Jump to content

Exchange Online/ Outlook 365 in Terminal Server Farm Abbrüche


Candy
Direkt zur Lösung Gelöst von Candy,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community,

 

ich hoffe ich schreibe das hier im richtigen Abschnitt. :)
Optisch hat sich hier wirklich viel verändert. Sieht sehr gut aus!
Ich muss in Zukunft mal wieder regelmäßig hier vorbei schauen. :)

 

Folgende Ausgangslage:

  1. Neue Microsoft Domain aufgesetzt
  2. Neue Microsoft Terminal Server Farm mit Hilfe von Microsoft Server 2019 aufgesetzt, als Benutzer Profilspeicher FS Logix im Einsatz.
  3. Alle Windows RD Benutzer besitzen eine Microsoft 365 Business Premium Lizenz(gesamt 51stk).
  4. Microsoft 365 Anwendungen wurden auf allen Windows Terminal Servern 2019 mit Hilfe des Microsoft Deployment Tool vorschriftsmäßig installiert. Die Lizenz ist auf allen Terminal Servern als „Mehrbenutzer fähige Lizenz“ hinterlegt u. registriert
  5. Beim ersten Start von Outlook 365 im Benutzer Kontext kommt ordentlich die Microsoft Benutzeranmeldung und das Postfach wird ohne Outlook Cache Mode dargestellt.

 

Technisches Problem:

Aus für uns noch unerklärlichen Gründen, bricht Microsoft Outlook 365, sporadisch bei unterschiedlichen Benutzern, täglich die Verbindung ab.
Fehlermeldung:
„Outlook kann nicht gestartet werden. Das Outlook Fenster kann nicht geöffnet werden. Diese Ordnergruppe kann nicht geöffnet werden. Der Informationsspeicher steht nicht zur Verfügung.“

 

Was haben wir zur Behebung versucht?

Wir haben danach keinerlei Möglichkeit mehr, die Microsoft 365 Benutzer Anmeldung nochmals durchzuführen. Wir bekommen den Benutzer, den es betrifft, auf keiner uns technisch bekannten Weise wieder bei M365 angemeldet. Fehlermeldung bei Outlook 365 " Da hat etwas nicht geklappt"

Auch das Löschen vom Outlook Profil mit wiederholten anlegen eines neuen Outlook Profils bringt die gleiche Fehlermeldung.
Wir müssen das gesamte Microsoft Benutzerprofil löschen und wieder neu anlegen. Das funktioniert wenige Tage und wir stehen vor dem gleichen Problem.

An allen Standorten haben wir sehr gute Internetanbindungen( 1GB/s up, wie down). Die gesamte DNS, Autodiscover usw. Konfigurationen sind alle grün und zeigen von Microsoft keinerlei Fehler an(online Test durchgeführt). Auch der lokale DNS Server löst alles ordnungsgemäß auf.

Das Problem tritt bei den Benutzer nur auf der Terminal Server Farm auf. Nicht lokal in der Outlook 365 Installation.

 

Die Migration vom on premise Microsoft Exchange Server wurde aus "politischen Gründen" komplett händisch u. mit Hilfe von Mail Store umgesetzt.

 

Kennt vielleicht jemand diesen Fehler?
Vielleicht Fehlerhafte Lizenz Abfragen von Microsoft?

 

Vielen Dank für eure Unterstützung!

 

Link zu diesem Kommentar

Das sieht exakt nach dem Problem aus, mit dem ich diese Woche zu tun hatte: Server 2019, Office 365, bei gewissen Benutzern öffnet sich Outlook nicht mehr, "E-Mail-Autokonfiguration testen..." liefert unendlich viele Fehler 401, Teams geht nicht mehr. In Word und Excel ist die Lizenz aber noch aktiviert und OWA geht auch. In der Ereignisanzeige hatte es die Events 1097 und 1098 vom AAD.

 

Wenn ich es richtig verstanden habe, ist das Problem das Token des Benutzers. Modern Authentication basiert auf Azure Active Directory Authentication Library (ADAL). In neueren Versionen verwenden die Anwendungen den Web Account Manager (WAM) für die Verwaltung der Tokens. Das ist die App, die man im Profil unter Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy findet. Löscht man dieses Verzeichnis (der Benutzer darf dabei nicht angemeldet sein), funktioniert die Anmeldung wieder. Das Problem tritt nur in RDS-Farmen auf, wo die Benutzer nicht immer auf dem gleichen Server arbeiten. Das Token wandert mit dem Benutzer mit, ist aber vom Server abhängig. Deshalb kann es nicht gelesen (genauer gesagt entschlüsselt) werden. Anstatt eine Anmeldung anzuzeigen, stellt Outlook einfach keine Verbindung her.

