Exchange 2010 mit Kerberos Constrained Delegation

[bouncer86 5]

Hallo,

 

habe hier in meinem Lab einen Exchange 2010 SP3 mit RU 11. (Ja bewusst 2010 ;) )

 

Der Exchange wird über einen Citrix Netscaler per Kerberos Constrained Delegation veröffentlicht.

 

Für das OWA Verzeichnis funktioniert dieses ohne Probleme. Bei Active Sync allerdings nicht.Ich teste sowohl mit einem iPhone, als auch mit dem Tool "Active Sync MD". Bei letzterem erhalte ich nur die Meldung 401.

 

Ich sehe im Eventlog vom Exchange, dass der Benutzer mittels Kerberos authentifiziert wurde, dennoch klappt der Zugriff auf die Mailbox nicht.

 

Ich habe im virtuellen Verzeichnis Basic Auth deaktiviert und Windows Authentifizierung aktiviert.

 

Leider erhalte ich keine weiteren Fehlermeldungen oder andere Ansatzpunkte.

 

Habt ihr eine Idee?

[massaraksch 41]

Hi,

 

nur so'ne Idee:

 

Ist im virt. Verzeichnis "Microsoft-Server-ActiveSync" bei der Windows Authentifizierung unter "Providers..." der Anbieter "Negotiate:Kerberos" aktiviert?

[bouncer86 5]

Habs mit negotiate:Kerberos und nur Negotiate probiert. Beides das gleiche.

 

Kernelmode mal an, und mal aus. Leider ohne Erfolg...

 

Im IIS Log sehe ich leider nur diese Meldung:

2016-05-31 17:52:20 192.168.233.40 GET /Microsoft-Server-ActiveSync/default.eas - 443 - 192.168.233.101 - 401 1 87 0

Problem behoben...SDHolder hat mir mal wieder einen Streich gespielt. Nachdem ich die Vererbung am User wieder aktiviert habe, funktioniert Active Sync einwandfrei.

bearbeitet 31. Mai 2016 von bouncer86

[massaraksch 41]

Ah, der altbekannte Fallstrick :rolleyes:

 

Man sollte eben immer einen User "Normalo" als Tester haben...

[bouncer86 5]

Ah, der altbekannte Fallstrick :rolleyes:

 

Man sollte eben immer einen User "Normalo" als Tester haben...

 

korrekt.. war nur zu Faul für ihn auch noch ein Zertifikat auszustellen.. das hat sich dann gerecht.. ca. 4 Abende gesucht ;)