Ein wesentlicher Bestandteil von Microsoft Teams ist die Möglichkeit zur Teilnahme an Besprechungen und Live-Events. Die Planung der Termine für diese Veranstaltungstypen erfolgt meist direkt über den persönlichen Kalender im Microsoft Teams Client. Ebenso ermöglicht der Kalender eine einfache und schnelle Teilnahme an Besprechungen.
Microsoft Teams ist eine App-Plattform für ganz unterschiedliche Anwendungsszenarien. Als Teil dieser App-Plattform stellt uns Microsoft die Kalender-App zur Verfügung. Diese Kalender-App realisiert den Zugriff auf den persönlichen Kalender im Exchange Postfach und stellt die Inhalte im Teams-Client dar. Die App stellt ebenfalls die Funktionen zur Verfügung, um neue Teams-Besprechungen oder Live-Events zu planen.
Mit einem Postfach in Exchange Online sind keine funktionalen Probleme zu erwarten. Microsoft Teams und Exchange Online sind für ein reibungsloses Zusammenspiel konfiguriert. Es funktioniert einfach. Wenn Sie nun Postfächer nutzen, die in einer lokalen Exchange Organisation bereitgestellt werden, sieht die Situation ganz anders aus. Die Nutzung von Microsoft Teams mit lokalen Exchange Postfächern birgt einige Stolpersteine für eine funktioniere Anbindung.
Die Verwendung lokaler Postfächer mit Microsoft Teams ist an einige Voraussetzungen geknüpft. Aus diesen Voraussetzungen ergeben sich automatisch die zu erwartenden Stolpersteine bei der technischen Implementierung und für das Troubleshooting im Fehlerfall.
Ein Microsoft Teams Client greift nicht direkt auf ein Anwender-Postfach zu. Die Kalender-App erhält die notwenigen Kalenderinformationen von den Teams Backend-Diensten (Backend Services), ein Kernbestandteil der Microsoft 365 Clouddienste. Die Backend-Dienste kommunizieren mit dem Anwender-Postfach, um die Daten aus dem Kalenderordner zu lesen, aufzubereiten und dem Teams Client bereitzustellen. Die Dienste verlassen sich hierbei auf die AutoDiscover-Funktionalität von Exchange und finden die notwendigen Funktionen über eine AutoDiscover V2-Abfrage. Im Gegensatz zur Version 1, handelt es sich hierbei um eine anonyme Abfrage, die nur von Exchange Online und neueren Exchange Server Versionen unterstützt wird.
Wie bereits erwähnt, funktioniert das Zusammenspiel zwischen Microsoft Teams und Exchange Online reibungslos. Dieses Zusammenspiel hat zur Folge, dass die Teams Backend-Dienste immer zuerst eine AutoDiscover V2-Abfrage an Exchange Online stellen, da dieser Endpunkt verlässlich zur Verfügung steht. Über diese Abfrage finden die Backend-Dienste den Exchange Web Services Endpunkt für den Kalenderzugriff auf Basis der E-Mail-Adresse des Benutzers.
Exchange Online antwortet den Teams Backend-Diensten mit der EWS-Adresse von Exchange Online, insofern sich das Postfach in Exchange Online befindet. Oder genauer gesagt, wenn es sich bei der angefragten E-Mail-Adresse um einen Mailbox User handelt.
Ist die angefragte E-Mail-Adresse einen Mail User zu geordnet, erhalten die Teams Backend-Dienste eine HTTP 302-Redirect Antwort zum lokalen AutoDiscover Endpunkt und fragen diesen Endpunkt nach der Adresse des lokalen Exchange Web Services Endpunktes.
https://outlook.office365.com/autodiscover/autodiscover.json?Email=john.doe@varunagroup.de&Protocol=EWS https://outlook.office365.com/autodiscover/autodiscover.json?Email=john.doe@varunagroup.de&Protocol=REST
https://outlook.office365.com/autodiscover/autodiscover.json?Email=john.doe@varunagroup.de&Protocol=EWS
https://outlook.office365.com/autodiscover/autodiscover.json?Email=john.doe@varunagroup.de&Protocol=REST
Nachdem die Teams Backend-Dienste die Adresse des Exchange Web Services Endpunktes erhalten haben, erfolgt ein authentifizierter Zugriff auf Postfach des Anwenders unter Verwendung von OAuth. Hierzu muss die OAuth-Authentifizierung zwischen der lokalen Exchange Organisation und Exchange Online als vertraute Partnerapplikationen korrekt konfiguriert sein.
