Hallo zusammen,
ich befinde mich mitten in der Migration von EX2010 zu EX2016 und habe diese nach Frankys Anleitung soweit durchgeführt. DNS Einträge sind gesetzt und soweit die Konfiguration abgeschlossen um in die eigentliche Postfachmigration zu gehen.
Testweise habe ich bereits 5 Postfächer und shared Mailboxes umgezogen. Alle User (egal ob Postfach auf altem oder neuen Server) greifen via Outlook auf den neuen Server zu und erreichen Ihre Postfächer.
Leider funktioniert anscheinend der Autodiscover nicht, wenn ich ein Outlook neu einrichte, dessen User sein Postfach noch auf dem alten EX2010 zu liegen hat. Das sieht mir nach einem "Weiterleitungsproblem" aus.
Die internen und externen URLs und dazugehörigen Berechtigungen sind gemäß Anleitung gesetzt.
Von Außen zeigt die Firewall noch auf den alten Server, damit funktionieren Activesync und OWA für alle Postfächer (auch die, die auf dem EX2016 liegen), wenn ich jedoch den neuen EX2016 anspreche, funktioniert Activesync nur für Postfächer auf dem neuen Server und OWA für manche User mit "Weiterleitung" zum alten Server und für manche User nicht. Es ist sehr eigenartig.
Habt ihr einen, oder mehrere Tipps für mich?
Der EX2016 hat das CU20 spendiert bekommen. Die genannten Probleme bestanden aber schon vor dem CU20. Leider kann ich nicht einfach alle Postfächer umziehen, da viele externe Mitarbeiter via Activesync und OWA arbeitsfähig sein müssen.
Beste Grüße,
Fatfox
Von Außen zeigt die Firewall noch auf den alten Server, damit funktionieren Activesync und OWA für alle Postfächer (auch die, die auf dem EX2016 liegen), wenn ich jedoch den neuen EX2016 anspreche, funktioniert Activesync nur für Postfächer auf dem neuen Server und OWA für manche User mit "Weiterleitung" zum alten Server und für manche User nicht.
Also von 2010 auf 2016 geht "eigentlich" nicht, das wär schon sehr schräg, wenn das bei dir funktioniert. Weiterleitung will man in den wenigsten Fällen, sondern meist will man "Proxy" heißt, man spricht den neuen Server an und der proxied zum 2010er. Damit das bei OWA funktioniert darf aber auf dem 2010er in den Virtual Directories für OWA keine external URL eingetragen sein, sondern das muss leer sein.
https://www.msxfaq.de/exchange/e2013/e2013casproxy.htm
Leider funktioniert anscheinend der Autodiscover nicht, wenn ich ein Outlook neu einrichte, dessen User sein Postfach noch auf dem alten EX2010 zu liegen hat. Das sieht mir nach einem "Weiterleitungsproblem" aus.
"Leider funktioniert anscheinend" ist leider keine ausreichende Fehlerbeschreibung. ;) Wohin zeigt denn intern der autodiscover Eintrag im DNS? WEnn wir von Domainmembers mit Outlook reden ist der ggf. allerdings sogar egal, kommt drauf an, was du im ClientAccessServer konfiguriert hast.
Was ergibt denn bei dir ein
get-clientaccessserver | fl Identity, *uri*
Danke für deine schnelle Antwort.
Ich hatte einen kleine Logikfehler drin:
OWA von außen (Internet-Firewall-EX2010) funktioniert für alle User mit Postfach auf dem EX2010
OWA von innen (DNS zeigt auf EX2016) funktioniert für alle User egal wo das Postfach liegt (Login Screen ist vom 2016er und das eigentliche OWA Webinterface entsprechend dem 2010er oder 2016er je nachdem wo das Postfach liegt)
und das obwohl die externe URL im 2010er noch eingetragen ist. Das wusste ich bis eben nicht, dass das leer sein soll.