 

In meinem Fall hat es geholfen, per Registry die bisherige Token-Verwaltung zu aktivieren:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001
"DisableAADWAM"=dword:00000001
"DisableADALatopWAMOverride"=dword:00000001

 

Benutzer neu anmelden, funktioniert.

 

Man findet viel im Internet darüber, aber ich habe nirgends eine Erklärung der genauen Ursache gefunden. Das ist ja von Anfang bis Ende Software von Microsoft und ein unterstütztes Szenario, das sollte nicht "mal eben" nicht mehr gehen und Microsoft sagt nichts dazu. Falls jemand mehr Informationen hat, bin ich sehr interessiert.

Link zu diesem Kommentar
  • Beste Lösung
vor einer Stunde schrieb mwiederkehr:

Das ist die App, die man im Profil unter Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy findet. Löscht man dieses Verzeichnis (der Benutzer darf dabei nicht angemeldet sein), funktioniert die Anmeldung wieder. 

Hallo mwiederkehr. Danke für deine Antwort! Was meinst du mit dem oberen Satz? Das Verzeichnis konnte ich so nicht finden.

vor einer Stunde schrieb mwiederkehr:

 

In meinem Fall hat es geholfen, per Registry die bisherige Token-Verwaltung zu aktivieren:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001
"DisableAADWAM"=dword:00000001
"DisableADALatopWAMOverride"=dword:00000001

 

 

Diese Einträge habe ich gesetzt u. getestet. Nehme ich danach einen betroffenen Benutzer, kann ich diesen leider immer noch nicht anmelden.

Link zu diesem Kommentar
vor 23 Minuten schrieb Candy:

Hallo mwiederkehr. Danke für deine Antwort! Was meinst du mit dem oberen Satz? Das Verzeichnis konnte ich so nicht finden.

Diese Einträge habe ich gesetzt u. getestet. Nehme ich danach einen betroffenen Benutzer, kann ich diesen leider immer noch nicht anmelden.

 

P.S. Ich habe nun einen betroffenen Benutzer, der kein Outlook mehr nutzen konnte, in WORD bei M365 abgemeldet. Danach wieder erfolgreich angemeldet und Outlook konnte auch wieder gestartet werden.

vor 5 Minuten schrieb mwiederkehr:

Das Verzeichnis befindet sich im Benutzerprofil unter „\AppData\Local\Packages“.

 

Du hast die Registry-Keys schon unter dem entsprechenden Benutzerkonto gesetzt?

 

Bei mir hat das Setzen der Keys gereicht, ich musste danach das Verzeichnis nicht löschen.

 

Gefunden, wird Zeit für Feierabend! Ich Danke dir für die Hilfe. Somit haben wir erst einmal eine Option um zu reagieren, ohne das gesamte Profil neu zu erstellen.

bearbeitet von Candy
Link zu diesem Kommentar

Hi,

 

siehe: Disabling ADAL or WAM to fix Office sign-in or activation issues not recommended - Office 365 | Microsoft Learn

Zitat

Disabling ADAL or WAM authentication as a solution to fix sign-in or activation issues can have adverse effects in your environment and is not recommended.

 

Sind die RDSHs Azure AD joined?

 

Gruß

Jan

Link zu diesem Kommentar

Was wäre der Vorteil eines AAD Join? Kann der Server gleichzeitig in einer "legacy" und einer Azure-Domain sein, wenn diese nicht synchronisiert werden (kein AAD Connect)?

 

Im verlinkten Artikel wird unser Problem leider nicht behandelt. Es äussert sich in folgenden Fehlern:

 

AAD, Event 1097:

Error: 0x80090011 Das Objekt wurde nicht gefunden.

Das Objekt wurde nicht gefunden.

Exception of type 'class WinRTException' at oauthtokenrequestbase.cpp, line: 733, method: OAuthTokenRequestBase::QueryTokenBindingKeyId::<lambda_384ba4be0f1ddecb55f87844038ccea6>::operator ().

Log: 0x8aa5007f Unable to create a Token Binding Key.
Logged at oauthtokenrequestbase.cpp, line: 733, method: OAuthTokenRequestBase::QueryTokenBindingKeyId::<lambda_384ba4be0f1ddecb55f87844038ccea6>::operator ().

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

Error: 0x8AA9004C Acquire token by refresh token failed, trying PRT.
Logged at refreshtokenrequest.cpp, line: 79, method: RefreshTokenRequest::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

 

AAD, Event 1098:

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.

Das System kann den angegebenen Pfad nicht finden.

Exception of type 'class WinRTException' at webaccountprocessor.cpp, line: 280, method: AAD::Core::WebAccountProcessor::ProcessBrokerBackgroundRequest::<lambda_c59055bd9d9c85aff79a2f7420694224>::operator ().

