Vermieden werden soll, dass deine User sich mit attachment-owa… anmelden. Wenn sie den link selber nicht kennen, dürfte das wohl eher selten passieren. Und ja wenn der Host fehlt sollte das Bild dann nicht mehr angezeigt werden. Wäre also zu klären, warum das bei dir trotzdem passiert. Da du aber nur sehr selektiv antwortest…
Wollte nur zwischendurch ein Update geben.
Die Konfiguration hat mit dem von NorbertFe geposteten Link super geklappt. Nach einem IIS Reset werden die Bilder jetzt in der subdomain geöffnet.
Leider hatte ich nach dem IIS Reset den Internetzugriff vom Exchange zu schnell gekappt. Darum wird jetzt "Sperrungsprüfung fehlgeschlagen" im ECP angezeigt. Das Zertifikat ist jedoch trotzdem gültig und funktioniert. Werde wohl später ein Neustart machen müssen mit Internet und schauen, ob die Prüfung dann durchgeht.
Gruß
Ich weiß das hilft hier nicht weiter mit deinem Problem. Ich wollte nur ein kurzes Update geben, was vielleicht für andere interessant sein könnte.
Gestern habe ich plötzlich allerei Probleme im OWA festgestellt. Bei einem User gab es immer eine Fehlermeldung, wenn man Anhänge anschauen oder herunterladen wollte. Bei den anderen Usern trat das nur sporadisch auf. Die interne Kommunikation mit Outlook war nie gestört.
Das war die Fehlermeldung in OWA: "Fehler beim erstellen der Dokumentenvorschau. Versuchen sie es später."
Ich habe dann die Fehlermeldung gegoogelt und vermutet, dass es irgendwas mit den Zertifikaten zu tun haben muss. Auf jeden Fall fand ich auch in den Eventlogs reichlich Fehler im Zusammenhang mit IIS. Auch hier deutete alles auf Zertifikate hin.
Stellte sich raus, der Exchange mag es gar nicht auf längere Zeit vom Internet getrennt zu sein. Die von mir angesprochene Sperrungsprüfung wird dann irgendwann wohl zum Verhängnis. Vielleicht ist es noch einmal gravierender, da wir das Zertifikat mit LE über win-acme erstellen lassen.
Nachdem der Exchange wieder nach draußen rufen durfte und ein IIS Reset gemacht wurde, waren alle Probleme und Fehler wie verschwunden.
Afaik kann man den revocation check auch deaktivieren, wenn man will. Alternativ könnte man ja den exchange nur zu den notwendigen crl sites lassen. ;)
Zu früh gefreut. Heute ist das Problem wieder aufgetreten. Zertifikate sind alle gültig. Irgendwie scheint das mit der attachment subdomain nicht so ganz rund zu laufen...
Ich weiß das hilft hier nicht weiter mit deinem Problem. Ich wollte nur ein kurzes Update geben, was vielleicht für andere interessant sein könnte.
Gestern habe ich plötzlich allerei Probleme im OWA festgestellt. Bei einem User gab es immer eine Fehlermeldung, wenn man Anhänge anschauen oder herunterladen wollte. Bei den anderen Usern trat das nur sporadisch auf. Die interne Kommunikation mit Outlook war nie gestört.
Das war die Fehlermeldung in OWA: "Fehler beim erstellen der Dokumentenvorschau. Versuchen sie es später."
Ich habe dann die Fehlermeldung gegoogelt und vermutet, dass es irgendwas mit den Zertifikaten zu tun haben muss. Auf jeden Fall fand ich auch in den Eventlogs reichlich Fehler im Zusammenhang mit IIS. Auch hier deutete alles auf Zertifikate hin.
Stellte sich raus, der Exchange mag es gar nicht auf längere Zeit vom Internet getrennt zu sein. Die von mir angesprochene Sperrungsprüfung wird dann irgendwann wohl zum Verhängnis. Vielleicht ist es noch einmal gravierender, da wir das Zertifikat mit LE über win-acme erstellen lassen.
Nachdem der Exchange wieder nach draußen rufen durfte und ein IIS Reset gemacht wurde, waren alle Probleme und Fehler wie verschwunden.
Da du ja wenig über deine Konfiguration verrätst, außer dass dein Exchange nicht ins Internet darf aber vom Internet offenbar erreichbar ist, wirds natürlich schwer. Man kann afaik die CRL Prüfung auch abschalten, ob das sinnvoll ist, sei mal dahingestellt. Alternativ erlaubt man seinem Exchange entweder zur CRL URL zu kommen, oder lebt mit deinem Problem. ;)
Ich kann derzeit wenig Probleme erkennen und habe die Konfig bei einigen umgesetzt. Aber vielleicht nutzen die OWA auch nur sehr begrenzt, das weiß ich nicht.
Bye
Norbert
Was willst du über die Konfiguration denn wissen? Drehen wir den Spieß doch um :)
Der Server kann mittlerweile auch wieder nach draußen funken, daher die gültigen Zertifikate.
