Folge 12

Heute wurde die zwölfte Folge von Thomas' Tech Talk veröffentlicht.

Das Thema des Talks ist:

• Exchange Server Support Life-Cycle

Die unterstützten Version von Exchange Server sind das jeweils aktuelle und das vorherige kumulative Update (CU). Dies ist bereits seit den Anfangstagen von Exchange Server 2013 der Fall. Jedoch wurden im Frühjahr zahlreiche Unternehmen überrascht, als die Exchange Produktgruppe nur für diese kumulativen Updates Sicherheitsaktualisierungen veröffentlicht hat.

In diesem Tech Talk erkläre ich, was der Mainstream- und der Extended-Support sind, wie sich der Produktsupport mit Exchange Server vNEXT verändern wird und warum Sie einen Life-Cycle Plan für Ihre Exchange Umgebung benötigen.

Links

• Thomas' Tech Talk YouTube-Kanal
• Präsentation (SlideShare)
• Präsentation (PDF)
• Tech Talk Übersicht

Ressourcen

• Exchange Server build numbers and release dates
• Exchange Server 2019 - Microsoft Lifecycle
• Fixed Lifecycle-Richtlinie
• Updates für Exchange Server 2019
• Updates für Exchange Server 2016

Viel Spaß.

Das Blog Cumulative Update für April 2021 (CU0421) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Microsoft Teams und Azure des Monats April 2021 zusammen.

Allgemein

• [STICKY] Modern Collaboration Architecture (MOCA)
• [STICKY] Microsoft Products Reaching End of Support for 2020
• Löschkonzept - Neue Guideline und Hinweise durch den LDSB Baden-Württemberg
• Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen veröffentlicht neue Blackliste für DSFAs
• A Better Way to Manage PowerShell Functions
• Microsoft 365 apps now available for Amazon Fire tablets
• Microsoft releases biannual digital trust reports
• Windows Virtual Desktop administration with WVDAdmin
• Aktualisierung der DSFA in der Microsoft 365 Dokumentation
• Moving to Microsoft 365 means getting to know your data (and your business)
• Champion Management Platform - Now Available
• Is It Really Possible to Measure ROI Across Microsoft 365?
• Teams vs Yammer vs Viva – Which for What?

Exchange Server

• [STICKY] Outlook License Requirements for Exchange Features
• How to Customize Responses to Calendar Meeting Requests for Conference Rooms
• Released: April 2021 Exchange Server Security Updates
• NSA says it found new critical vulnerabilities in Microsoft Exchange Server

Microsoft 365 | OneDrive | Exchange Online | and more

• [STICKY] Microsoft Compliance Configuration Analyzer (MCCA)
• [STICKY] Office 365 Network Performance Tool
• [STICKY] Office 365 Support and Recovery Assistant (aka SaRA)
• [STICKY] Office 365 URLs and IP address ranges
• [STICKY] Office 365-Trust Center
• Announcing General Availability of the new Exchange admin center
• Using the Tag for external email messages received a feature in the Microsoft Graph and Exchange Web Services
• Announcing Viva Learning public preview
• Centrally Managing Microsoft 365 Apps Updates
• Choosing (and implementing) your strategy for personal devices
• New SharePoint Home Site not showing
• Why Exchange Server updates matter
• EXO V2 module: Performance app-only connect
• Send as SMTP alias is now available in Exchange Online
• Monitoring Microsoft 365 using Raspberry Pi and M365 CLI
• How to Control Updates for User Photos in Microsoft 365 Apps
• Native external sender callouts on email in Outlook
• Six tips to get the most out of Microsoft To-Do in iOS
• Get a Test or Development Office 365 Tenant to Try Out New Features
• Microsoft Would Like Office 365 Tenants to Use Bing More - So Here Comes Microsoft Rewards
• Why haven’t you finished your Microsoft 365 migration yet?
• TLS Changes in Office 365
• Edge WebView2 Enables Reusable OWA Features

Microsoft Teams

• [STICKY] Teams User Group Berlin
• [STICKY] Security and Compliance in Microsoft Teams
• [STICKY] Keyboard shortcuts for Microsoft Teams
• [STICKY] Instructor-led training for Microsoft Teams
• An intro to Microsoft Teams webinars
• Microsoft Graph Mailbag - Create engaging apps with the Microsoft Teams Activity Feed API
• Change Teams Guest Profile Picture
• Troubleshooting Microsoft Teams und lokale Exchange Postfächer - Teil 1
• Troubleshooting Microsoft Teams und lokale Exchange Postfächer - Teil 2
• Troubleshooting Microsoft Teams und lokale Exchange Postfächer - Teil 3
• New Microsoft Teams Busy on Busy "Unanswered" mode
• Change your own profile picture as a Guest in Microsoft Teams
• Teams Meeting Breakout Rooms Get Persistence and Timers

Microsoft Azure

• [STICKY] Azure Latency Test
• [STICKY] Virtual Machines Licensing FAQ
• [STICKY] Azure Architecture Center
• [STICKY] Microsoft Azure Trust Center
• Exploring Hybrid Azure AD Join with a Provisioning Package
• Install AAD Connect 1.6.4.0 if you installed version 1.6.2.4
• Important Update: You Need to Install AAD Connect 1.6.2.4 ASAP!

