Exchange 2016 подружить с мобильным Outlook?

Question

[Loginov67]

Здравствуйте! Ситуация следующая, в контре использовался Exchange 2010 и были большие траблы с доступом к нему вне домена. Отмигрировал на 2016, старый снес. Сейчас все работает: owa, ecp, autodiscover. На любом не доменном компе без VPN ввожу емейл все прилетает, ящики погружаются быстро, проверено и на винде и на мак (майкрософтовский офис для мак раньше не коннектился). Тест с компа (ctrl по Outlook в трее) ошибок не находит, в EMS так же тест ОК. Онлайн https://testconnectivity.microsoft.com/tests/exchange тест не проходит. Такая ошибка:

Attempting to send an Autodiscover POST request to potential Autodiscover URLs.
Autodiscover settings weren't obtained when the Autodiscover POST request was sent.
Collapse
Test Steps
The Microsoft Connectivity Analyzer is attempting to retrieve an XML Autodiscover response from URL for user.
The Microsoft Connectivity Analyzer failed to obtain an Autodiscover XML response.
Collapse
Additional Details
Exception details:
Message: The operation has timed out
Type: System.Net.WebException
Stack trace:
at System.Net.HttpWebRequest.GetResponse()
at Microsoft.M365.RCA.Services.RcaHttpRequest.GetResponse()

На мобилках Outlook ставится, настройки распознает, что это именно Exchange. Просит домен\логин и пароль, если ввести неправильно – ругается. При правильном вводе имитирует скачиванием писем, потом пишет «на сегодня все!» и видно, что не было синхронизации, личные папки не подгружены. Если пытаться отправить письмо, оно без ошибок уходит в отправленные, но по факту на сервер не попадает. Опытным путем создал несколько новых ящиков и кинул в них буквально 3 текстовых письма, эти ящики на мобилку цепляются и все работает, уведомления приходят исправно. Проблема и для андройд и для ios для всех старых ящиков с фаршем. Некоторые встроенные EMAIL клиенты работают, но не все.

Сейчас включил IMAP, как костыль, все работает на мобилках через него. Но от меня ожидают чтобы ActiveSync работал. Смотрел мобильную политику, но вроде все по дефолту, там только разрешение на доступ по сути и все.

Может кто сталкивался? Или есть мысли какие-нибудь? 3 дня бьюсь – толку нет. Буду очень признателен за помощь. Всем спасибо заранее!

Comments

[MaxKozlov]

Если у вас timeout на connect - туда и надо копать. Посмотреть, доступен ли снаружи external autodiscover url, попробовать к нему тупо браузером подцепиться, по результату разруливать

[Евгений]

Проверьте конфигурацию autodiscover,

[Loginov67]

MaxKozlov, в том и штука что autodiscover url работает! Я беру дома чистый ноут, запускаю аутлук ввожу только е-мейл и все шикарно работает. Если в браузере открываю:
600
Недопустимый запрос

[Loginov67]

Евгений, в какую сторону копать? Там все по дефолту, чистая винда 2016 со всеми обновлениями, чистый дистрибутив Exchange. На компах, Вин и Мак, все работает. Просто мистика. Что у некоторых Analyzer не работает читал, но у них при этом все подключается, а здесь именно мобильный клиент шалит.

[MaxKozlov]

Loginov67, Недопустимый запрос это как раз нормально, главное не таймаут. а вот почему от MS таймаут ?
чистый ноут подсоединяется напрямую или VPN ? если вы вводите "только email" - это что, пароля не спрашивает ? ноут в домене ?

[Loginov67]

MaxKozlov, ноут не в домене и без VPN, к сервисам данной конторы ранее не подключался. Я и пишу, что autodiscover работает идеально. Пароль запрашивает. Меня другое смущает, на десктопах вообще все работает. На мобилке пока только ящики с размером в несколько КБ. Такое ощущение, что он по размеру фильтрует и только для мобильного клиента. Но и ошибок нигде нет, только в Analyzer. Идиотизм какой-то.

[MaxKozlov]

Loginov67, На мобилах синхронизация очень медленная и зависит от свободного места, возможно надо подождать. ну и логи IIS посмотреть - что там происходит

[Loginov67]

MaxKozlov, большое спасибо! Ошибку отловил HTTP/1.1 RPC_IN_DATA /rpc/rpcproxy.dll?6001 - 400 2 BadRequest MSExchangeRpcProxyAppPool По времени ожидания долго ждали, сутки, ничего так и не загрузилось. Но теперь хотя бы есть что копать.

[Loginov67]

Ситуация следующая. Опытным путем заметил, что перемещение пользователей в новую базу решает проблему. Сейчас примерно у 80% аутлук на мобилках работает. После обновления Windows Server 2016 и патча безопасности Exchange неожиданно заработал https://testconnectivity.microsoft.com/tests/exchange теперь все нужные тесты выдают ОК. Сертификат от Let’s Encrypt, самодписные и доменные не использую.
Но полностью проблема не решена. Частично аутлук у кого-то так и не заработал даже после перемещения. Наследование в АД у всех юзеров включено. Возникли проблемы с календарем, пока у нескольких пользователей, на телефоне встречи ставятся, а у участников они не видны. Помогла ручная синхронизация из настроек (ползунок синхронизировать календарь выкл-вкл), но до этого уже после миграции у них все работало, встречи доходили. Ошибок никаких не было, логи тоже сложно отследить так как никто не помнит когда это было, сегодня просто обнаружили что не прилетело кому следовало. Такое ощущение что проблема сохраняется.

[Евгений]

Loginov67, Autodiscover должен быть одинаково доступен что изнутри, что снаружи. Проверьте, так ли это. Посмотрите логи Exchange связанные с данной проблемой. Никто не знает что делается у вас на сервере, кроме вас, без этого можно только предполагать в чем проблема. Посмотрите ошибки Autodiscover если они есть в логах, если они на сервере есть - лечите их, если нет - проблема в VPN.

Answer 1

[Роман Безруков]

1. ActiveSync для мобильных клиентов вообще работает? Какие настройки? Что говорит Get-ActiveSyncVirtualDirectory?
2. Самоподписанные сертификаты на сервисах не используются?
3. Политики и правила мобильных устройств - лишних запретов нет?
4. Имела место миграция. По описанию - проблема с существующими ящиками, с новыми все работает. Сравните, ради интереса, разрешения и параметры наследования у новых и старых пользователей в ADUC на вкладке Security