Die OAuth-Authentifizierung ist nur der erste Schritt für den Zugriff auf ein Anwender-Postfach. Die Architektur moderner Exchange Server Versionen birgt in DAG- und Multi-Server-Umgebungen besondere Herausforderungen. Jede eingehende Verbindung durchläuft vier Komponenten und vollzieht dabei unter Umständen auch noch einen Serverwechsel. Die vier Komponenten sind:
Die Proxy-Verbindung von Schritt 2 zu Schritt 3 kann zu einem anderen Server führen, wenn dort im Moment des Zugriffs die aktive Kopie des Zielpostfaches eingebunden ist. Sie sehen, dass die Konfiguration der lokalen Exchange Organisation die wichtigste Rolle beim Zugriff der Teams Backend-Dienste auf ein lokales Postfach darstellt.
Die Komplexität des Zugriffes auf den persönlichen Kalender in Microsoft Teams ist allerdings noch nicht das Ende der Betrachtungen. Ähnlich schwierig gestaltet sich die Planung von Teams-Besprechungen in einem Stellvertreterszenario. In dieser Situation verbinden sich die Teams Backend-Dienste mit dem Postfach Manager-Postfach und prüfen die Kalenderberechtigung für den Stellvertreter. Zusätzlich zu den zuvor beschriebenen Protokollzugriffen spielen die Outlook-Berechtigungen eine wichtige Rolle. Eine Meeting-Planung als Stellvertreter ist nur möglich, wenn die Berechtigung über den Outlook Berechtigungsassistenten für Stellvertretungen erfolgt ist. Eine direkte Ordnerberechtigung ist nicht ausreichend.
Folgen Sie den Empfehlungen von Microsoft zu einer Standard-Implementierung von Exchange Server und der Erreichbarkeit für Microsoft 365 Dienste. Wenn sich dies als zu schwierig für Ihre lokale IT-Infrastruktur erweist, migrieren Sie Ihre lokalen Exchange Postfächer zu Exchange Online.
Das Troubleshooting der Teams Backend-Dienste ist eine komplexe Angelegenheit. Im Teams Community Blog finden Sie meine dreiteilige Mini-Serie, die Ihnen bei der Fehlersuche und Behebung hilft:
Die deutschsprachige Mini-Serie finden Sie hier:
Die Nutzung lokaler Postfächer mit Microsoft Teams beschränkt sich auf den persönlichen Kalender. Persönliche Kontakte werden nicht verwendet.
Neben Microsoft Teams ist eine Nutzung von anderen Microsoft 365 Diensten bei Verwendung eines lokalen Exchange Postfaches nur eingeschränkt oder gar nicht möglich. Microsoft To Do funktioniert nicht mit lokalen Exchange Postfächern.
Die Verwendung von Microsoft Teams mit lokalen Exchange Postfächern ist ein komplexes Betriebsszenario. Ohne eine korrekte Konfiguration der lokalen Exchange Organisation wird die Nutzung der Anwenderkalender scheitern. Sie müssen die technische Implementierung planen und testen, bevor Ihre Anwender diese Funktion produktiv nutzen können. Ebenso ist es hilfreiche, wenn Sie die Verbindungswege im Zusammenspeil von Microsoft Teams mit Exchange Server kennen, um erfolgreich Fehlersituationen zu meistern.
