Computer-Software

Outlook 2010 und Exchange: Wenn die Verbindung einfach nicht klappen will

Posted on by Wilhelm von Hohenberg
Outlook 2010 Verbindungsstatus: Exchange-Verbindung getrennt

Die digitale Arbeitswelt ist ohne einen zuverlässigen E-Mail-Client kaum vorstellbar. Für viele Unternehmen ist Microsoft Outlook seit Langem das Herzstück der Kommunikation, oft in Kombination mit einem Exchange-Server. Doch was, wenn Ihre bevorzugte Version von Outlook 2010 plötzlich die Verbindung zu Ihrem lokalen Exchange-Server verweigert, während andere Dienste einwandfrei funktionieren? Dieses Szenario kann frustrierend sein und wertvolle Arbeitszeit kosten. In diesem Artikel tauchen wir tief in ein solches Problem ein und zeigen Ihnen, wie Sie eine häufige Ursache – die TLS-Einstellungen – identifizieren und beheben können, um die Konnektivität zwischen Ihrem Microsoft Exchange Outlook 2010 Client und dem Server wiederherzustellen.

In einer Welt, in der Datensicherheit oberste Priorität hat, werden ältere Protokolle wie TLS 1.0 und 1.1 zunehmend durch modernere, sicherere Alternativen wie TLS 1.2 ersetzt. Doch diese Umstellung kann unerwartete Kompatibilitätsprobleme verursachen, insbesondere bei älterer Software wie Outlook 2010, die standardmäßig TLS 1.2 nicht vollständig unterstützt.

Das Problem: Outlook 2010 und die fehlende Verbindung

Als mein Hauptlaptop unerwartet ausfiel, musste ich auf ein älteres Gerät mit Windows 7 und dem mir persönlich sehr vertrauten Outlook 2010 zurückgreifen. Erstaunlicherweise funktionierte Outlook 2010 problemlos mit Postfächern in Exchange Online. Bei dem Versuch, eine Verbindung zu einem Postfach auf meinem lokalen Exchange 2016 Server herzustellen, stieß ich jedoch auf ein hartnäckiges Problem: Unten rechts im Outlook-Fenster stand beharrlich „Getrennt“, und obwohl Outlook sporadisch versuchte, eine Verbindung aufzubauen, blieb dies ohne Erfolg.

Ein Blick auf den Verbindungsstatus in Outlook bestätigte meine Vermutung: Die Verzeichnisverbindung war erfolgreich aufgebaut, aber die Exchange-Verbindungen waren getrennt. Das Ausschließen eines Server- oder Postfachproblems war einfach, da ich mich problemlos über OWA (Outlook Web Access) und meinen Outlook für iPhone Client verbinden konnte. Dies deutete klar auf ein Problem auf der Client-Seite oder bei der Kommunikationsstrecke spezifisch für Outlook 2010 hin.

Outlook 2010 Verbindungsstatus: Exchange-Verbindung getrenntOutlook 2010 Verbindungsstatus: Exchange-Verbindung getrennt

Erste Diagnoseversuche: Autokonfiguration und RCA

Die Option „E-Mail-Autokonfiguration testen“ in Outlook bot ebenfalls wenig Hilfe. Sie zeigte lediglich an, dass die Einstellungen nicht ermittelt werden konnten und keine der Autodiscover-Optionen funktionierte.

Fehlgeschlagene Outlook 2010 E-Mail-AutokonfigurationFehlgeschlagene Outlook 2010 E-Mail-Autokonfiguration

Ergebnisse der Autodiscover-Prüfung in Outlook 2010Ergebnisse der Autodiscover-Prüfung in Outlook 2010

Ich versuchte dann, über den Internet Explorer auf meine Autodiscover-Site zuzugreifen. Nach einer Anmeldeaufforderung erhielt ich den bekannten „ErrorCode 600“. Das war immerhin ein gutes Zeichen, denn es zeigte, dass mein Autodiscover-Dienst prinzipiell erreichbar war und korrekt lauschte.

Der Exchange Remote Connectivity Analyzer (http://aka.ms/exrca) zeigte jedoch ein Problem mit meinem SSL-Zertifikat an.

Exchange Remote Connectivity Analyzer: SSL-ZertifikatsfehlerExchange Remote Connectivity Analyzer: SSL-Zertifikatsfehler

Dies war zunächst verwirrend, da das SSL-Zertifikat ein gültiges Digicert UC-Zertifikat war und eigentlich fehlerfrei sein sollte. Der Internet Explorer nutzte es problemlos, und das Digicert-Hilfsprogramm zeigte ebenfalls keine Auffälligkeiten.

Gültiges Digicert UC-Zertifikat im Digicert-HilfsprogrammGültiges Digicert UC-Zertifikat im Digicert-Hilfsprogramm

Hinzukommt, dass mein auf einem anderen Computer laufendes Outlook 2016 einwandfrei funktionierte. Es musste sich also um einen Konfigurationsfehler handeln, der ausschließlich Outlook 2010 betraf. Dies war ein entscheidender Hinweis. Wer mit dem Outlook 2010 Offline Modus vertraut ist, weiß, dass Verbindungsprobleme oft auf tiefere Konfigurationsursachen zurückzuführen sind, die über reine Netzwerkprobleme hinausgehen.