Activesync funktioniert jedoch nicht auf diese Weise. Intern über WLAN (DNS zeigt auf 2016er) geht kein Activesync für Postfächer auf dem 2010er. Von extern über WAN gehts. Da scheint der Proxy nicht zu funktionieren.
Ich habe nun die Firewall mal auf den neuen EX2016 zeigen lassen. Da bekommen die User auf dem alten 2010er eine Meldung, dass der Benutzername oder das Kennwort nicht stimmen. Also schnell wieder zurückgestellt. (Das hat vll mit der noch vorhanden ext. URL zu tun)
Zum Autodiscover:
Der DNS Eintrag zeigt auf den EX2016, aber jetzt kommts:
get-clientaccessserver | fl Identity, *uri*
ergab, dass beide Server als CAS fungieren:
Identity : EX01
AutoDiscoverServiceInternalUri : https://autodiscover.*** .de/Autodiscover/Autodiscover.xml
Identity : EX2016
AutoDiscoverServiceInternalUri : https://autodiscover. ***.de/Autodiscover/Autodiscover.xml
Ich habe die Domain mal entfernt ;)
OWA von außen (Internet-Firewall-EX2010) funktioniert für alle User mit Postfach auf dem EX2010
Ja, deswegen leitet man von außen auch auf Exchange 2016, dann funktioniert es für alle.
Ich habe nun die Firewall mal auf den neuen EX2016 zeigen lassen. Da bekommen die User auf dem alten 2010er eine Meldung, dass der Benutzername oder das Kennwort nicht stimmen. Also schnell wieder zurückgestellt. (Das hat vll mit der noch vorhanden ext. URL zu tun)
Stimmt denn die Authentifizierung auf dem Exchange 2016? Vorübergehend für Outlook Anywhere auch auf NTLM (only) stellen. Was ist an der Stelle dann im Exchange 2010 konfiguriert?
Activesync funktioniert jedoch nicht auf diese Weise. Intern über WLAN (DNS zeigt auf 2016er) geht kein Activesync für Postfächer auf dem 2010er. Von extern über WAN gehts. Da scheint der Proxy nicht zu funktionieren.
Doch das muss. Wie sehen deine Active Sync Virtual Directories jeweils aus? Was genau heißt "funktioniert nicht"?
Das Umleiten von Außen auf den EX2016 führte leider dazu, dass die User, deren PFs auf dem 2010er liegen, diese nicht mehr über OWA erreichen konnten. Daher habe ich zurück geswitcht.
Liegt dieses Verhalten eventuell daran, dass beide Server als CAS fungieren und und für OWA auf dem 2010er noch eine externe URL hinterlegt ist?
Outlook Anywhere steht bei beiden Servern auf NTLM, beim EX2016 mit SSL-Abladung, beim alten ohne - wie in der Anleitung von Franky empfohlen wird.
Für Virtual Directories vom Active Sync sind für beide Server interne und externe (gleiche) URL hinterlegt. Die URLs sind die gleichen wie für OWA und co.
Das Umleiten von Außen auf den EX2016 führte leider dazu, dass die User, deren PFs auf dem 2010er liegen, diese nicht mehr über OWA erreichen konnten. Daher habe ich zurück geswitcht.
Hast du denn die URL inzwischen geleert?
Liegt dieses Verhalten eventuell daran, dass beide Server als CAS fungieren und und für OWA auf dem 2010er noch eine externe URL hinterlegt ist?
Ja, oder meinst du, ich verlinke und erwähne das, weils egal ist? ;)
Ich habe nun die URL entfernt, den Informationsstore neu gestartet und die Firewall umgeleitet.
Jetzt funktioniert der Client Zugriff via OWA! Vielen Dank dafür!
Muss ich dem 2010er nun die CAS Rolle zwingend nehmen? Kann man die CAS Funktion auch temporär "deaktivieren" um zu schauen, ob alles weiterhin funktioniert?
Du darfst die CAS Rolle auf dem 2010er nicht entfernen/löschen oder sonst was. Wie soll denn sonst der Proxy Zugriff erfolgen?