7
Exchange 2010 SP2 und TMG 2010 bei Outlook- und iPad-Authentifizierung
Wir haben derzeit ein Problem mit der Client-Authentifizierung (Outlook 2003, 2010 und iPad 2 über ActiveSync) in einer Subdomäne (ost.xxx.local) in unserer IT-Struktur:
Unsere AD-Struktur sieht folgendermaßen aus: Rootdomäne (xxx.local) und 3 Subdomänen (west.xxx.local, sued.xxx.local, ost.xxx.local).
Seit ca. 2 Wochen konnten sich Benutzer aus der Domäne ost.xxx.local nicht mit Outlook am Exchange 2010 anmelden; erst wenn man die Authentifizierung auf „NTLM“ in den Kontoeigenschaften umgestellt hat. Wir haben festgestellt, dass einige Domänencontroller Kerberosfehlermeldungen ausgegeben haben. Laut Microsoft, kann man mit dem Zurücksetzen des Computerkontokennworts diesen Fehler beheben (http://support.microsoft.com/kb/260575/de). So war es auch und der Fehler ist in der Ereignisanzeige verschwunden. Das Problem mit der Outlook- bzw. ActiveSync-Authentifizierung über das iPad blieb leider. Die Uhrzeit aller DC wurde auch überprüft.
Wir können den Fehler nicht nachvollziehen, da beispielsweise auf dem iPad ständig nach dem E-Mail-Kennwort gefragt wird und nach 30 Minuten dieser wieder E-Mails empfangen kann. Alles sporadisch. Man kann den Fehler nicht aktiv reproduzieren. Und das nur in der Subdomäne ost.xxx.local. Bei Outlook funktioniert es problemlos, wenn man in der Kontoeinstellung auf NTLM-Authentifizierung umstellt.
Die Domänencontroller sind größtenteils Windows Server 2008 R2 (es gibt aber noch einige mit 2003 R2) und die Domänenfunktionsebene läuft unter Windows Server 2003. Als E-Mail-Server läuft ein Exchange 2010 SP2; davor ist ein Forefront TMG 2010 geschaltet.
Wir haben bereits am TMG die Authentifizierung (Authentication Delegation) der ActiveSync-Regel auf "No delegation, but client may authenticate directly" testweise gesetzt, aber das hat nicht funktioniert (siehe http://bit.ly/NTHNMl). Plötzlich konnte sich kein iPad über ActiveSync authentifizieren.
Hat jemand irgendeinen Tipp oder Ratschlag für uns?
Viele Grüße
Lukas
PS: ich habe unter http://www.troovi.de/rBqJ53jmR924 die Einstellungen der ActiveSync-Regel als Screenshots hochgeladen.
Die Einstellung von ActiveSync im Exchange 2010:
Die Listen der Remotedateiserver (3. Bild) sind alle leer.
Unsere AD-Struktur sieht folgendermaßen aus: Rootdomäne (xxx.local) und 3 Subdomänen (west.xxx.local, sued.xxx.local, ost.xxx.local).
Seit ca. 2 Wochen konnten sich Benutzer aus der Domäne ost.xxx.local nicht mit Outlook am Exchange 2010 anmelden; erst wenn man die Authentifizierung auf „NTLM“ in den Kontoeigenschaften umgestellt hat. Wir haben festgestellt, dass einige Domänencontroller Kerberosfehlermeldungen ausgegeben haben. Laut Microsoft, kann man mit dem Zurücksetzen des Computerkontokennworts diesen Fehler beheben (http://support.microsoft.com/kb/260575/de). So war es auch und der Fehler ist in der Ereignisanzeige verschwunden. Das Problem mit der Outlook- bzw. ActiveSync-Authentifizierung über das iPad blieb leider. Die Uhrzeit aller DC wurde auch überprüft.
Wir können den Fehler nicht nachvollziehen, da beispielsweise auf dem iPad ständig nach dem E-Mail-Kennwort gefragt wird und nach 30 Minuten dieser wieder E-Mails empfangen kann. Alles sporadisch. Man kann den Fehler nicht aktiv reproduzieren. Und das nur in der Subdomäne ost.xxx.local. Bei Outlook funktioniert es problemlos, wenn man in der Kontoeinstellung auf NTLM-Authentifizierung umstellt.
Die Domänencontroller sind größtenteils Windows Server 2008 R2 (es gibt aber noch einige mit 2003 R2) und die Domänenfunktionsebene läuft unter Windows Server 2003. Als E-Mail-Server läuft ein Exchange 2010 SP2; davor ist ein Forefront TMG 2010 geschaltet.
Wir haben bereits am TMG die Authentifizierung (Authentication Delegation) der ActiveSync-Regel auf "No delegation, but client may authenticate directly" testweise gesetzt, aber das hat nicht funktioniert (siehe http://bit.ly/NTHNMl). Plötzlich konnte sich kein iPad über ActiveSync authentifizieren.
