Apple Mail mit Exchange 2016 auf Windows Server 2016

Bei einem Projekt wurde aus Gründen in einer reinen Mac-Client-Umgebung (macOS 10.13 Sierra) ein Exchange-Server installiert. Hier haben wir den Exchange 2016 CU5 auch direkt auf dem Windows Server 2016 installiert. Die Clients können problemlos auf OWA zugreifen, eine Exchange-Verbindung via Apple Mail kommt jedoch nicht zustande. Angeblich sollen Benutzername und Passwort falsch sein. Die /EWS/Exchange.asmx kann ebenfalls mit dem Safari nicht aufgerufen werden (Authentifizierung scheint fehlzuschlagen).

Nach einiger Recherche habe ich die Lösung gefunden. Man muss auf dem Exchange Server die Nutzung von HTTP/2 deaktivieren, da es offenbar Schwierigkeiten mit NTLM-Authentifizierung und HTTP/2 unter Mac OS X gibt. Durch den Fallback auf HTTP/1.1 klappt auch NTLM wieder richtig und Apple Mail (und die anderen Apps) können Exchange nutzen.

Dazu einfach in der Registry unter HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters folgende Einträge erstellen:

REG_DWORD EnableHttp2Tls 0
REG_DWORD EnableHttp2Cleartext 0

Der erste Eintrag sollte eigentlich schon ausreichern, der zweite ist nur als Fallback gedacht.

Das Problem betrifft meiner Kenntnis nach nur Mac OS X, iOS-Geräte sind davon nicht betroffen (die nutzen ja auch mit ActiveSync eine andere Verbindungsmethode).

Quelle: https://social.technet.microsoft.com/Forums/en-US/dab47b34-84a0-43fa-b1fa-2c0999aac165/exchange-2016-ews-401-unauthorized-apple-mail-and-safari-only?forum=Exch2016CM

[Tech-Tipp] Windows Server 2012 Firewall und Linux Server LDAP-Abfrage

Ausgangssituation: In unserer Serverumgebung haben wir als Domain-Controller Windows Server 2012 im Einsatz. Einige Dienste (bspw. Confluence, Jira, Fisheye) laufen auf Linux-Servern und rufen die User-Credentials per LDAP-Anbindung von den Domain-Controllern ab. In den Log-Dateien der Linux-basierten Dienste haben wir regelmäßig Timeouts bzw. fehlgeschlagene LDAP-Verbindungen gefunden. Außerdem war es häufiger nötig, die Linux-Dienste neu zu starten, damit eine Benutzeranmeldung (wieder) möglich war.

Lösung: nach einiger Recherche bin ich darauf gestoßen, dass die Firewall der Windows Server seit Windows Server 2008 einen so genannten Stealth-Mode besitzt. Soweit ich das verstanden habe, werden dadurch Verbindungen von Clients zum Server kurz verzögert oder bei zu vielen Anfragen (automatisierte Anfragen) abgelehnt. Dieser Stealth-Mode kann nur über eine Änderung an der Registry ausgeschaltet werden. Weitere Infos: http://technet.microsoft.com/en-us/library/dd448557%28WS.10%29)

HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile

Hier einen neuen DWORD-Eintrag mit dem Namen „DisableStealthMode“ (Groß- und Kleinschreibung beachten) und dem Wert „1“ anlegen. Nach einem Neustart des Servers ist der Stealth-Mode für das Domänen-Profil der Firewall deaktiviert. Unter Umständen kann es notwendig sein, dass auch in den anderen Firewall-Profilen (falls angelegt und in Benutzung) dieser Eintrag gemacht werden muss.

Fazit: Seit der beschriebenen Änderung an den Domain-Controllern kommt es zu keinen Fehlermeldungen mehr und keiner der Linux-Server bzw. Linux-Dienste musste seitdem neugestartet werden.

