP..S CN=Sites
    0AFB92C890D92BEEE40CA34E6249A497DC64A516 ….. CN=tilia-SERVER01-CA
    F66854BC9900E1087AA0BD6C0AEE4C818487710B ….. CN=WMSvc-WIN-MZ926XY28V5

    [PS] C:Windowssystem32>Get-ExchangeCertificate | fl

    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
    .Security.AccessControl.CryptoKeyAccessRule, System.Securi
    ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {SERVER01.tilia.local}
    HasPrivateKey : True
    IsSelfSigned : False
    Issuer : CN=tilia-SERVER01-CA
    NotAfter : 14.12.2012 01:58:26
    NotBefore : 15.12.2011 01:58:26
    PublicKeySize : 2048
    RootCAType : Registry
    SerialNumber : 12E3C3AF000000000016
    Services : IMAP, POP, SMTP
    Status : Valid
    Subject : CN=SERVER01.tilia.local
    Thumbprint : D9444F4DADA1BE0089E2C3F60BB4FAECF01A4EB3

    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
    .Security.AccessControl.CryptoKeyAccessRule, System.Securi
    ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
    ssControl.CryptoKeyAccessRule}
    CertificateDomains : {SERVER01, SERVER01.tilia.local}
    HasPrivateKey : True
    IsSelfSigned : True
    Issuer : CN=SERVER01
    NotAfter : 14.09.2012 22:17:41
    NotBefore : 14.09.2011 22:17:41
    PublicKeySize : 2048
    RootCAType : None
    SerialNumber : 3DA1ACC1B00973A64E5D675D16C5CD43
    Services : IMAP, POP, SMTP
    Status : Valid
    Subject : CN=SERVER01
    Thumbprint : E86A0377940B27250E204EE79A4D1F5C312DD761

    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
    .Security.AccessControl.CryptoKeyAccessRule, System.Securi
    ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {remote.tilia-umwelt.com}
    HasPrivateKey : True
    IsSelfSigned : False
    Issuer : OU=Equifax Secure Certificate Authority, O=Equifax, C=US
    NotAfter : 12.07.2012 09:35:27
    NotBefore : 11.07.2009 23:10:50
    PublicKeySize : 2048
    RootCAType : ThirdParty
    SerialNumber : 0BE909
    Services : IIS, SMTP
    Status : Valid
    Subject : CN=remote.tilia-umwelt.com, OU=Domain Control Validated –
    QuickSSL Premium(R), OU=See http://www.geotrust.com/resources/cps
    (c)09, OU=GT74754112, O=remote.tilia-umwelt.com, C=DE
    Thumbprint : 25A88C51D20459785E797E18C823EE397D5C1BE3

    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
    .Security.AccessControl.CryptoKeyAccessRule, System.Securi
    ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {Sites, SERVER01.tilia.local}
    HasPrivateKey : True
    IsSelfSigned : False
    Issuer : CN=tilia-SERVER01-CA
    NotAfter : 19.04.2011 19:26:18
    NotBefore : 19.04.2009 19:26:18
    PublicKeySize : 2048
    RootCAType : Registry
    SerialNumber : 6104F42D000000000002
    Services : IMAP, POP, SMTP
    Status : DateInvalid
    Subject : CN=Sites
    Thumbprint : 7047880F1CDC7740B28065221A646312E3CC22E1

    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
    .Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {tilia-SERVER01-CA}
    HasPrivateKey : True
    IsSelfSigned : True
    Issuer : CN=tilia-SERVER01-CA
    NotAfter : 19.04.2014 19:35:48
    NotBefore : 19.04.2009 19:25:49
    PublicKeySize : 2048
    RootCAType : Registry
    SerialNumber : 15331173CAA7E29C46592F8B688AD757
    Services : None
    Status : Valid
    Subject : CN=tilia-SERVER01-CA
    Thumbprint : 0AFB92C890D92BEEE40CA34E6249A497DC64A516

    AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
    .Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {WMSvc-WIN-MZ926XY28V5}
    HasPrivateKey : True
    IsSelfSigned : True
    Issuer : CN=WMSvc-WIN-MZ926XY28V5
    NotAfter : 17.04.2019 19:00:46
    NotBefore : 19.04.2009 19:00:46
    PublicKeySize : 2048
    RootCAType : Registry
    SerialNumber : 366A4996E237A9934578AF70DE78BD1A
    Services : None
    Status : Valid
    Subject : CN=WMSvc-WIN-MZ926XY28V5
    Thumbprint : F66854BC9900E1087AA0BD6C0AEE4C818487710B

  • Danny

    Moin Moin,

    das Anlegen der gesamten externen DNS Zone ist nicht notwendig und auch nicht empfehlenswert.
    Besser man legt die Hosts die intern aufgelöst werden sollen als jeweils eigene Zone an.
    Statt z.B. die Zone „externdomain.de“ und alle zugehörigen Hosteinträge manuell anzulegen, erstellt man einfach die Hosts wie z.B. „autodiscover.externdomain“ selbst als eigene Zone und legt dann innerhalb der Zone einen A-Record mit der entsprechender IP-Adresse an (ohne PTR). Das Feld für den Vollqualifizierten Domänennamen lässt man dabei einfach leer, somit entspricht der Name des A-Records dann dem Namen der übergeordneten Domain ;-)

  • Daniel

    Hallo Danny,

    könntest du das noch einmal für keine 100% Techies erläutern? Genau dieses Problem habe ich aktuell hier und komme nicht weiter. Gerne würde ich deinen Vorschlag umsetzen, doch leider verstehe ich ihn nicht.

    Grüße
    Daniel

Einen Kommentar hinterlassen:

Antispam Bee hat Bent's Blog vor 410.433 Spam-Kommentaren bewahrt.