Die Schulung der Anwender ist ebenfalls nicht zu unterschätzen. Wenn Sie Ihren Anwendern klare und einfach zu verstehen Anleitungen bieten, können Anwendungsfehler reduziert werden.
Viel Spaß mit Microsoft Teams & Exchange Server.
Im ersten Teil der Serie haben ich einen Überblick über das Zusammenspiel der Teams Backend Services mit lokalen Exchange Organisationen vorstellt. Der zweite Teil der Serie beschreibt, wie die Teams Backend Services die lokale Exchange Organisation per AutoDiscover finden und welche Möglichkeiten Sie haben, um Fehlerquellen zu isolieren, sollte es bei diesem Prozess und dem Zugriff der Kalender-App zu Problemen kommen.
Dieser dritte Teil befasst sich mit Kalender-Stellvertretungen für Teams-Meetings und dem kalenderbasierten Präsenzstatus.
Zum Themenkomplex möglicher Verbindungsprobleme zwischen den Microsoft Backend Services und Exchange Server finden Sie zusätzliche Information in der Microsoft Online Dokumentation.
Der Microsoft Teams Client stellt Ihnen nur den persönlichen Kalender zur Verfügung, um Besprechungen oder Live-Meetings zu planen. Wenn ein Stellvertreter eine Team-Besprechung in meinem Namen in meinem Kalender erstellen soll, muss diese Besprechung über Outlook für Desktop geplant werden. Die Planung einer neuen Teams-Besprechung ist nur möglich, wenn das Microsoft Teams AddIn im Outlook Client des Stellvertreters geladen ist.
Eine weitere wichtige Voraussetzung ist, dass die Stellvertreterberechtigung über den Outlook-Einrichtungsassistenten für Stellvertretungen erfolgt ist. Eine direkte Berechtigung auf dem Postfachordner Kalender ist nicht ausreichend.
Die Erstellung einer neuen Teams-Besprechung durch einen Stellvertreter in Outlook mit einem Postfach in der lokalen Exchange Organisation nutzt ebenfalls den Exchange Web Services Endpunkt.
Hierbei werden folgende Schritte durchlaufen:
/EWS
Kommt es zu Problemen bei der Erstellung einer neuen Teams-Besprechungseinladung als Stellvertreter, können Sie folgende Punkte prüfen:
Eine weitere Fehlerquelle für den Zugriff auf Exchange Server Endpunkte sind Zugriffsfilterungen auf Basis des User Agent Strings. Wenn Sie Layer 7 Netzwerkgeräte einsetzen, die solche Filterungen durchführen, konfigurieren Sie diese für Bypass.
Im zweiten Teil der Artikelserie haben Sie die detaillierten Schritte für die Fehlersuche in den Exchange Server Protokolldateien kennengelernt. Nutzen Sie für das Troubleshooting der Kalenderstellvertretungen die gleiche Vorgehensweise.
Microsoft Teams kann den Präsenzstatus auf Basis von Kalenderinformationen im persönlichen Postfach auf „In einer Besprechung“ setzen. Bei der Nutzung eines lokalen Exchange Server Postfaches sind dieser Funktionen jedoch Grenzen gesetzt.
Der Microsoft Teams Client fragt den Präsenzstatus alle sechs Minuten beim Präsenzdienst im Teams Backend ab. Eine Exchange Kalenderabfrage kann in zwei unterschiedlichen Modi erfolgen:
Im Zusammenspiel mit Exchange Server ist nur der Pull-Modus unterstützt.
