Lync Client und Exchange Autodiscover

Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
http://www.netatwork.de/karriere

Das primäre Protokoll bei Lync ist SIP aber für einige Funktionen greifen die verschiedenen Lync-Clients z.B. auf Exchange zurück. für viele überraschend wird dabei sein, dass die Exchange WebServices eine wichtige Rolle spielen und nicht das MAPI-Profil. Outlook ist nur auf "Windows Clients" vorhanden aber eben nicht auf Tablet, Mobiltelefonen, Lync Telefonen, WebClients o.ä. Und da immer mehr Clients gar nicht "in der Domäne" sind, kommt der Funktion Autodiscover eine große Bedeutung zu. Aber sogar der Windows Client verzichtet bei der Auflösung auf die bekannten Pfade eines Exchange Clients.

Exchange Autodiscover mit Lync Clients

Dazu sind zwei Aussagen wichtig:

1. Kein Lync Client nutzt den Autodiscover Service Connection Point im Active Directory.
2. Der Lync Client kann nicht per Gruppenrichtlinien die EWS-Einstellungen erhalten.

Damit Lync mit Exchange kommunizieren kann, müssen Sie als eine funktionierende Autodiscover-Auflösung per DNS bereitstelle, Die Clients nutzten dazu folgende Reihenfolge:

Abfrage Beschreibung

https://<smtpdomain>/Autodiscover/Autodiscover.xml

Die meisten Administratoren wissen gar nicht, dass Outlook aber auch Lync Clients zuerst die einfache SMTP-Domain "versuchen". Bemerkt wird dies meist erst, wenn diese Adresse ohne das bekannte "www"-Prefix auf die Firmenhomepage führt und diese ein SSL-Zertifikat hat. Dann wird der Client ggfls. eine Warnung liefern, wenn das Zertifikat nur den Namen  www.<smtpdomain> enthält.

https://autodiscover.<smtpdomain>/Autodiscover/Autodiscover.xml

Aber dann kommt schon der direkte Versuch den Zugriff per HTTPS auf den Host autodiscover.<smtpdomain> zu fahren. Wenn das Ziel per HTTPS erreichbar ist, muss der Name im Zertifikat enthalten sein, sonst sehen die Clients einen Zertifikatfehler.

http://autodiscover.<smtpdomain>/Autodiscover/Autodiscover.xml

Schlagen beide ersten Optionen fehl, dann wird ein Zugriff ohne SSL versucht. Dann erwartet der Client aber einen "Redirect" auf den richtigen Host. Der Anwender sieht eine entsprechende Warnung.

DNS: _autodiscover._tcp.<smtpdomain> SRV  0 0 443 hostname

Als letzte Option kann der Client auch noch eine DNS-Abfrage nach einem SRV-Record stellen. In den Logs ist gut zu sehen, dass neben dem Communicator auf Windows auch der Lync Client auf IOS diese Auflösung versucht.

Für viele Firmen ist dieses eingeschränkte Verhalten der Lync Client aber oft ein Problem. Gerade kleinere Firmen, die bislang auf Autodiscover per DNS und HTTP verzichtet haben, steht nun die Einführung an. Dies kann Auswirkungen auf Exchange (z.B. Zertifikate), DNS (z.B. Einführung SplitDNS) und offizielle Zertifikate haben.

Funktioniert EWS mit Lync ?

Der erste, schnellste Weg die Funktion von EWS zu testen ist die Kontrolle in der Lync Konfigurationsübersicht, die Sie "CTRL - Rechte Maustaste" auf das Lync Icon in der Statusleiste erhalten:

In den Konfigurationsinformationen sehen Sie dann auch den aktuellen Status für MAPI und EWS.

MAPI ist die lokale Verbindung des Lync Communicators mit einem lokal installierten Outlook. Lync prüft z.B. ob das "Postfach" zur "SIP-Adresse" passt und nur wenn dies vorhanden ist, dann nutzt Lync auch den MAPI-Client. Bei EWS ist es etwas anders, dass Lync hier direkt mit dem Exchange Server spricht. Sie sehen dass sogar bei mir hier mal ein "EWS nicht bereitgestellt" erscheint. mögliche Statusmeldungen sind:

Eintrag Meldung Bedeuetung
MAPI

MAPI nicht verfügbar; es wird versucht eine Verbindung aufzubauen

Lync versucht Outlook und Exchange per MAPI zu erreichen. Da kann noch etwas dauern.

MAPI

MAPI nicht Verfügbar

UCMAPI ist mit Outlook verbunden aber ein oder mehrere Ordner werden nicht aktualisiert. Das ist ein sehr sicheres Zeichen, dass das Lync-Konto und das MAPI-Konto nicht die gleiche SMTP-Adresse/SIP-Adresse haben. Dann weitert sich Lync die Verbindung zu nutzen. Es könnte ja sonst sein, dass "Verpasste unterhaltungen" in einem falschen Postfach landen

MAPI

MAPI-Status OK

Alles in Ordnung und der Communicator konnte eine Verbindung zum lokalen Outlook per MAPI einrichten

EWS

EWS wurde nicht vollständig initialisiert

Haben Sie noch etwas Geduld. Vermutlich wurde ihr Client gerade gestartet und der Startvorgang ist noch nicht abgeschlossen.