Hat jemand irgendeinen Tipp oder Ratschlag für uns?
Viele Grüße
Lukas
PS: ich habe unter http://www.troovi.de/rBqJ53jmR924 die Einstellungen der ActiveSync-Regel als Screenshots hochgeladen.
Die Einstellung von ActiveSync im Exchange 2010:
Die Listen der Remotedateiserver (3. Bild) sind alle leer.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 189821
Url: https://administrator.de/contentid/189821
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
lade bitte die Bilder im Forum hoch. Nicht umsonst gibt es den Reiter "Bilder" im Thread erstellen.
Achja, wurden auf Exchange, TMG ServicePacks oder Patches eingespielt?!
Grüße,
Dani (Mod)
lade bitte die Bilder im Forum hoch. Nicht umsonst gibt es den Reiter "Bilder" im Thread erstellen.
Einstellung des Exchange 2010 gibts auf Nachfrage, da ich nicht alles hier posten möchte.
Soll dir jede/r eine PN schreiben um die Infos zu erhalten oder wie stellst du dir das vor?! So läuft das Spiel nicht! Bitte poste die notwendigen Informationen oder wir lassen es.Achja, wurden auf Exchange, TMG ServicePacks oder Patches eingespielt?!
Grüße,
Dani (Mod)
Hallo Dani,
das mit den Bilder habe ich wohl übersehen :P
Nein, "Einstellen per PN" hab ich mir nicht gedacht! Wenn jemand eine Einstellung aus der EX-Konsole Punkt X, Reiter Y wissen möchte, hätte ich es gepostet. Ich habe die Einstellungen des ActiveSync im EX2010 oben aktualisiert.
Für Exchange 2010 habe ich SP2+Folgeupdates letzte Woche Donnerstag und TMG vorgestern installiert; da bestand aber mein Problem schon.
Viele Grüße
das mit den Bilder habe ich wohl übersehen :P
Nein, "Einstellen per PN" hab ich mir nicht gedacht! Wenn jemand eine Einstellung aus der EX-Konsole Punkt X, Reiter Y wissen möchte, hätte ich es gepostet. Ich habe die Einstellungen des ActiveSync im EX2010 oben aktualisiert.
Für Exchange 2010 habe ich SP2+Folgeupdates letzte Woche Donnerstag und TMG vorgestern installiert; da bestand aber mein Problem schon.
Viele Grüße
Moin,
Naja bei solch einer Umgebung führt ihr doch sicher Buch, seit wann (geneauer Tag) das Problem das erste Mal aufgetreten ist und was in der Woche am den Systemen in einzelnen geändert worden ist oder?!
Wie sieht denn euer Zugriffstruktur aus, betrachtet vom Handy aus. Beispiel:
Handy <-> Internet <-> Firewall <-> TMG (evtl. in einer DMZ) <-> exchange.ost.xxx.local
Kommen den die Anfragen bis zum Exchange durch oder bleiben sie unterwegs schon hängen?!
Ist dieser TMG nur als Reverseproxy im EInsatz oder auch als LAN Proxy?!
Grüße,
Dani
Wenn jemand eine Einstellung aus der EX-Konsole Punkt X, Reiter Y wissen möchte, hätte ich es gepostet. Ich habe die Einstellungen des ActiveSync im EX2010 oben aktualisiert.
Ist schon klar, aber Einstellungen die mit AS zu tun haben, kannst du gleich posten. Denn diese hängen doch direkt mit deinem Problem zusammen, oder. Naja bei solch einer Umgebung führt ihr doch sicher Buch, seit wann (geneauer Tag) das Problem das erste Mal aufgetreten ist und was in der Woche am den Systemen in einzelnen geändert worden ist oder?!
Wie sieht denn euer Zugriffstruktur aus, betrachtet vom Handy aus. Beispiel:
Handy <-> Internet <-> Firewall <-> TMG (evtl. in einer DMZ) <-> exchange.ost.xxx.local
Kommen den die Anfragen bis zum Exchange durch oder bleiben sie unterwegs schon hängen?!
Ist dieser TMG nur als Reverseproxy im EInsatz oder auch als LAN Proxy?!
Grüße,
Dani
Das mit den semikolongetrennten Werten im Feld "Externe URL" funktioniert? Warum habt Ihr da überhaupt mehrere drin?
Das Interessante an der ganzen Sache ist, dass wir nichts verändert haben! Ich habe einen DC in der ost.xxx.local am 03.08. um ca. 23 Uhr heruntergefahren, weil in dem Standort Kabelarbeiten an der Stromverkabelung gemacht wurden. Der DC war 12 Stunden aus. Dann kamen die Kerberosfehler, die ich oben beschrieben habe.