Im Gegensatz zu den bisher beschriebenen Zugriffsarten, erfolgt der Zugriff durch den Präsenzdienst per REST-Protokoll statt. Hierbei werden folgende Schritt durchlaufen:
Die Möglichkeiten zur Fehleranalyse gleichen auch hier den Möglichkeiten, die Sie bereits bei AutoDiscover und dem Kalenderzugriff kennengelernt haben:
$exinstall\FrontEnd\HttpProxy\rest\web.config <httpRuntime maxRequestLength="2097151" maxUrlLength="2048" maxQueryStringLength="4096" requestPathInvalidCharacters="<,>,*,%,\,?" requestValidationMode="2.0" />
Wie auch bei den Kalenderstellvertretungen , sind auch beim Präsenzstatus Zugriffsfilterungen auf Basis des User Agent Strings eine Fehlerquelle. Wenn Sie Layer 7 Netzwerkgeräte einsetzen, um Zugriffe auf den REST-Endpunkt zu filtern, so konfigurieren Sie diese für Bypass oder entfernen diese aus dem Zugriffspfad.
Die Teams Backend Services nutzen AutoDiscover Version 2, um das Exchange Anwender-Postfach im Auftrag eines Teams-Clients zu finden. Dieser AutoDiscover V2 Aufruf ist aus Performancegründen ein anonymer Aufruf, um möglichst schnell die Exchange Ziel-URL für das gesuchte Postfach zu ermitteln. Wie bereits im ersten Teil erwähnt, wird erfolgt zuerst immer eine Abfrage gegen den AutoDiscover-Endpunkt von Exchange Online durchgeführt. Sollte sich das Postfach nicht in Exchange Online befinden, erhalten die Backend Services in einer Redirect-Antwort die Zieladresse der lokalen Exchange Organisation, um eine erneute AutoDiscover-Abfrage durchzuführen.
https://outlook.office365.com/autodiscover/autodiscover.json?Email=John.Doe@varunagroup.de&Protocol=EWS
https://outlook.office365.com/EWS/Exchange.asmx
autodiscover.varunagroup.de
https://autodiscover.varunagroup.de/autodiscover/autodiscover.json?Email=John.Doe@varunagroup.de&Protocol=EWS
{"Protocol":"EWS","Url":"https://mail.varunagroup.de/EWS/Exchange.asmx"}
Aber was passiert, nachdem die Teams Backend Services die URL für den Zugriff auf das lokale Postfach ermittelt haben? Es werden folgende Schritte durchgeführt:
Wie Sie sehen, ist der Zugriff auf den Kalender eines Benutzerpostfaches in einer lokalen Exchange Organisation komplex. Hierbei kann es auch zu Fehlern kommen.
Wie können Sie nun für den AutoDiscover-Prozess und den Kalenderzugriff eine Fehleranalyse durchführen? Fangen wir mit AutoDiscover an.
Da alle AutoDiscover- und weiteren Zugriffe aus den Teams Backend Services heraus erfolgen, sind Troubleshooting-Schritte auf dem lokalen Teams-Client nicht hilfreich.
AutoDiscover V2 ist ein anonymer Zugriff und ermöglicht so einen einfachen Selbsttest. Dies hilft Ihnen als IT-Administrator, um den Zugriff für ein Benutzerkonto zu prüfen, bei dem es zu einem Fehlverhalten kommt. Prüfen Sie das AutoDiscover Verhalten per PowerShell oder mit Hilfe eines Browsers.
Test per PowerShell
Invoke-RestMethod -Uri 'https://outlook.office365.com/autodiscover/autodiscover.json?Email= John.Doe@varunagroup.de&Protocol=EWS' Invoke-RestMethod -Uri 'https://outlook.office365.com/autodiscover/autodiscover.json?Email= John.Doe@varunagroup.de&Protocol=REST'
Test per Browser
Führen Sie zur erweiterten Fehleranalyse bei der Ausführung der HTTPS-Abfragen einen Fiddler-Trace durch. Der Trace hilft Ihnen, weitere mögliche Fehlerquellen zu identifizieren.
Kommt es bei der Ermittlung der AutoDiscover Informationen zu einem Fehler, bedeutet dies nicht automatisch, dass ein Problem vorliegt. Prüfen Sie folgende Punkte:
https://exch01.varunagroup.local/EWS/Exchange.asmx
https://mail.apac.varunagroup.de/EWS/Exchange.asmx
https://mail.emea.varunagroup.de/EWS/Exchange.asmx
Die nächsten Schritte zur Identifikation von Verbindungsproblemen führen uns schon zu den lokalen Exchange Servern. Mit einem lokalen Netzwerk-Trace können Sie feststellen, ob es zu TLS-Handshake Fehlern kommt. Bedenken Sie, dass Ihre Exchange Server System korrekt für TLS 1.2 konfiguriert sein müssen.
