[Exchange 2010] Ständige Passwortabfrage beim Start von Outlook 2010

[roccomarcy 20]

Guten Morgen,

 

ich habe hier seit einer Woche das Problem, dass eine Vielzahl an Anwendern sich beschwert, dass Sie beim Start von Outlook Ihr Kennwort eingeben müssen.

Bei einigen Anwendern reicht die einmalige Eingabe, bei anderen scheint Outlook das Passwort nicht zu akzeptieren. E-Mails werden im Hintergrund trotzdem zugestellt - es scheint also irgendeine andere Schnittstelle Probleme zu machen (OAB?).

 

Das Patchlevel der Outlook Installationen ist auf allen Systemen gleich (SP2 + Updates). Exchange ist auch soweit durchgepatched.

 

Die einzige Änderung, die stattgefunden hat, war die Einrichtung eines A-Records für autodiscover von einer E-Maildomäne inkl. Aktivierung der AutoDiscover-Regel auf dem Proxy.

Die Probleme finden jedoch bei Anwendern mit anderen E-Maildomänen statt. Das merkwürdige ist auch, dass es einige Systeme gibt, die einfach gar keine Probleme haben, bei gleicher Outlook-Konfiguration.

 

Hätte hier vielleicht jemand einen Tip für mich? Ich hab die Autokonfiguration via Outlook auch an den Clients getestet, die sieht gut aus und wirft keine Fehler.

 

$ Get-OutlookAnywhere | fl

ExternalHostname: mail.DOMAIN.de
ClientAuth: NTLM
IISAuth: (Basic)

$ Get-ClientAccessServer | fl

OutlookAnywhereEnabled: true
AutoDiscoverServiceInternalUri: https://mail.DOMAIN.de/Autodiscover/Autodiscover.xml
AutoDiscoverSiteScope: mobile

$ Get-ActiveSyncVirtualDirectory | fl

ActiveSyncServer: https://mail.DOMAIN.com/Microsoft-Server-ActiveSync
InternalUrl: https://srvexchange.domäne.local/Microsoft-Server-ActiveSync
ExternalUrl: https://mail.DOMAIN.de/Microsoft-Server-ActiveSync


$ Get-AutodiscoverVirtualDirectory | fl

InternalAuthMeth: Basic, Ntlm, WindowsIntegrated, WSS
ExternalAuthMeth: Basic, Ntlm, WindowsIntegrated, WSS

InternalUrl: leer
ExternalUrl: https://mail.DOMAIN.de/Autodiscover/Autodiscover.xml


$ Get-OabVirtualDirectory | fl

InternalUrl: https://srvexchange.domäne.local/OAB
ExternalUrl: https://mail.DOMAIN.de/OAB
InternalAuth: WindowsIntegrated
ExternalAuth: WindowsIntegrated
 

 

[testperson 1.680]

Hi,

 

du solltest SplitDNS einrichten und alle Verzeichnisse auf die externe URL konfigurieren. Ebenso solltest du für alle E-Mail-Domains, die bei Usern als primäre SMTP Adresse eingerichtet sind, Autodiscover korrekt konfigurieren.

Passt das Zertifikat? Ist das selbstsigniert oder kommt es von einer PKI?

 

Was ist mit den restlichen virtuellen Verzeichnissen und den dazugehörigen URLs?

 

Gruß

Jan

[Cosi 10]

Hey,

 

ich kenne mich jetzt nicht wirklich gut mit dem Exchange aus, aber bei uns haben einzelne Benutzer hin und wieder auch diese Probleme.

Bei denen liegt es am Windows Tresor. Dort wird teilweise das alte Outlook/Windows PW gespeichert. Löscht man diesen Eintrag, funktioniert Outlook wieder

ohne Anmeldung. Finden kannst du den Tresor lokal auf den PCs unter den Benutzerkonten.

[roccomarcy 20]

Hi,

 

du solltest SplitDNS einrichten und alle Verzeichnisse auf die externe URL konfigurieren. Ebenso solltest du für alle E-Mail-Domains, die bei Usern als primäre SMTP Adresse eingerichtet sind, Autodiscover korrekt konfigurieren.

Passt das Zertifikat? Ist das selbstsigniert oder kommt es von einer PKI?

 

Was ist mit den restlichen virtuellen Verzeichnissen und den dazugehörigen URLs?

 

Gruß

Jan

 

Hallo,

 

SplitDNS auf die OWA-URL oder die AutoDiscover-URLs? Wenn ich die OWA-URL im DNS via SplitDNS konfiguriere, muss ich das externe Zertifikat ja noch intern hinterlegen, oder? Das Zertifikat ist ein Wildcard-Zertifikat für die Domäne, ist aber Valid, also nicht selbstsigniert.

 

Welche restlichen URLs benötigst du noch?

[NorbertFe 2.035]

ExternalHostname: mail.DOMAIN.de

ClientAuth: NTLM

IISAuth: (Basic)

 

 

Kann ja nicht sinnvoll funktionieren. Stell mal IISAuth auf NTLM, Basic

 

get-Outlookanywhere | Set-OutlookAnywhere -IISAuthenticationMethods basic, ntlm

[testperson 1.680]

Du solltest dir nicht nur ein paar der URLs der virtuellen Verzeichnisse rauspicken sonder alle entsprechend konfigurieren (OwaVirtualDirectory, EcpVirtualDirectory, OABVirtualDirectory, ActiveSyncVirtualDirectory, WEbServicesVirtualDirectory, ClientAccessServer).

 

Bei einem Wildcard Zertifikat: https://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

[NorbertFe 2.035]

AutoDiscoverSiteScope: mobile?

 

Wasn das? Sicher ein Versehen oder? :)

[roccomarcy 20]

ExternalHostname: mail.DOMAIN.de

ClientAuth: NTLM

IISAuth: (Basic)

 

 

Kann ja nicht sinnvoll funktionieren. Stell mal IISAuth auf NTLM, Basic

 

get-Outlookanywhere | Set-OutlookAnywhere -IISAuthenticationMethods basic, ntlm

 

Stimmt, wenn man sich eine Zeitlang mit den ganzen Cmdlets und Ausgaben beschäftigt hat, sieht man irgendwann das wesentliche nicht mehr.

Macht natürlich für intern überhaupt keinen Sinn, wenn die AuthMethode hier nur auf Basic steht, kein Wunder das es da zu Abfragen kommen (kann).

 

Du solltest dir nicht nur ein paar der URLs der virtuellen Verzeichnisse rauspicken sonder alle entsprechend konfigurieren (OwaVirtualDirectory, EcpVirtualDirectory, OABVirtualDirectory, ActiveSyncVirtualDirectory, WEbServicesVirtualDirectory, ClientAccessServer).

 

Bei einem Wildcard Zertifikat: https://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

 

Danke für den Link.

 

AutoDiscoverSiteScope: mobile?

 

Wasn das? Sicher ein Versehen oder? :)

 

Das ist zu 100% ein Versehen, auch wenn ich bis vorhin noch nicht wusste, wofür dieser Eintrag überhaupt gut ist.

Wie verhält sich diese Einstellung, wenn man mehrere Sites im AD hat? Sollte ich hier alle Sites, für die der eine CAS-Server zuständig ist, hinterlegen?

 

[NorbertFe 2.035]

Was hat deine Recherche für diesen Eintrag, von dem du vorher nicht wußtest wofür er überhaupt ist, denn ergeben? ;)