Cloud | Cloud Sicherheit

• [STICKY] Microsoft Security TechCenter
• Intune MAM Exemptions - Discovering URL Protocols
• Replacing an Unifi Cloud Key (Gen 1) with a Docker container-based self-hosted solution
• Secure unmanaged devices with Microsoft Defender for Endpoint now
• Protect your business from email phishing with multi-factor authentication

Microsoft Training

• [STICKY] MCT Central
• Reminder: Role-based and specialty certifications to be valid for one year
• New Microsoft Power Platform and Dynamics 365 training: March 2021 roundup

Microsoft Docs | Tech Community | Knowledge Base

• [STICKY] Getting started with the Cloud Adoption Framework
• [STICKY] Surface Hub update history
• Choose the domain to use when creating Microsoft 365 groups
• Autodiscover Event ID 1 after installing Exchange Server 2019 CU3 or Exchange Server 2016 CU14
• Choose the domain to use when creating Microsoft 365 groups
• Archive mailbox issues for a mailbox that's migrated to or from Office 365

Skype for Business Server | Communications

• [STICKY] Download: Skype for Business Network Assessment Tool

Replay

• Oktober 2020: Troubleshooting Slow Migrations
• Juli 2020: Azure AD dynamic queries for Intune / MEM administrators
• Mai 2018: How to block direct delivery to an email address with the suffix as domain.onmicrosoft.com or domain.mail.onmicrosoft.com
• März 2021: When AAD, EXO, and MS Teams creating a mess
• Mai 2020: Digging into Hybrid Azure AD Join
• September 2018: Fixing Office 365 Anonymous Group Write-back and External Delivery
• November 2017: Office 365 Groups and Anonymous External Senders

Podcast Empfehlungen

• [STICKY] Collab Talk: #MsftBuzzChat Podcast series
• Episode #87 - Notes from the field on usage and adoption during COVID-19
• Episode #86 - Update from Microsoft Teams Contact Center Solution - Computer Talk

Tools

• Teams Phone Screen Capture Tool
• Network Assessment Tool Plus
• ADFS Rapid Restore Tool
• Active Directory Migration Tool version 3.2
• Microsoft Azure, Cloud and Enterprise Symbol / Icon Set - Visio stencil, PowerPoint, PNG, SVG
• ISESteroids - PowerTheShell
• Mailscape 365 - Exchange Online Monitoring und Reporting
• Mailscape - Exchange Monitoring und Reporting
• Compass - Active Directory Monitoring und Reporting

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Microsoft 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop. Bis dahin, werfen Sie doch einen Blick in das Microsoft Exchange Server 2019: Das Handbuch für Administratoren.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

Ein wesentlicher Bestandteil von Microsoft Teams ist die Möglichkeit zur Teilnahme an Besprechungen und Live-Events. Die Planung der Termine für diese Veranstaltungstypen erfolgt meist direkt über den persönlichen Kalender im Microsoft Teams Client. Ebenso ermöglicht der Kalender eine einfache  und schnelle Teilnahme an Besprechungen.

Microsoft Teams ist eine App-Plattform für ganz unterschiedliche Anwendungsszenarien. Als Teil dieser App-Plattform stellt uns Microsoft die Kalender-App zur Verfügung. Diese Kalender-App realisiert den Zugriff auf den persönlichen Kalender im Exchange Postfach und stellt die Inhalte im Teams-Client dar. Die App stellt ebenfalls die Funktionen zur Verfügung, um neue Teams-Besprechungen oder Live-Events zu planen.

Mit einem Postfach in Exchange Online sind keine funktionalen Probleme zu erwarten. Microsoft Teams und Exchange Online sind für ein reibungsloses Zusammenspiel konfiguriert. Es funktioniert einfach. Wenn Sie nun Postfächer nutzen, die in einer lokalen Exchange Organisation bereitgestellt werden, sieht die Situation ganz anders aus. Die Nutzung von Microsoft Teams mit lokalen Exchange Postfächern birgt einige Stolpersteine für eine funktioniere Anbindung.

Die Voraussetzungen

Die Verwendung lokaler Postfächer mit Microsoft Teams ist an einige Voraussetzungen geknüpft. Aus diesen Voraussetzungen ergeben sich automatisch die zu erwartenden Stolpersteine bei der technischen Implementierung und für das Troubleshooting im Fehlerfall.