Nach einem recycle vom MSExchangeOWA Pool geht alles wieder direkt. Leider, keine Fehler in den Logs etc. :/
Naja wär halt ggf. Interessant ob davor ein Reverse Proxy hängt. Aber wenn’s jetzt erstmal geht hilft erstmal nur beobachten.
Ich habe jetzt eine kleine Änderung am DNS Eintrag vorgenommen. Vielleicht war es nicht klug ein A-Record zu verwenden. Ja, ich weiß es heißt immer "Alias" anlegen. Es hat halt trotzdem funktioniert, daher dachte ich vielleicht macht es keinen großen Unterschied. Naja, A-Record gelöscht CNAME mit selber subdomain angelegt. App Pool recycled. Getestet, geht noch. Werde dann wieder berichten, ob das Problem wieder auftritt oder damit behoben wurde.
Grüße
Der Server ist von außen nur per VPN erreichbar. Er darf aber per http/s nach draußen, wegen den CRLs.
Ja, ich weiß es heißt immer "Alias" anlegen.
Nö, ich hab das auch alles als a-Record. Alias verwende ich eher nicht.
Warum verwendet man dann ein öffentliches Zertifikat, wenn der Server nur per VPN erreichbar ist? Dann täte es ggf. Auch ein internes Zertifikat und dann muss der Exchange auch nicht nach extern ;)
Da der Exchange vor Hafnium von extern erreichbar war. Das mit dem internen Zertifikat ist mir schon klar, wollte ich aber erst mal so weiter laufen lassen, in der Annahme vielleicht doch wieder auf RP umzustellen, wenn unsere UTM endlich LE Zertifikate unterstützt. Da sich die Mitarbeiter aber an das VPN gewöhnt haben, könnte ich das evtl demnächst angehen. Never change a running system though usw.
Never change a running system though usw.
Es rennt ja nicht, sonst wärst du kaum hier :p
Bye
Norbert
PS: Wie ich diesen Spruch h...
Hallo zusammen,
wir haben bei uns das Problem, dass bei uns das Bild nach der Umstellung nicht angezeigt wird. Vorgegangen bin ich nach https://www.nobbysweb.de/blog/index.php?entry/59-sicherheitsanf%C3%A4lligkeit-in-microsoft-exchange-server-bez%C3%BCglich-spoofing-cve-2021/
Eine neue Domain und ein neues Zertifikat für die Download Domain wurde erstellt, und im ADFS auch die neue Domain eingetragen. Die Anmeldung an der OWA funktioniert auch über die neue Domain. Vor den 4 Exchange Server ist ein Kemp. Ich vermute mal, dass der Kemp die Ursache ist, nur weiß ich nicht wo dort noch was geändert werden muss.
Hat jemand von euch vielleicht ein Rat?
Gruß
Habe ich in der Form auch schon bei einem Kunden gesehen. Da wird Kemp mit Prä-Auth genutzt (Eine Lösung gibts aktuell bisher noch nicht). Falls alles nix hilft, mach einen Support Case bei Kemp auf. Die sind sehr hilfreich.
Bye
Norbert
Hallo Zusammen,
ich betreibe Exchange 2019 hinter einem Kemp. Mit Prä-Auth und MFA. Gibt es hier mittlerweile eine Lösung die Download Domain zu aktivieren.
Über owa.domain.com werden die Bilder verständlicherweise erst angezeigt wenn ich mich auch über attachment.domain.com authentifiziert habe.
Viele Grüße,
Alex
Bei uns hat der Sophos Support nach etlichen Debug Logs und Austausch mit unserem externen Netzwerkdienstleister es nicht hinbekommen. Bei aktivierter Downloaddomain konnten keine Bilder geladen werden, wenn ich aber mich über die URL der Download Domain anmelde ging es.
Sophos hat dann einfach gesagt das sie dieses nicht supporten da Micsoroft zu oft Ändeungen vornhmen oder so ähnlich. Wir sind nun ohne Download Domain unterwegs und wenn es nach mir geht könnte OWA auch komplett von Extern abgeschaltet werden :-)
MFG Paul
MfG Paul
Hi,
ich hatte damals bei Kemp einen Support Case dazu eröffnet und die Aussage war, dass ESP und Download Domains nicht miteinander funktionieren. Ich habe dann für den download domains hostnamen einen weiteren virtuellen Service auf eine andere IP gepackt und ohne ESP veröffentlicht. Macht natürlich an der Stelle dann wieder andere "Löcher" auf, aber da muss man im Zweifel abwägen. Du könntest natürlich auch nochmal einen Support Case eröffnen und fragen obs inzwischen Möglichkeiten gibt.
Bye
Norbert
Danke für eure schnellen Antworten. Sowas hab ich mir leider schon gedacht.
Habe mal einen Case bei Kemp eröffnet. Ich lass euch die Antwort dann wissen.
Grüße,
Alex