Outlook über VPN - kein Domainrechner

[winmadness 79]

Hallo,

bevor ich weiter teste frage ich lieber mal nach. Wir haben einen Exchange Server 2016 und Windows Server 2016 DC. Auf den Clients läuft Office 2016. Ich habe zum testen einen User in die Gruppe "Geschützte Benutzer" (Protected User) eingestellt. Damit kann ich von einem Domain-Rechner Outlook öffnen und verbinden - ohne Passworteingabe. Wenn ich versuche, Outlook von einem VPN Rechner (ohne Domainanbindung) aufzurufen oder ein Profil anzulegen, wird ständig die Eingab des Benutzers / Passwortes verlangt. Nach korrekter Eingabe der Login-Daten erscheint die Aufforderung sofort wieder. Wenn ich ein bestehendes Outlook Profil verwenden und die Kennwort-Abfrage abbreche, verbindest sich zwar Outlook aber das Problem "Kennworteingabe erforderlich" bleibt bestehen. Eine Profil-Anlage ist nicht möglich. Die VPN-Verbindung erfolgt mit dem Windows Client über IPsec/IKEv2 und mit Benutzer Zertifikaten. "klist" zeigt korrekt die Kerberos Tickets an. Deshalb die grundsätzliche Frage, ob ein Nicht-Domain-Client Probleme mit einem User in der Gruppe "Protected User" hat?

[cj_berlin 1.339]

Moin,

gleich vorab: User, für die "Protected Users" vorgesehen ist, sollten auf gar keinen Fall ein Postfach haben.

 

Ansonsten: Workgroup-Client >> Kerberos nicht möglich >> NTLM-Authentifizierung >> Mitgliedschaft in "Protected Users" unterbindet letztere >> Authentifizierung nicht möglich

[winmadness 79]

Danke, damit ist es klar.

Eine Frage bzgl.

vor 3 Minuten schrieb cj_berlin:

gleich vorab: User, für die "Protected Users" vorgesehen ist, sollten auf gar keinen Fall ein Postfach haben.

Was ist der Grund hierfür?

[cj_berlin 1.339]

Weil dieser Mechanismus zum Schutz von besonders privilegierten Accounts, aka Administratoren, gedacht ist  

 

Wenn Du Kerberos Armouring für normale User möchtest, kannst Du es mit Authentication Policies granularer steuern.