Ein Microsoft Teams Client greift nicht direkt auf ein Anwender-Postfach zu. Die Kalender-App erhält die notwenigen Kalenderinformationen von den Teams Backend-Diensten (Backend Services), ein Kernbestandteil der Microsoft 365 Clouddienste. Die Backend-Dienste kommunizieren mit dem Anwender-Postfach, um die Daten aus dem Kalenderordner zu lesen, aufzubereiten und dem Teams Client bereitzustellen. Die Dienste verlassen sich hierbei auf die AutoDiscover-Funktionalität von Exchange und finden die notwendigen Funktionen über eine AutoDiscover V2-Abfrage. Im Gegensatz zur Version 1, handelt es sich hierbei um eine anonyme Abfrage, die nur von Exchange Online und neueren Exchange Server Versionen unterstützt wird.

Stolperstein 1

• Ihre lokale Exchange Server Organisation muss mit Exchange Server 2016 CU3 oder neuer betrieben werden. Idealerweise haben Sie bereits das März 2021 CU installiert.

Wie bereits erwähnt, funktioniert das Zusammenspiel zwischen Microsoft Teams und Exchange Online reibungslos. Dieses Zusammenspiel hat zur Folge, dass die Teams Backend-Dienste immer zuerst eine AutoDiscover V2-Abfrage an Exchange Online stellen, da dieser Endpunkt verlässlich zur Verfügung steht. Über diese Abfrage finden die Backend-Dienste den Exchange Web Services Endpunkt für den Kalenderzugriff auf Basis der E-Mail-Adresse des Benutzers.

Exchange Online antwortet den Teams Backend-Diensten mit der EWS-Adresse von Exchange Online, insofern sich das Postfach in Exchange Online befindet. Oder genauer gesagt, wenn es sich bei der angefragten E-Mail-Adresse um einen Mailbox User handelt.

Ist die angefragte E-Mail-Adresse einen Mail User zu geordnet, erhalten die Teams Backend-Dienste eine HTTP 302-Redirect Antwort zum lokalen AutoDiscover Endpunkt und fragen diesen Endpunkt nach der Adresse des lokalen Exchange Web Services Endpunktes.

Stolperstein 2

• Das lokale Exchange Postfach muss Exchange Online als Mail User Objekte bekannt sein, damit. Dies ist nur möglich, wenn die Informationen als Teil der Azure AD Connect Synchronisation mit der Option Exchange Hybrid übertragen werden.

Stolperstein 3

• Die lokalen AutoDiscover- und EWS-Endpunkte sind für die Teams Backend-Dienste nicht erreichbar. Diese Endpunkte müssen aus dem Internet über eines DNS-Auflösung erreichbar sein. Dies gilt auch für den REST-Endpunkt der lokalen Exchange Organisation.

Tipp

• Sie können eine AutoDiscover V2-Abfrage für eine E-Mail-Adresse problemlos im Browser durchführen. Dies ist einer der einfachsten Schritte beim Troubleshooting der Kalender-App.

https://outlook.office365.com/autodiscover/autodiscover.json?Email=john.doe@varunagroup.de&Protocol=EWS

https://outlook.office365.com/autodiscover/autodiscover.json?Email=john.doe@varunagroup.de&Protocol=REST

Nachdem die Teams Backend-Dienste die Adresse des Exchange Web Services Endpunktes erhalten haben, erfolgt ein authentifizierter Zugriff auf Postfach des Anwenders unter Verwendung von OAuth. Hierzu muss die OAuth-Authentifizierung zwischen der lokalen Exchange Organisation und Exchange Online als vertraute Partnerapplikationen korrekt konfiguriert sein.

Stolperstein 4

• Die AutoDiscover-Antwort Ihrer Exchange Server basiert auf den Einstellungen für externe URL-Adressen der angefragten Protokolle. Wenn diese Einstellungen nicht auf allen Servern korrekt konfiguriert sind, können die Teams Backend-Dienste keine Verbindung herstellen.

Stolperstein 5

• Ohne eine korrekte OAuth-Konfiguration zwischen der lokalen Exchange Organisation und Exchange Online schlägt die Anmeldung der Backend-Dienste an Ihren Exchange Servern fehl. Wenn keine Authentifizierung möglich ist, können keine Kalenderdaten gelesen werden.