Gibt es keine Fehler beim TLS-Handshake, gilt es nun die Protokolldateien der Exchange Server zu prüfen. Die Prüfung der Protokolldateien ist auf den lokalen Exchange Servern erfordert mehrere Schritte. Je nach Größe Ihrer lokalen Exchange Organisation ist diese Prüfung beliebig komplex.
Das folgende Diagramm zeigt die beteiligten Exchange Server Komponenten eines einzelnen Exchange Servers für eingehende Verbindungen der Teams Backend Services zum Exchange Web Services Endpunkt.
Eine eingehende HTTPS-Verbindung wird durch die Frontend-Komponente eines Exchange Servers angenommen und anschließend als Proxy-Verbindung zu dem Exchange Server weiterverbunden, auf dem im Moment des Zugriffes die Postfachdatenbank mit dem Anwender-Postfach aktiv eingebunden ist. Prüfen Sie zuerst in IIS-Protokolldateien, ob die Verbindung durch die Internet Information Service angenommen wurde. Überprüfen Sie anschließend die Frontend- oder Backend-Protokolldateien des angesprochenen Exchange-Endpunktes, also AutoDiscover, EWS oder REST.
Nachdem Sie nun wissen, wie Sie den Fehlern im AutoDiscover-Prozess begegnen, ist es Zeit, einen Blick auf die Kalender-App zu werfen.
Wenn der Zugriff auf AutoDiscover fehlerfrei funktioniert, ist die Wahrscheinlichkeit groß, dass auch der Zugriff auf die Exchange Web Services funktioniert und damit auch die Kalender-App im Teams Client des angemeldeten Anwenderkontos.
Sollte der Kalender im Teams-Client nicht angezeigt werden, prüfen Sie folgende Punkte:
Heute wurde die elfte Folge von Thomas' Tech Talk veröffentlicht.
Das Thema des Talks ist:
Das PowerShell-Skript HealthChecker.ps1 hilft Ihnen bei der korrekten Konfiguration des Serversystems, auf dem Sie eine Exchange Server Installation betreiben. Nutzen Sie dieses Skript nach der Installation und Basiseinrichtung des Servers.
Die Aufgabe des Skriptes ist es nicht, Exchange Server richtig zu konfigurieren, sondern Empfehlungen für die Konfiguration der Betriebssystemkomponenten wie Netzwerk-Adapter, Page File, C++ Bibliotheken, CPU oder den Arbeitsspeicher zu geben. Wenn Sie die vom Skript empfohlenen Einstellungen umsetzen, erhöhen Sie die Betriebssicherheit und Stabilität des Exchange Server Systems.
In diesem Tech Talk zeige ich Ihnen, wie hilfreich und einfach dieses Skript ist.
<!--cke_bookmark_408E--><!--cke_bookmark_104E-->
Viel Spaß.
Exchange Server und Exchange Online nutzen Aufbewahrungsrichtlinien, um sog. Aufbewahrungstags zu gruppieren. Ein Aufbewahrungstag beschreibt, wie der Exchange Managed Folder Assistant Elemente in einem Postfach oder einem Postfachordner verarbeiten soll, wenn diese automatisch bereinigt oder aufbewahrt werden sollen.
Manchmal zeigen diese Richtlinien ein unerwartetes Verhalten an den Tag. Dieses Verhalten lässt sich nur durch eine Entfernung der Aufbewahrungsinformationen aus dem betroffenen Postfach lösen.
Um zu verstehen, wie man Exchange Aufbewahrungsrichtlinien bereinigt, müssen wir zuerst ein Blick auf die Basics der Aufbewahrung in Exchange Server werfen werfen.
