Hallo zusammen,
wir haben Probleme die Extended Protection auf diversen Exchangeservern (2013-2019) zu aktivieren.
Das Script läuft problemlos durch. Danach ist aber keine Anmeldung mit Outlook, OWA oder ECP mehr möglich. (Passwortabfrage kommt dauerhaft)
NTLMv1 ist bereits über LmCompatibilityLevel=5 abgeschaltet
Ebenso kann ich keine Powershell Verbindung für den Rollback mehr aufbauen.
Wenn ich dann im IIS in:
ExchangeBackend-Powershell-Authentifizierung-Windows-Authentifizierung
den erweiterten Schutz auf "Deaktivieren" umstelle, kann ich den Rollback durchführen.
Hat irgendjemand eine Idee, woran das liegen kann?
Viele Grüße
Daniel
So pauschal nicht. Redest du hier von verschiedenen Umgebungen, dann sollte man die ggf. gesondert betrachten und maximal die identischen Konfigurationsteile zusammenfassen. Oder redest du von einer Umgebung in der Exchange 2013, 2016 und 2019 stehen?
Wenn du NTLM geprüft hast, wie siehts mit dem Thema SSL Offloading/bridging aus? Was ist mit AV mit SSL Inspection?
Bye
Norbert
Es handelt sich um verschiedene Umgebungen. Mal 2013er, mal 2016er, mal 2019er. Es ist immer nur eine Version in den Umgebungen vorhanden.
Der Zugriff geht weder intern noch extern. Von daher würde ich erst einmal den internen Zugriff "fixen", bevor ich mich an den externen mache.
Extern erwarte ich weniger Probleme.
Es ist eine UTM mit ReverseProxy vorhanden. Allerdings sind sowohl am ReverseProxy als auch am Exchange die gleichen Zertifikate installiert.
Das ist jetzt zwar etwas konkreter, aber irgendwie eben nur etwas.
Gehts hier um Single Serverumgebungen, oder DAG oder oder oder. Und das Thema AV hab ich schon häufiger auf Client oder Serverseite als Problem gesehen. Da ist dann egal ob intern oder extern. ;)
@norbertfe Sorry :).
es handelt sich allesamt um SingleServer Umgebungen ohne DAG. Den AV habe ich testweise ebenfalls deaktiviert - keine Veränderung.
Was mich stutzig macht, ist, dass nach der Aktivierung durch das MS-Script keinerlei Zugiff mehr auf die Mgmt-Shell des Exchangeserver möglich ist.
Sind die alle von euch konfiguriert? Ich kann das in zig Umgebungen nicht nachvollziehen. Bei allen gabs entweder gar keine Probleme, oder da wo wenige Probleme auftraten ließ sich das natürlich einfach wieder per Rollback beheben um die eigentliche Ursache zu finden. Also wäre zu klären, was ihr konfiguriert habt, dass sich bei euch ALLE Umgebungen gleich "falsch" verhalten.
Die Umgebungen die ich getestet habe, wurden alle von uns installiert - da hast du Recht. Allerdings sind wissentlich keine "Workarounds" o.ä. in den Umgebungen durchgeführt, so dass ich von MS-Standard Installationen ausgehen muss. An welchen Stellen könnte ich denn hier weiter bohren?
Problem gelöst. Der Heathchecker hat mich auf die richtige Spur gebracht.
https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/IPv6EnabledCheck/
Ich habe IPv6 jetzt komplett deaktiviert und schon läuft alles wie gewünscht.