Die OAuth-Authentifizierung ist nur der erste Schritt für den Zugriff auf ein Anwender-Postfach. Die Architektur moderner Exchange Server Versionen birgt in DAG- und Multi-Server-Umgebungen besondere Herausforderungen. Jede eingehende Verbindung durchläuft vier Komponenten und vollzieht dabei unter Umständen auch noch einen Serverwechsel. Die vier Komponenten sind:

1. IIS-Website des Frontends
2. Exchange Server Frontend-Proxy Komponente
3. IIS-Website des Backends
4. Exchange Server Mailbox Komponente

Die Proxy-Verbindung von Schritt 2 zu Schritt 3 kann zu einem anderen Server führen, wenn dort im Moment des Zugriffs die aktive Kopie des Zielpostfaches eingebunden ist. Sie sehen, dass die Konfiguration der lokalen Exchange Organisation die wichtigste Rolle beim Zugriff der Teams Backend-Dienste auf ein lokales Postfach darstellt.

Tipp

• Stellen Sie die korrekte Konfiguration und sichere Veröffentlichung Ihrer lokalen Exchange Organisation ins Internet sicher, bevor Sie über die Nutzung von Microsoft Teams mit lokalen Postfächern planen. Der Remote Connectivity Analyzer unterstützt Sie bei der Überprüfung der erforderlichen Verbindungen zu Ihrer Exchange Organisation.

Die Komplexität des Zugriffes auf den persönlichen Kalender in Microsoft Teams ist allerdings noch nicht das Ende der Betrachtungen. Ähnlich schwierig gestaltet sich die Planung von Teams-Besprechungen in einem Stellvertreterszenario. In dieser Situation verbinden sich die Teams Backend-Dienste mit dem Postfach Manager-Postfach und prüfen die Kalenderberechtigung für den Stellvertreter. Zusätzlich zu den zuvor beschriebenen Protokollzugriffen spielen die Outlook-Berechtigungen eine wichtige Rolle. Eine Meeting-Planung als Stellvertreter ist nur möglich, wenn die Berechtigung über den Outlook Berechtigungsassistenten für Stellvertretungen erfolgt ist. Eine direkte Ordnerberechtigung ist nicht ausreichend.

Stolperstein 6

• Die Planung von Meetings durch Stellvertreter ist nur möglich, wenn die richtige Berechtigungsmethode gewählt wurde.

Folgen Sie den Empfehlungen von Microsoft zu einer Standard-Implementierung von Exchange Server und der Erreichbarkeit für Microsoft 365 Dienste. Wenn sich dies als zu schwierig für Ihre lokale IT-Infrastruktur erweist, migrieren Sie Ihre lokalen Exchange Postfächer zu Exchange Online.

Das Troubleshooting der Teams Backend-Dienste ist eine komplexe Angelegenheit. Im Teams Community Blog finden Sie meine dreiteilige Mini-Serie, die Ihnen bei der Fehlersuche und Behebung hilft:

• Microsoft Teams and on-premises mailboxes: Part 1 - How do Teams and Exchange Server interact?
• Microsoft Teams and on-premises mailboxes: Part 2 - Teams Calendar App Troubleshooting
• Microsoft Teams and on-premises mailboxes: Part 3 - Calendar-Based Presence and Delegates

Die deutschsprachige Mini-Serie finden Sie hier:

• Teil 1 - Wie interagieren Microsoft Teams und Exchange Server?
• Teil 2 - Troubleshooting der Kalender-App
• Teil 3 - Troubleshooting von Kalenderstellvertretungen und kalenderbasiertem Präsenzstatus

Was nicht funktioniert

Die Nutzung lokaler Postfächer mit Microsoft Teams beschränkt sich auf den persönlichen Kalender. Persönliche Kontakte werden nicht verwendet.

Neben Microsoft Teams ist eine Nutzung von anderen Microsoft 365 Diensten bei Verwendung eines lokalen Exchange Postfaches nur eingeschränkt oder gar nicht möglich. Microsoft To Do funktioniert nicht mit lokalen Exchange Postfächern.

Zusammenfassung

Die Verwendung von Microsoft Teams mit lokalen Exchange Postfächern ist ein komplexes Betriebsszenario. Ohne eine korrekte Konfiguration der lokalen Exchange Organisation wird die Nutzung der Anwenderkalender scheitern. Sie müssen die technische Implementierung planen und testen, bevor Ihre Anwender diese Funktion produktiv nutzen können. Ebenso ist es hilfreiche, wenn Sie die Verbindungswege im Zusammenspeil von Microsoft Teams mit Exchange Server kennen, um erfolgreich Fehlersituationen zu meistern.

Die Schulung der Anwender ist ebenfalls nicht zu unterschätzen. Wenn Sie Ihren Anwendern klare und einfach zu verstehen Anleitungen bieten, können Anwendungsfehler reduziert werden.

Links

• Requirements to create and view meetings for mailboxes hosted on-premises
• Configure OAuth authentication between Exchange and Exchange Online organizations
• Troubleshoot Microsoft Teams and Exchange Server interaction issues
• Allow someone else to manage your mail and calendar

Viel Spaß mit Microsoft Teams & Exchange Server.