Es existieren Standard (Default) und Persönliche (Personal) Tags. Diese Tags definieren, was mit einem Objekt passieren soll, ob aufbewahrt, gelöscht oder in das Archiv-Postfach verschoben werden soll.
Standard-Tags greifen immer für das gesamte Postfach, oder, im Fall von Löschrichtlinien, für Standard-Ordner.
Alle Richitlinen-Tags, die Sie einer Mailbox zuweisen möchten, werden in einer Aufbewahrungsrichtlinie zusammengefasst. Jedem Postfach kann nur eine Aufbewahrungsrichtlinie zugewiesen werden.
Der folgende Screenshot zeigt die Standard MRM Aufbewahrungsrichtlinien für Benutzer- und Arbitration-Postfächer, ergänzt um zwei Test-Richtlinien.
Wenn Sie mehr über Aufbewahrungsrichtlinien und Richtlinien-Tags erfahren möchten, empfehlen ich einen Blick in die Exchange Dokumentation zu werfen.
Was genau wollen wir eigentlich entfernen?
Es geht um
Zugewiesene Aufbewahrungsrichtlinien zu entfernen ist einfach. Weisen Sie dem Postfach eine andere Richtlinie zu oder setzen Sie den Parameter RententionPolicy auf $null. Damit werden allerdings nicht die persönlichen Tags, die ein Benutzer Postfach-Ordnern zugewiesen hat, entfernt.
Wie wird man nun die persönlichen Tags los? Microsoft hat hierauf eine einfache Antwort:
Aber was passiert, wenn das zu entfernende Tag von anderen Benutzern in Ihrer Exchange Organisation ebenfalls verwendet wurde? In diesem Fall würde es aus allen Postfächern entfernt.
Mal angenommen, Sie haben eine Lösch-Richtlinie, die aus Compliance-Gründen alles älter 10 Jahre löscht. Sie haben dem Benutzer mit einem persönlichen Tag die Möglichkeit gegeben einzelne Ordner vom Löschen auszunehmen. Wenn Sie nun dieses persönliche Tag aus der Exchange Organisation entfernen, werden Sie ein nicht zu vernachlässigendes Supportaufkommen in Ihrer Hotline generieren. Der Managed Folder Assistant wird E-Mail-Nachrichten (älter 10 Jahre) aus allen Ordnern aller Postfächer löschen, an denen das persönliche Tag gesetzt war. Nicht davon zu sprechen, das sie diese dann wiederherstellen müssen.
Zum Glück ist Hilfe nah. Das Tool RemovePersonalRetentionTag hilft Ihnen bei der selektiven Entferung von Richtlinien-Tags.
Mit diesem Tool können Sie eine oder mehrere persönliche Tags von Ordnern eines Postfaches entfernen, ohne diese aus der Exchange Organisation löschen zu müssen.
Dazu gibt es zwei Voraussetzungen. Sie müssen Impersonation-Rechte für das Postfach besitzen, in welchem Sie die Tags entfernen möchten. Wenn sich das Postfach in Exchange Online befindet, muss in einer Exchange Online Umgebung die Basic-Authentifizierung aktiviert sein, da das Tool über Exchange Web Services auf Postfächer zugreift.
RemovePersonalRetentionTag.exe -mailbox "user@example.com" -impersonate
Get-RetentionPolicyTag -Types Personal | Select Name,RetentionId | ft -a
RemovePersonalRetentionTag.exe -mailbox "user@example.com" -impersonate -retentionid "a7966968-dadf-4df7-ae87-4482686b4634"
RemovePersonalRetentionTag.exe -mailbox "user@example.com" -impersonate -retentionid "a7966968-dadf-4df7-ae87-4482686b4634, 414c6a14-3ed5-432e-9edb-c6620a8278f0"
Das Tool kann auch dabei helfen, persönliche Tags von Systemordnern, wie zum Beispiel „Yammer“, zu entfernen.