EWS

EWS nicht bereitgestellt

Die Auflösung per "Autodiscover" war nicht erfolgreich.

Wenn Autodisover gar nicht funktioniert, dann ist die auch daran zu erkennen, dass die EWS-URLs nicht gefüllt sind.

Sollten hier aber gültige URLs stehen, dann ist Autodiscover zumindest gelaufen und Sie müssen "nur" noch nach EWS-Fehlern suchen.

Leider ist es nicht möglich, diese Werte statisch z.B.: per Gruppenrichtlinie zu setzen, da die je nach SIP-Adresse ja unterschiedlich sein können.

Was macht Lync per EWS ?

Das stellt sich die Frage, was der Lync Client denn damit macht. Die Quellen hierzu waren nicht ganz einfach zu finden

  • Lesen und Löschen von Elementen im Ordner "Unterhaltungsverlauf"
  • Lesen oder Löschen von Voicemail-Elementen
  • Teilweise: Anzeigen der "Voicemail"-Buttons zur Verbindung mit der Voicemail
  • Anzeigen erweiterter Frei-/Gebucht-Informationen sowie von Besprechungsbetreff und Standort

Da kann man sich natürlich fragen, ob ein "Problem" bei EWS wirklich ein Problem darstellt. Aber da niemand weiß, welche anderen Probleme damit zukünftig entstehen können, sollten Sie auch für Lync die Autodiscover-Funktion bereitstellen

Wie findet der Communicator den Exchange ?

Für Outlook und Exchange ist Autodiscover umfangreich beschrieben. Ein Outlook Client nutzt LDAP-Abfragen, DNS-SRV-Records. DNS-A-Records und ein Administrator kann sogar per lokaler XML-Dateien Outlook entsprechend impfen.

Lync nutzt den Inhalt des Felds "MAIL" bzw. "WindowsEmailAddress" des Lync Kontos, um den passenden Eintrag in Exchange zu finden.

All diese nette Funktionen hat der Lync Client bislang (Sep 2013) noch nicht sondern nutzt nur DNS-Anfragen nach den beiden Werten:

<primäre-exchange-smtp-domain-des-benutzers>
autodiscover.<primäre-exchange-smtp-domain-des-benutzers>

Es gibt Berichte in Newsgroups, dass nicht alle Lync Clients von "https://<maildomain>" auf "https://autodiscover.<maildomain" schwenken. Ein Blick in den DNS-Cache oder mit Fiddler bringt hier Klarheit.

Und darauf muss ein Exchange Server mit einem Zertifikat reagieren, die Anmeldedaten des Anwenders entgegen nehmen und dann als Antwort die URL für Exchange liefern. Also ist NSLookup und PING der erste Schritt. Es kann aber dann auch so aussehen wie hier:

Im ersten Moment ist man versucht an Hexerei zu glauben. Da kann ich per NSLookup meine Fritz!Box zuhause fragen und bekommt Antwort aber bei einem PING meint das gleiche Windows, es kann den Namen nicht auflösen ?. NSLookup fragt immer direkt die per IP-Konfiguration zugewiesenen DNS-Server. Ein Ping oder andere Dienste fragen aber den "lokalen Resolver" und da kann es schon mal gerade mit Direct Access oder anderen VPN-Lösungen dazu kommen, dass die Anfragen umgebogen werden. Kontrollieren Sie dies.

Manuelle Konfiguration

Eine funktionierende "Autodiscover"-Auflösung ist immer wünschenswert und hat nichts damit zu tun, ob die Clients dann letztendlich per OWA, RPC/HTTP oder ActiveSync zugreifen können. Das wird immer noch z.B. mit Set-CASMailbox gesteuert. Sollten Sie aber Autodiscover.<maildomain> nicht bereit stellen können, dann können Sie immer noch statisch die EWSURLs hinterlegen. Allerdings ist das nicht einfach per Gruppenrichtlinie möglich, da die SIP-Adresse teil des Pfades ist. Hier die Einstellungen für den Lync Communicator 2013:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync\username@domain.com\Autodiscovery
InternalAvailabilityServerURL"="https://server.domain.com/EWS/Exchange.asmx"
InternalOofServerURL"="https://server.domain.com/EWS/Exchange.asmx"
InternalEwsURL"="https://server.domain.com/EWS/Exchange.asmx"

Sie können natürlich per Script zuerst die SIP-Adresse des Anwenders ermitteln und dann die Werte setzen.