Troubleshooting von Kalender-Stellvertretungen und kalenderbasiertem Präsenzstatus

Im ersten Teil der Serie haben ich einen Überblick über das Zusammenspiel der Teams Backend Services mit lokalen Exchange Organisationen vorstellt. Der zweite Teil der Serie beschreibt, wie die Teams Backend Services die lokale Exchange Organisation per AutoDiscover finden und welche Möglichkeiten Sie haben, um Fehlerquellen zu isolieren, sollte es bei diesem Prozess und dem Zugriff der Kalender-App zu Problemen kommen.

Dieser dritte Teil befasst sich mit Kalender-Stellvertretungen für Teams-Meetings und dem kalenderbasierten Präsenzstatus.

Zum Themenkomplex möglicher Verbindungsprobleme zwischen den Microsoft Backend Services und Exchange Server finden Sie zusätzliche Information in der Microsoft Online Dokumentation.

Troubleshooting Microsoft Teams und Kalender-Stellvertretungen

Der Microsoft Teams Client stellt Ihnen nur den persönlichen Kalender zur Verfügung, um Besprechungen oder Live-Meetings zu planen. Wenn ein Stellvertreter eine Team-Besprechung in meinem Namen in meinem Kalender erstellen soll, muss diese Besprechung über Outlook für Desktop geplant werden. Die Planung einer neuen Teams-Besprechung ist nur möglich, wenn das Microsoft Teams AddIn im Outlook Client des Stellvertreters geladen ist.

Eine weitere wichtige Voraussetzung ist, dass die Stellvertreterberechtigung über den Outlook-Einrichtungsassistenten für Stellvertretungen erfolgt ist. Eine direkte Berechtigung auf dem Postfachordner Kalender ist nicht ausreichend.

Die Erstellung einer neuen Teams-Besprechung durch einen Stellvertreter in Outlook mit einem Postfach in der lokalen Exchange Organisation nutzt ebenfalls den Exchange Web Services Endpunkt.

Hierbei werden folgende Schritte durchlaufen:

1. Der Stellvertreter wechselt im eigenen Outlook-Client auf den Kalender des Managers und klickt in der sog. Ribbon-Bar auf "Neue Teams-Besprechung"
   
    
2. Das Teams Addin verbindet stellt eine Verbindung mit den Teams Backend Services her und fordert die Stellvertreterberechtigung des Manager-Postfaches an
    
3. Die Teams Backend Services ermitteln per AutoDiscover V2-Abfrage die EWS-URL
    
4. Die Teams Backend Services stellen eine OAuth authentifizierte Verbindung zum virtuellen Verzeichnis /EWS her
    
5. Die Teams Backend Services senden eine GetDelegate-SOAP-Anfrage für das Teams Meeting im Manager-Postfach
    
6. Exchange Server antwortet mit einer Liste der Stellvertreter und den zugehörigen Berechtigungen
    
7. Die Teams Backend Services antworten dem Teams AddIn mit den Informationen für das neue Teams-Meeting
   
    

Kommt es zu Problemen bei der Erstellung einer neuen Teams-Besprechungseinladung als Stellvertreter, können Sie folgende Punkte prüfen:

• Funktioniert die Teams Kalender-App für das Manager- und Stellvertreter-Postfach fehlerfrei?
   
• Test Sie die Stellvertreterberechtigung mit Hilfe des Remote Connectivity Analyzers
  
  https://go.granikos.eu/2OgCDWe
   
• Führen Sie eine manuelle GetDelegate-Abfrage mit Hilfe eines SOAP-Client, z.B. SOAPe, durch
  • Nehmen Sie wieder Fiddler zu Hilfe, um weitere Informationen des http-Protokolls zu erfassen
     
• Sie erhalten eine Teams Fehlermeldung
  
   
  • Prüfen Sie die Stellvertreterberechtigung, eine direkte Berechtigung auf dem Kalenderordner ist nicht ausreichend
     
• Prüfung der Exchange Protokolldateien und Exchange Einstellungen
  
  • Ist die GetDelegate-Anfrage in den EWS-Protokolldateien vorhanden?
  • Prüfung der IIS Frontend- und EWS-Proxy-Protokolle
  • Prüfung der PartnerApplication-Konfiguration

Eine weitere Fehlerquelle für den Zugriff auf Exchange Server Endpunkte sind Zugriffsfilterungen auf Basis des User Agent Strings. Wenn Sie Layer 7 Netzwerkgeräte einsetzen, die solche Filterungen durchführen, konfigurieren Sie diese für Bypass.

Im zweiten Teil der Artikelserie haben Sie die detaillierten Schritte für die Fehlersuche in den Exchange Server Protokolldateien kennengelernt. Nutzen Sie für das Troubleshooting der Kalenderstellvertretungen die gleiche Vorgehensweise.