[Tech-Tipp] Operationen beim Shutdown unter Windows 8.1

Bei Windows hat man ja die Möglichkeit, irgendwelche Operationen beim Herunterfahren des Systems durchführen zu lassen. Bei mir zu Hause ist es zum Beispiel das Backup mit Acronis True Image (Amazon Link). Bei mir in der Firma ist es die Installation von Software- und Windows-Updates mit baramundi. Seit dem Patchday im Februar habe ich bemerkt, dass dies nicht mehr funktioniert, sondern der PC augenscheinlich direkt ausgeht. Zunächst habe ich es zu Hause an meinem Privat-PC bemerkt, dass irgendwas nicht stimmt, da das Backup nicht mehr lief (beim Herunterfahren fehlte mir das „Operations are in progress“ und natürlich gab es auf der externen Festplatte keine neuen Backup-Dateien). Auch hatte ich, um eine andere Sache zu testen, mal den Virenscanner bis zum nächsten Neustart deaktiviert, der diesen Status allerdings auch nach dem Neustart beibehielt. Nach einiger Recherche bin ich darauf gestoßen, dass wohl beim letzten Update-Rollup was an der Mechanik des Herunterfahrens „ausgebessert“ wurde:
http://support.microsoft.com/kb/2919394/en-us
bzw.
http://support.microsoft.com/kb/2922812/en-us

Ich konnte das Problem gestern Abend an meinem Privat-PC beheben, indem ich den Schnellstart deaktivierte: http://www.askvg.com/fix-windows-8-r…tdown-feature/

Rechtsklick auf den Startbutton und dann Energieoptionen wählen:

Win8.1_Energieoptionen

Dort links auf „Auswählen, was beim Drücken des Netzschalters passieren soll“:

Win8.1_Energieoptionen2

Hier muss ggf. noch auf „Einige Einstellungen sind momentan nicht verfügbar“ geklickt werden, um die benötigten Optionen freizuschalten:

Win8.1_Energieoptionen3

Dann kann das Häkchen hinter „Schnellstart aktivieren (empfohlen)“ entfernt werden:

Win8.1_Energieoptionen4
Heute habe ich es auch schon erfolgreich an einem Windows 8.1 Client in der Firma ausprobiert. Die Installation der Updates läuft wieder. Ob Windows 8 auch betroffen ist, kann ich nicht sagen (ich schätze aber schon). Ältere Windowsversionen (also Windows 7 und älter) haben das Schnellstartfeature nicht und sind somit nicht betroffen.

Leider lässt sich der Schnellstart über die Gruppenrichtlinien nicht sehr komfortabel deaktivieren. Stattdessen muss man entweder manuell alle Clients entsprechend einstellen oder eine Registry-Änderung über die GPO verteilen. Der entsprechende Schlüssel ist:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled = 0

(siehe auch die letzten beiden Beiträge hier: http://social.technet.microsoft.com/…&prof=required)

Nachtrag am 07.03.2014: Ich habe gerade festgestellt, dass in Domain-Umgebungen bei aktiviertem Schnellstart auch keine servergespeicherten Profile (Roaming Profiles) mehr synchronisiert werden. In Firmen, bei denen die Benutzerprofile also auf einem Server liegen und die Benutzer (wenigstens hin und wieder mal) ihren Arbeitsplatz wechseln (müssen), sollte der Schnellstart also unbedingt deaktiviert werden.

Tech-Tipp: Foxit Reader

Foxit-Registry

Hin und wieder scheint der Foxit Reader Probleme zu haben, wenn man PDF-Formulare ausfüllen möchte. Das äußert sich so, dass die Formular-Felder, die man sonst ausfüllen kann, aus irgendeinem Grund gesperrt sind, also ein Ausfüllen nicht möglich ist.

Hier hilft ein beherztes Löschen des folgenden Registry-Keys:

HKCU\Software\Foxit Software

 

Und nun noch die obligatorische Warnung:

ACHTUNG: Bevor Du an Deiner Registry fummelst, solltest Du unbedingt ein Backup machen, da das Ändern oder Löschen mancher Registry-Einstellungen dazu führen können, dass Dein Windows nicht mehr funktioniert. Wenn Du mit dem Bearbeiten der Registry keine Erfahrung hast und nicht weißt, was Du tust, dann hol Dir Hilfe von jemandem, der sich auskennt!