  • 2787614 Conversation history, contact cards, Free/Busy, and Out of Office information are unavailable when Lync fails to connect to Exchange

Exchange und Zertifikate

Viele Firmen scheuen die Kosten, auch für "Autodiscover" ein Zertifikat zu kaufen und behelfen sich mit SVR-Records oder HTTP-Zugriff mit Umleitung. Interessant ist aber auch die Option, den Namen der Domäne, die im Zertifikat genutzt wird, als "Trusted" zu addieren. Dazu dient der Eintrag "TrustModelData" in verschiedenen Registrierungsschlüsseln:

HKEY_CURRENT_USER\Policies\Microsoft\Communicator
HKEY_LOCAL_MACHINE\Policies\Microsoft\Communicator
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\

Hier ist gut zu sehen, dann auch Office 365 über diesen Weg die Exchange Service Domains als "Trusted" addiert, damit Lync diesen vertraut. Der Name muss dem Zertifikatnamen entsprechen.

Sie sehen, dass auch Microsoft mit diesem "Trick" arbeitet, um für die vielen neuen Kunden nicht jedes mal eine neue Domäne als Zertifikat addieren zu müssen. Dieser Weg kann aber auch steinig sein, da Sie diese Einstellungen auf Domänenmitgliedern einfach per Policy setzen können aber PCs, die sie nicht verwalten, manuell vom Anwender angepasst werden müssen. Bei Office 365 macht das z.B.: der "Anmeldeassistent" mit, den Sie als Nutzer von Office 365 installieren.

Authentifizierung

Ein Client kann sich über verschiedene Verfahren an einem Webserver authentifizieren. Innerhalb eines privaten Netzwerks ist natürlich Kerberos das Mittel der Wahl, aber dies ist von extern nicht möglich. Unter dem Sammelbegriff "Negotiate" ist auch NTLM möglich. Der kleinste Gemeinsame Nenner ist "Basic Auth" bei der die Anmeldedaten eigentlich nur Base64-Codiert werden. Das ist aber keine Verschlüsselung. Um so eine Übertragung zu schützenm müssen Sie also zwingend mit SSL verschlüsseln.

Hinweis:
Anscheinend meldet der Lync 2013 Communicator sich nicht an, wenn der Autodiscover-Webserver nur "BasicAuth" anbietet.

Cached Data in der Registrierung

Der Lync Communicator nutzt selbst auch wieder die lokale Registrierung, in der die ermittelten Ergebnisse zwischengespeichert werden. Hier ein Auszug meiner FirmenUmgebung.

Wenn Sie diese Felder hier finden, dann hat Autodiscover zumindest einmal von innen geklappt.

Fehlersuche

Die Suche nach Fehlern des Lync Clients ist bezüglich EWS nicht gerade einfach, denn ich durfte selbst schon mal "suchen" aber leider protokolliert der Lync Client nicht alles

  • Lync Trace
    Wer im lokalen UCCAPI-Trace nach Spuren von EWS und Autodiscover sucht, wird nichts finden. Zumindest konnte ich in keinem dieser Logs einen Hinweis auf Fehler finden
  • Eventlog
    Der Lync Client protokolliert manchmal auch etwas im Eventlog.
  • Outlook
    Ein immer wieder gerne genommener Helfer ist Outlook und dessen Funktion "E-Mail Autokonfiguration testen", die über "CTRL-RechteMaus" auf das Outlook Icon erreichbar ist. Hier ist gut zu sehen, ob Autodiscover prinzipiell funktioniert.
  • IPCONFIG
    Autodiscover macht DNS-Anfragen, die im lokalen DNS-Cache landen. Ein "ipconfig /Displaydns" sollte zumindest die erfolgreiche Auflösung der Autodiscover-Einträge aufzeigen. Viel mehr sagt das aber erst mal nicht aus. Es hilft aber auch bei DNS-Problemen und VPN-Lösungen wie Direct Access
  • NetMon
    Natürlich können Sie mit NETMON auch den Paketen nachforschen aber mehr als ein paar HTTPS-Connects auf 443/TCP sehen Sie nicht. Vielleicht erkennen Sie indirekt einen Zertifikatfehler, weil der TLS-Handshake gar nicht zustande kommt oder die übertragenen Daten zu wenig sind.
  • Fiddler
    Da Autodiscover und EWS reine Protokolle über HTTPS sind, kann ein lokaler Proxy wie Fiddler wertvolle Dienste leisten. Allerdings kann er auch Messergebnisse verfälschen. Dessen sollten Sie sich bewusst sein.
  • FREB
    Wer nicht auf dem Client mitschneiden kann, kann natürlich auch dem Exchange Server mit FREB (Siehe IISDebugging) die Zugriffe des Clients unverschlüsselt ausgeben lassen.

Mein Favorit ist für einen "normalen Client" natürlich erst mal der Outlook-Test, sofern Outlook installiert ist. Dann sollten Sie prüfen, ob das Problem "alle" Clients oder nur einer hat und entsprechend weiter gehen. Am Ende landen Sie aber oft bei Fiddler oder FREB um genau zu sehen, was der Client tatsächlich anstellt.

Weitere Links

Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
http://www.netatwork.de/karriere