Troubleshooting Microsoft Teams und kalenderbasierter Präsenzstatus

Microsoft Teams kann den Präsenzstatus auf Basis von Kalenderinformationen im persönlichen Postfach auf „In einer Besprechung“ setzen. Bei der Nutzung eines lokalen Exchange Server Postfaches sind dieser Funktionen jedoch Grenzen gesetzt.

Der Microsoft Teams Client fragt den Präsenzstatus alle sechs Minuten beim Präsenzdienst im Teams Backend ab. Eine Exchange Kalenderabfrage kann in zwei unterschiedlichen Modi erfolgen:

• Pull-Modus, Abfrage der Kalenderinformationen im 1h-Intervall
• Push-Modus, Abonnement-basierte Abfrage

Im Zusammenspiel mit Exchange Server ist nur der Pull-Modus unterstützt.

Im Gegensatz zu den bisher beschriebenen Zugriffsarten, erfolgt der Zugriff durch den Präsenzdienst per REST-Protokoll statt. Hierbei werden folgende Schritt durchlaufen:

1. Die Teams Backend Services ermitteln per AutoDiscover V2-Abfrage die REST-URL
2. Die Teams Backend Services stellen eine OAuth authentifizierte Verbindung zum virtuellen Verzeichnis /api her
3. Die Teams Backenend Services versuchen ein Abonnement einzurichten
   1. Hierbei kommt es zu einem RPC-Endpunkt nicht gefunden Fehler
4. Die Teams Backend Services führen als Fallback eine normale Kalenderabfrage durch und geben die Informationen an den Präsenzdienst weiter

Die Möglichkeiten zur Fehleranalyse gleichen auch hier den Möglichkeiten, die Sie bereits bei AutoDiscover und dem Kalenderzugriff kennengelernt haben:

• Ist die richtige API-URL in der AutoDiscover Antwort enthalten und auf dem Internet erreichbar?
  • Hier hilft Ihnen wieder einmal Fiddler
     
• Prüfen die web.config des Frontend REST-Verzeichnisses, wenn Sie die kumulativen Updates für Exchange Server von Dezember 2020 noch nicht installiert haben
  • In der web.config muss das Attribut maxQueryStringLength ergänz werden.

$exinstall\FrontEnd\HttpProxy\rest\web.config

<httpRuntime maxRequestLength="2097151" maxUrlLength="2048" maxQueryStringLength="4096" requestPathInvalidCharacters="<,>,*,%,\,?" requestValidationMode="2.0" />

• Prüfung der IIS Frontend- und REST-Proxy-Protokolle
• Prüfung der REST-Protokolle

Wie auch bei den Kalenderstellvertretungen , sind auch beim Präsenzstatus Zugriffsfilterungen auf Basis des User Agent Strings eine Fehlerquelle. Wenn Sie Layer 7 Netzwerkgeräte einsetzen, um Zugriffe auf den REST-Endpunkt zu filtern, so konfigurieren Sie diese für Bypass oder entfernen diese aus dem Zugriffspfad.

Links

• SOAPe Client bei GitHub
• Troubleshooting Microsoft Teams and Exchange Server interaction issues
• Exchange Server Build Numbers and Release Dates

• Teil 1 - Wie interagieren Microsoft Teams und Exchange Server?
• Teil 2 - Troubleshooting der Kalender-App
• Teil 3 - Troubleshooting von Kalenderstellvertretungen und kalenderbasiertem Präsenzstatus

Troubleshooting der Kalender-App

Teams Backend AutoDiscover

Die Teams Backend Services nutzen AutoDiscover Version 2, um das Exchange Anwender-Postfach im Auftrag eines Teams-Clients zu finden. Dieser AutoDiscover V2 Aufruf ist aus Performancegründen ein anonymer Aufruf, um möglichst schnell die Exchange Ziel-URL für das gesuchte Postfach zu ermitteln. Wie bereits im ersten Teil erwähnt, wird erfolgt zuerst immer eine Abfrage gegen den AutoDiscover-Endpunkt von Exchange Online durchgeführt. Sollte sich das Postfach nicht in Exchange Online befinden, erhalten die Backend Services in einer Redirect-Antwort die Zieladresse der lokalen Exchange Organisation, um eine erneute AutoDiscover-Abfrage durchzuführen.

Hierbei werden folgende Schritte durchlaufen:

1. Die Teams Backend Services fragen den Exchange Online AutoDiscover-Endpunkt per AutoDiscover V2 JSON-Abfrage nach der URL für das EWS-Protokoll
   https://outlook.office365.com/autodiscover/autodiscover.json?Email=John.Doe@varunagroup.de&Protocol=EWS
    
2. Exchange Online prüft den Empfängertyp (RecipientType) der angefragten E-Mail-Adresse und gibt für den gefundenen Empfängertyp folgende Antworten:
   1. RecipientType: Mailbox
      https://outlook.office365.com/EWS/Exchange.asmx
      
      Das Postfach ist ein Exchange Online Postfach, somit sind keine weiteren Schritte notwendig.
      Die Teams Backend Services haben die notwendige Information, um auf das Postfach und den Kalender zuzugreifen.
       
