Exchange 2010 SP2 und TMG 2010 bei Outlook- und iPad-Authentifizierung
Wir haben derzeit ein Problem mit der Client-Authentifizierung (Outlook 2003, 2010 und iPad 2 über ActiveSync) in einer Subdomäne (ost.xxx.local) in unserer IT-Struktur:
Unsere AD-Struktur sieht folgendermaßen aus: Rootdomäne (xxx.local) und 3 Subdomänen (west.xxx.local, sued.xxx.local, ost.xxx.local).
Seit ca. 2 Wochen konnten sich Benutzer aus der Domäne ost.xxx.local nicht mit Outlook am Exchange 2010 anmelden; erst wenn man die Authentifizierung auf „NTLM“ in den Kontoeigenschaften umgestellt hat. Wir haben festgestellt, dass einige Domänencontroller Kerberosfehlermeldungen ausgegeben haben. Laut Microsoft, kann man mit dem Zurücksetzen des Computerkontokennworts diesen Fehler beheben (http://support.microsoft.com/kb/260575/de). So war es auch und der Fehler ist in der Ereignisanzeige verschwunden. Das Problem mit der Outlook- bzw. ActiveSync-Authentifizierung über das iPad blieb leider. Die Uhrzeit aller DC wurde auch überprüft.
Wir können den Fehler nicht nachvollziehen, da beispielsweise auf dem iPad ständig nach dem E-Mail-Kennwort gefragt wird und nach 30 Minuten dieser wieder E-Mails empfangen kann. Alles sporadisch. Man kann den Fehler nicht aktiv reproduzieren. Und das nur in der Subdomäne ost.xxx.local. Bei Outlook funktioniert es problemlos, wenn man in der Kontoeinstellung auf NTLM-Authentifizierung umstellt.
Die Domänencontroller sind größtenteils Windows Server 2008 R2 (es gibt aber noch einige mit 2003 R2) und die Domänenfunktionsebene läuft unter Windows Server 2003. Als E-Mail-Server läuft ein Exchange 2010 SP2; davor ist ein Forefront TMG 2010 geschaltet.
Wir haben bereits am TMG die Authentifizierung (Authentication Delegation) der ActiveSync-Regel auf "No delegation, but client may authenticate directly" testweise gesetzt, aber das hat nicht funktioniert (siehe http://bit.ly/NTHNMl). Plötzlich konnte sich kein iPad über ActiveSync authentifizieren.
Hat jemand irgendeinen Tipp oder Ratschlag für uns?
Viele Grüße
Lukas
PS: ich habe unter http://www.troovi.de/rBqJ53jmR924 die Einstellungen der ActiveSync-Regel als Screenshots hochgeladen.
Die Einstellung von ActiveSync im Exchange 2010:
Die Listen der Remotedateiserver (3. Bild) sind alle leer.
Unsere AD-Struktur sieht folgendermaßen aus: Rootdomäne (xxx.local) und 3 Subdomänen (west.xxx.local, sued.xxx.local, ost.xxx.local).
Seit ca. 2 Wochen konnten sich Benutzer aus der Domäne ost.xxx.local nicht mit Outlook am Exchange 2010 anmelden; erst wenn man die Authentifizierung auf „NTLM“ in den Kontoeigenschaften umgestellt hat. Wir haben festgestellt, dass einige Domänencontroller Kerberosfehlermeldungen ausgegeben haben. Laut Microsoft, kann man mit dem Zurücksetzen des Computerkontokennworts diesen Fehler beheben (http://support.microsoft.com/kb/260575/de). So war es auch und der Fehler ist in der Ereignisanzeige verschwunden. Das Problem mit der Outlook- bzw. ActiveSync-Authentifizierung über das iPad blieb leider. Die Uhrzeit aller DC wurde auch überprüft.
Wir können den Fehler nicht nachvollziehen, da beispielsweise auf dem iPad ständig nach dem E-Mail-Kennwort gefragt wird und nach 30 Minuten dieser wieder E-Mails empfangen kann. Alles sporadisch. Man kann den Fehler nicht aktiv reproduzieren. Und das nur in der Subdomäne ost.xxx.local. Bei Outlook funktioniert es problemlos, wenn man in der Kontoeinstellung auf NTLM-Authentifizierung umstellt.