Log: 0xcaa5001c Token broker operation failed.
Operation name: GetTokenSilently
Logged at webaccountprocessor.cpp, line: 545, method: AAD::Core::WebAccountProcessor::ReportException.

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa10083 Exception in WinRT wrapper.
Logged at authorizationclient.cpp, line: 224, method: ADALRT::AuthorizationClient::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed6-52b3-4102-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed6-52b3-4102-aeff-aad2292ab01c

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa1007b Acquire token failed.
Logged at authenticationcontext.cpp, line: 404, method: AuthenticationContext::AcquireTokenInternal.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed6-52b3-4102-aeff-aad2292ab01c

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa1007b Acquire token failed.
Logged at aggregatedtokenrequest.cpp, line: 69, method: AggregatedTokenRequest::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

 

Falls Du mehr weisst, bin ich dankbar für einen Tipp, da ja anscheinend die Deaktivierung von WAM nicht der Weisheit letzter Schluss ist.

Link zu diesem Kommentar
vor 18 Minuten schrieb mwiederkehr:

Was wäre der Vorteil eines AAD Join? Kann der Server gleichzeitig in einer "legacy" und einer Azure-Domain sein, wenn diese nicht synchronisiert werden (kein AAD Connect)?

 

Im verlinkten Artikel wird unser Problem leider nicht behandelt. Es äussert sich in folgenden Fehlern:

 

AAD, Event 1097:

Error: 0x80090011 Das Objekt wurde nicht gefunden.

Das Objekt wurde nicht gefunden.

Exception of type 'class WinRTException' at oauthtokenrequestbase.cpp, line: 733, method: OAuthTokenRequestBase::QueryTokenBindingKeyId::<lambda_384ba4be0f1ddecb55f87844038ccea6>::operator ().

Log: 0x8aa5007f Unable to create a Token Binding Key.
Logged at oauthtokenrequestbase.cpp, line: 733, method: OAuthTokenRequestBase::QueryTokenBindingKeyId::<lambda_384ba4be0f1ddecb55f87844038ccea6>::operator ().

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

Error: 0x8AA9004C Acquire token by refresh token failed, trying PRT.
Logged at refreshtokenrequest.cpp, line: 79, method: RefreshTokenRequest::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

 

AAD, Event 1098:

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.

Das System kann den angegebenen Pfad nicht finden.

Exception of type 'class WinRTException' at webaccountprocessor.cpp, line: 280, method: AAD::Core::WebAccountProcessor::ProcessBrokerBackgroundRequest::<lambda_c59055bd9d9c85aff79a2f7420694224>::operator ().

Log: 0xcaa5001c Token broker operation failed.
Operation name: GetTokenSilently
Logged at webaccountprocessor.cpp, line: 545, method: AAD::Core::WebAccountProcessor::ReportException.

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa10083 Exception in WinRT wrapper.
Logged at authorizationclient.cpp, line: 224, method: ADALRT::AuthorizationClient::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed6-52b3-4102-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed6-52b3-4102-aeff-aad2292ab01c

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa1007b Acquire token failed.
Logged at authenticationcontext.cpp, line: 404, method: AuthenticationContext::AcquireTokenInternal.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed6-52b3-4102-aeff-aad2292ab01c

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa1007b Acquire token failed.
Logged at aggregatedtokenrequest.cpp, line: 69, method: AggregatedTokenRequest::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

 

Falls Du mehr weisst, bin ich dankbar für einen Tipp, da ja anscheinend die Deaktivierung von WAM nicht der Weisheit letzter Schluss ist.

Moin,

 

ich hatte parallel ein Support Ticket bei Microsoft eröffnet. Dort habe ich diesen Link zur Umsetzung erhalten.
Für mich auf dem ersten Blick, aber auch der falsche Ansatz, da wir nicht mit diesen Office Versionen arbeiten, sondern mit Microsoft 365.
Mit den Vorschlag von Microsoft bin ich auch nicht ganz glücklich/ unsicher und habe es noch nicht umgesetzt.

 

How modern authentication works for Office 2013 and Office 2016 client apps - Microsoft 365 Enterprise | Microsoft Learn

 

 

bearbeitet von Candy
Link zu diesem Kommentar
  • 2 Monate später...

Moin,

 

ich würde die User mit AAD Connect und auch die Devices per Hybrid AAD Join syncen. Damit fahren wir bei unseren Kunden (gefühlt) am besten. Wenn die Devices auch im AAD sind, bekommt man AFAIK das Anmeldetoken bereits bei der Anmeldung des User am Device und nicht erst beim Start der Anwendung.

 

Ansonsten ein Ticket aufmachen und solange "nerven" bis man eine Lösung hat. ;)

 

Gruß

Jan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...