Die Entdeckung des Übeltäters: TLS-Einstellungen

Plötzlich erinnerte ich mich: Eine Woche zuvor hatte ich versehentlich den Virtual Service auf meinem Kemp Load Balancer beschädigt und schnell einen neuen Virtual Service mithilfe der korrekten Vorlage erstellt. Als Sicherheitsmaßnahme hatte ich bei den SSL-Eigenschaften des Virtual Service jedoch ausschließlich TLS 1.2 ausgewählt.

Nachdem ich TLS 1.0 auf dem Virtual Service aktiviert hatte, begann Outlook 2010 sofort wieder korrekt zu funktionieren. Überraschenderweise funktionierte auch der Remote Connectivity Analyzer danach einwandfrei.

Outlook 2010 Verbindungsstatus: Erfolgreich verbunden nach TLS-ÄnderungOutlook 2010 Verbindungsstatus: Erfolgreich verbunden nach TLS-Änderung

Erfolgreiche Exchange Remote Connectivity Analyzer-ErgebnisseErfolgreiche Exchange Remote Connectivity Analyzer-Ergebnisse

Es war also offensichtlich: TLS 1.0 war hier der Übeltäter. Durch die erneute Aktivierung von TLS 1.0 funktionierte Outlook 2010 wieder einwandfrei.

Tiefenanalyse: Warum Outlook 2010 TLS 1.2 nicht “out of the box” unterstützt

Ein Check meines Laptops über die SSLLABS-Website (https://www.ssllabs.com/ssltest/viewMyClient.html) zeigte, dass alles in Ordnung war und mein Windows 7 Client TLS 1.2 vollständig unterstützte.

SSLLabs-Client-Test: Windows 7 unterstützt TLS 1.2SSLLabs-Client-Test: Windows 7 unterstützt TLS 1.2

Das Problem lag also eindeutig bei der Kombination von Outlook 2010 und TLS 1.2. Es stellte sich heraus, dass Outlook 2010 TLS 1.2 nicht „out of the box“ unterstützt. Ich fand einen interessanten Artikel im Microsoft TechNet bezüglich der Aktivierung von TLS 1.1 und TLS 1.2. Die Lösung beinhaltet das Erstellen eines DWORD-Wertes namens DefaultSecureProtocols in der Registrierung unter den folgenden Schlüsseln:

  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsWinHttp
  • HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionInternet SettingsWinHttp

Der Wert sollte einer der folgenden sein:

  • Nur für TLS 1.1 und 1.2: A00 (hexadezimal)
  • Für TLS 1.0, 1.1 und 1.2: A80 (hexadezimal)

Zusätzlich müssen Sie an folgenden Stellen DWORD-Werte namens DisabledByDefault erstellen und diesen den Wert „0“ zuweisen:

  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client
  • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client

Registrierungseinträge für TLS 1.1 und TLS 1.2 in Windows 7Registrierungseinträge für TLS 1.1 und TLS 1.2 in Windows 7

Erstellen Sie bei Bedarf die notwendigen Unterschlüssel unter dem Schlüssel Protocols.

Mit diesen Änderungen unterstützen Ihr Windows 7 und Outlook 2010 nun auch eine reine TLS 1.2-Umgebung (dies gilt übrigens auch für Windows 8). Für alle, die ihre Aufgaben und Termine effizient verwalten möchten, kann die Integration von Tools wie Microsoft To Do Outlook eine wertvolle Ergänzung zum reibungslosen E-Mail-Betrieb darstellen.

Fazit und Ausblick: Die Zukunft von TLS und Outlook

Outlook 2010 unterstützt TLS 1.2 nicht standardmäßig. Dies kann zu erheblichen Problemen führen, wenn Sie oder Ihre Netzwerkabteilung eine reine TLS 1.2-Umgebung implementieren. Die Lösung besteht darin, TLS 1.2 auf der Workstation durch das Setzen bestimmter Registrierungsschlüssel zu aktivieren. Danach sollte die Verbindung reibungslos funktionieren.

Beachten Sie, dass Microsoft die Unterstützung für TLS 1.0 und TLS 1.1 im Oktober 2018 eingestellt hat. Dies bedeutet, dass Probleme, die durch TLS 1.0 oder TLS 1.1 verursacht werden, nicht mehr behoben werden. Microsoft akzeptiert weiterhin TLS 1.0- und TLS 1.1-Verbindungen von Clients, diese werden jedoch nicht mehr aktiv unterstützt.

Microsoft arbeitet an einem Plan zur Deaktivierung von TLS 1.0 und TLS 1.1, aber dies wird nicht so bald geschehen. Wenn dies der Fall sein wird, wird Microsoft sechs Monate im Voraus eine Benachrichtigung über die Deaktivierung von TLS 1.0 und TLS 1.1 geben. Für Systemadministratoren ist es daher ratsam, langfristig auf neuere Outlook-Versionen und Betriebssysteme umzusteigen, um die volle Kompatibilität mit den neuesten Sicherheitsstandards zu gewährleisten. In der Welt der IT und des Webdesigns, wo auch die visuelle Darstellung eine Rolle spielt, sind manchmal auch spezifische Aufgaben wie das GIMP Objekt freistellen Teil des umfassenden digitalen Workflows.

Weitere Informationen