Zugriffsstruktur ist: Handy <> Internet <> TMG (ohne DMZ)
So wie es aber aussieht lässt der TMG einige Anfragen nicht durch, weil diese von "anonymous" kommen (hab mal ein Log über die Client-IP gemacht, die das iPad bei der Einwahl ins UMTS erhält). Der Benutzer wird als anonymous erkannt bzw. das iPad authentifiziert sich damit, obwohl im iPad ein anderer Benutzer eingetragen ist.
Ich denke, es liegt eher daran, dass irgendetwas an unserer Subdomain nicht funktioniert. Ich habe heute an einem DC "KDC"-Fehler in der Ereignisanzeige entdeckt. Ich werden den DC später mal neu starten und schauen, ob das was bringt.
Zugriffsstruktur ist: Handy <> Internet <> TMG (ohne DMZ)
So wie es aber aussieht lässt der TMG einige Anfragen nicht durch, weil diese von "anonymous" kommen (hab mal ein Log über die Client-IP gemacht, die das iPad bei der Einwahl ins UMTS erhält). Der Benutzer wird als anonymous erkannt bzw. das iPad authentifiziert sich damit, obwohl im iPad ein anderer Benutzer eingetragen ist.
Ich denke, es liegt eher daran, dass irgendetwas an unserer Subdomain nicht funktioniert. Ich habe heute an einem DC "KDC"-Fehler in der Ereignisanzeige entdeckt. Ich werden den DC später mal neu starten und schauen, ob das was bringt.
Ja, das funktioniert. Das hat EX 2010 selbst so eingetragen, weil wir mit dem Exchange 3 E-Mail-Domains verwalten.
Das Problem scheint gelöst zu sein!
Auf einem anderen DC in der Domäne ost.xxx.local trat wieder der Kerberosfehler auf und die Replikation lief auf dem DC überhaupt nicht: es regnete dauernd „Der Ziel-Prinzipal Name ist falsch“- und „Zugriff verweigert“-Fehlermeldungen in der Ereignisanzeige.
Folgendes habe ich auf dem betroffenen DC (Windows Server 2003 R2) gemacht:
1) Kerberosdienst beenden und auf „Manuell“ stellen
2) Folgenden Befehl ausführen: netdom resetpwd /s:PDC.ost.xxx.local /ud:ost\administrator /pd:* (WICHTIG!!! Es muss der PDC sein! Der Befehl muss auch nur bei 2003 R2 angewandt werden; ab 2008 reicht es den Kerberosdienst zu beenden)
3) Betroffenen DC rebooten
4) in der Eingabeaufforderung alle Kerberostickets mit Befehl „klist purge“ löschen
5) Kerberosdienst auf „Automatisch“ stellen und starten
6) Replikationszeit abwarten und sich dann freuen, dass alles wieder läuft
Und siehe da: die Kennwortaufforderung auf dem iPad ist verschwunden und ActiveSync rennt problemlos!
In einige Dokumentationen habe ich gelesen, dass man irgendeinen DC in der Domäne bei dem Befehl „netdom resetpwd“ angeben kann. So ist es nicht! Man muss den PDC angeben. Siehe folgende Anleitung: http://goo.gl/GT4yD
Die Kerberos-Authentifizierung über Outlook funktioniert problemlos!
Auf einem anderen DC in der Domäne ost.xxx.local trat wieder der Kerberosfehler auf und die Replikation lief auf dem DC überhaupt nicht: es regnete dauernd „Der Ziel-Prinzipal Name ist falsch“- und „Zugriff verweigert“-Fehlermeldungen in der Ereignisanzeige.
Folgendes habe ich auf dem betroffenen DC (Windows Server 2003 R2) gemacht:
1) Kerberosdienst beenden und auf „Manuell“ stellen
2) Folgenden Befehl ausführen: netdom resetpwd /s:PDC.ost.xxx.local /ud:ost\administrator /pd:* (WICHTIG!!! Es muss der PDC sein! Der Befehl muss auch nur bei 2003 R2 angewandt werden; ab 2008 reicht es den Kerberosdienst zu beenden)
3) Betroffenen DC rebooten
4) in der Eingabeaufforderung alle Kerberostickets mit Befehl „klist purge“ löschen
5) Kerberosdienst auf „Automatisch“ stellen und starten
6) Replikationszeit abwarten und sich dann freuen, dass alles wieder läuft
Und siehe da: die Kennwortaufforderung auf dem iPad ist verschwunden und ActiveSync rennt problemlos!
In einige Dokumentationen habe ich gelesen, dass man irgendeinen DC in der Domäne bei dem Befehl „netdom resetpwd“ angeben kann. So ist es nicht! Man muss den PDC angeben. Siehe folgende Anleitung: http://goo.gl/GT4yD
Die Kerberos-Authentifizierung über Outlook funktioniert problemlos!