   2. RecipientType: MailUser
      Exchange Online ermittelt den AutoDiscover-Endpunkt auf Basis des Attributes ExternalEmailAddress, in diesem Beispiel autodiscover.varunagroup.de
       
3. Exchange Online antwortet mit einem HTTP 302 Redirect zu autodiscover.varunagroup.de
    
4. Die Teams Backend Services fragen per AutoDiscover V2 JSON-Abfrage nach der URL für das Protokoll EWS
   https://autodiscover.varunagroup.de/autodiscover/autodiscover.json?Email=John.Doe@varunagroup.de&Protocol=EWS
    
5. On-Premises Exchange Server antwortet mit einer externen EWS URL eines virtuellen Exchange Web Services Verzeichnisses
   Beispiel: {"Protocol":"EWS","Url":"https://mail.varunagroup.de/EWS/Exchange.asmx"}
    
6. Die Teams Backend Services nutzen diese URL, um eine Verbindung zur On-Premises Exchange Organisation aufzubauen

Aber was passiert, nachdem die Teams Backend Services die URL für den Zugriff auf das lokale Postfach ermittelt haben? Es werden folgende Schritte durchgeführt:

• Zugriff auf die ermittelte EWS-URL der lokalen Exchange Organisation und Durchführung einer OAuth-Authentifizierung
• Die Teams Backend Service senden eine EWS-Kalenderanfrage an den EWS-Endpunkt
• Die Exchange Web Services antworten mit den Kalenderinformationen des Anwenderpostfaches
• Die Teams Backend Services geben die Kalenderdaten an die Kalender-App zur Nutzung im Teams-Client weiter

Wie Sie sehen, ist der Zugriff auf den Kalender eines Benutzerpostfaches in einer lokalen Exchange Organisation komplex. Hierbei kann es auch zu Fehlern kommen.

Wie können Sie nun für den AutoDiscover-Prozess und den Kalenderzugriff eine Fehleranalyse durchführen? Fangen wir mit AutoDiscover an.

Troubleshooting AutoDiscover

Da alle AutoDiscover- und weiteren Zugriffe aus den Teams Backend Services heraus erfolgen, sind Troubleshooting-Schritte auf dem lokalen Teams-Client nicht hilfreich.

AutoDiscover V2 ist ein anonymer Zugriff und ermöglicht so einen einfachen Selbsttest. Dies hilft Ihnen als IT-Administrator, um den Zugriff für ein Benutzerkonto zu prüfen, bei dem es zu einem Fehlverhalten kommt. Prüfen Sie das AutoDiscover Verhalten per PowerShell oder mit Hilfe eines Browsers.

Test per PowerShell

Invoke-RestMethod -Uri 'https://outlook.office365.com/autodiscover/autodiscover.json?Email= John.Doe@varunagroup.de&Protocol=EWS'

Invoke-RestMethod -Uri 'https://outlook.office365.com/autodiscover/autodiscover.json?Email= John.Doe@varunagroup.de&Protocol=REST'

Test per Browser

https://outlook.office365.com/autodiscover/autodiscover.json?Email=john.doe@varunagroup.de&Protocol=EWS
https://outlook.office365.com/autodiscover/autodiscover.json?Email=john.doe@varunagroup.de&Protocol=REST

Führen Sie zur erweiterten Fehleranalyse bei der Ausführung der HTTPS-Abfragen einen Fiddler-Trace durch. Der Trace hilft Ihnen, weitere mögliche Fehlerquellen zu identifizieren.

Kommt es bei der Ermittlung der AutoDiscover Informationen zu einem Fehler, bedeutet dies nicht automatisch, dass ein Problem vorliegt. Prüfen Sie folgende Punkte:

• Die Ausführung der Abfrage wird mit einer Zeitüberschreitung abgebrochen
  • Ist der HTTPS-Zugriff auf die Ihre Exchange Organisation auf den Remote -IP-Adressbereiche von Microsoft 365 eingeschränkt?
  • Haben die Exchange Server ein Performance-Problem und können nicht zeitnah antworten?
     
• Sie erhalten eine „User Not Found“-Meldung als Antwort
  • Ist das Benutzerkonto von der Azure AD Connect Synchronisierung ausgenommen und existiert nicht als „Mail User“-Objekt in Exchange Online?
     
• Die Antwort liefert eine nicht erwartete EWS oder REST URL
  • Das Anwenderpostfach ist ein lokales Postfach, als Antwort erhalten Sie aber
    https://outlook.office365.com/EWS/Exchange.asmx
    
    Der Anwender verfügt über ein zusätzliches Postfach in Exchange Online.
    Lösen Sie die Postfach-Situation auf.
     