Die Domänencontroller sind größtenteils Windows Server 2008 R2 (es gibt aber noch einige mit 2003 R2) und die Domänenfunktionsebene läuft unter Windows Server 2003. Als E-Mail-Server läuft ein Exchange 2010 SP2; davor ist ein Forefront TMG 2010 geschaltet.
Wir haben bereits am TMG die Authentifizierung (Authentication Delegation) der ActiveSync-Regel auf "No delegation, but client may authenticate directly" testweise gesetzt, aber das hat nicht funktioniert (siehe http://bit.ly/NTHNMl). Plötzlich konnte sich kein iPad über ActiveSync authentifizieren.
Hat jemand irgendeinen Tipp oder Ratschlag für uns?
Viele Grüße
Lukas
PS: ich habe unter http://www.troovi.de/rBqJ53jmR924 die Einstellungen der ActiveSync-Regel als Screenshots hochgeladen.
Die Einstellung von ActiveSync im Exchange 2010:
Die Listen der Remotedateiserver (3. Bild) sind alle leer.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 189821
Url: https://administrator.de/forum/exchange-2010-sp2-und-tmg-2010-bei-outlook-und-ipad-authentifizierung-189821.html
Ausgedruckt am: 27.12.2024 um 19:12 Uhr
7 Kommentare
Neuester Kommentar
Moin,
lade bitte die Bilder im Forum hoch. Nicht umsonst gibt es den Reiter "Bilder" im Thread erstellen.
Achja, wurden auf Exchange, TMG ServicePacks oder Patches eingespielt?!
Grüße,
Dani (Mod)
lade bitte die Bilder im Forum hoch. Nicht umsonst gibt es den Reiter "Bilder" im Thread erstellen.
Einstellung des Exchange 2010 gibts auf Nachfrage, da ich nicht alles hier posten möchte.
Soll dir jede/r eine PN schreiben um die Infos zu erhalten oder wie stellst du dir das vor?! So läuft das Spiel nicht! Bitte poste die notwendigen Informationen oder wir lassen es.Achja, wurden auf Exchange, TMG ServicePacks oder Patches eingespielt?!
Grüße,
Dani (Mod)
Moin,
Naja bei solch einer Umgebung führt ihr doch sicher Buch, seit wann (geneauer Tag) das Problem das erste Mal aufgetreten ist und was in der Woche am den Systemen in einzelnen geändert worden ist oder?!
Wie sieht denn euer Zugriffstruktur aus, betrachtet vom Handy aus. Beispiel:
Handy <-> Internet <-> Firewall <-> TMG (evtl. in einer DMZ) <-> exchange.ost.xxx.local
Kommen den die Anfragen bis zum Exchange durch oder bleiben sie unterwegs schon hängen?!
Ist dieser TMG nur als Reverseproxy im EInsatz oder auch als LAN Proxy?!
Grüße,
Dani
Wenn jemand eine Einstellung aus der EX-Konsole Punkt X, Reiter Y wissen möchte, hätte ich es gepostet. Ich habe die Einstellungen des ActiveSync im EX2010 oben aktualisiert.
Ist schon klar, aber Einstellungen die mit AS zu tun haben, kannst du gleich posten. Denn diese hängen doch direkt mit deinem Problem zusammen, oder. Naja bei solch einer Umgebung führt ihr doch sicher Buch, seit wann (geneauer Tag) das Problem das erste Mal aufgetreten ist und was in der Woche am den Systemen in einzelnen geändert worden ist oder?!
Wie sieht denn euer Zugriffstruktur aus, betrachtet vom Handy aus. Beispiel:
Handy <-> Internet <-> Firewall <-> TMG (evtl. in einer DMZ) <-> exchange.ost.xxx.local
Kommen den die Anfragen bis zum Exchange durch oder bleiben sie unterwegs schon hängen?!
Ist dieser TMG nur als Reverseproxy im EInsatz oder auch als LAN Proxy?!
Grüße,
Dani