  • Sie erhalten eine URL, die wie einer interne URL aussieht
    https://exch01.varunagroup.local/EWS/Exchange.asmx
    
    Das ExternalUrl-Attribut ist nicht auf allen Exchange Servern konfiguriert.
  • Sie nutzen gebundene Namensräume und das Anwenderpostfach ist in der AD-Site EMEA, sie erhalten aber die URL einer anderen AD-Site
    https://mail.apac.varunagroup.de/EWS/Exchange.asmx
    Erwartete URL: https://mail.emea.varunagroup.de/EWS/Exchange.asmx
    
    AutoDiscover V2 ist erst mit den kumulativen Updates von März 2021 "AD-Site aware". Ohne dieses Update für Exchange Server 2016 und 2019 antwortet AutoDiscover V2 mit eine zufällig gewählten URL.
     
• Die Namensauflösung für die Zieldomäne schlägt fehl
  • Es existiert kein DNS-Eintrag für AutoDiscover

Die nächsten Schritte zur Identifikation von Verbindungsproblemen führen uns schon zu den lokalen Exchange Servern. Mit einem lokalen Netzwerk-Trace können Sie feststellen, ob es zu TLS-Handshake Fehlern kommt. Bedenken Sie, dass Ihre Exchange Server System korrekt für TLS 1.2 konfiguriert sein müssen.

Gibt es keine Fehler beim TLS-Handshake, gilt es nun die Protokolldateien der Exchange Server zu prüfen. Die Prüfung der Protokolldateien ist auf den lokalen Exchange Servern erfordert mehrere Schritte. Je nach Größe Ihrer lokalen Exchange Organisation ist diese Prüfung beliebig komplex.

Das folgende Diagramm zeigt die beteiligten Exchange Server Komponenten eines einzelnen Exchange Servers für eingehende Verbindungen der Teams Backend Services zum Exchange Web Services Endpunkt.

Eine eingehende HTTPS-Verbindung wird durch die Frontend-Komponente eines Exchange Servers angenommen und anschließend als Proxy-Verbindung zu dem Exchange Server weiterverbunden, auf dem im Moment des Zugriffes die Postfachdatenbank mit dem Anwender-Postfach aktiv eingebunden ist. Prüfen Sie zuerst in IIS-Protokolldateien, ob die Verbindung durch die Internet Information Service angenommen wurde. Überprüfen Sie anschließend die Frontend- oder Backend-Protokolldateien des angesprochenen Exchange-Endpunktes, also AutoDiscover, EWS oder REST.

Zum Themenkomplex möglicher Verbindungsprobleme zwischen den Microsoft Backend Services und Exchange Server finden Sie zusätzliche Information in der Microsoft Online Dokumentation.

Troubleshooting Kalender-App

Nachdem Sie nun wissen, wie Sie den Fehlern im AutoDiscover-Prozess begegnen, ist es Zeit, einen Blick auf die Kalender-App zu werfen.

Wenn der Zugriff auf AutoDiscover fehlerfrei funktioniert, ist die Wahrscheinlichkeit groß, dass auch der Zugriff auf die Exchange Web Services funktioniert und damit auch die Kalender-App im Teams Client des angemeldeten Anwenderkontos.

Sollte der Kalender im Teams-Client nicht angezeigt werden, prüfen Sie folgende Punkte:

• Kann die per AutoDiscover ermittelte EWS-URL in der externen DNS-Zone der Domäne aufgelöst werden und ist sie aus dem Internet per HTTPS erreichbar?
  • Rufen Sie die Ziel-URL in einem Browser auf und führen Sie eine Fiddler-Trace durch
    Der EWS Endpunkt muss mit einem HTTP-Statuscode 401 antworten
     
• Prüfen Sie den Teams Kalenderzugriff mit Hilfe des Remote Connectivity Analyzer.
  
  
  • http://bit.ly/TeamsCalTest
     
• Prüfen Sie die OAuth-Authentifizierung
  • Hier hilft Ihnen das PowerShell Cmdlet Test-OAuthConnectivity
  • Prüfen Sie auch die ServicePrincipalNames, IntraOrganization- und AuthServer-Einstellungen

Links

• Exchange Server TLS guidance Part 2: Enabling TLS 1.2 and Identifying Clients Not Using It
• My user has a mailbox both on-premises and in Exchange Online. Help!
• Configure OAuth authentication between Exchange and Exchange Online organizations

• Teil 1 - Wie interagieren Microsoft Teams und Exchange Server?
• Teil 2 - Troubleshooting der Kalender-App
• Teil 3 - Troubleshooting von Kalenderstellvertretungen und kalenderbasiertem Präsenzstatus