6
Exchange 2016 onPrem Standardauthentifizierung
Hallo zusammen,
ich habe hier einen Exchange 2016 neustes CU. Es ist ein Reverse Proxy davor geschalten. Laut Anleitung vom Herstellen ist es notwendig hier die Standardauthentifizierung zu aktivieren. Das war bis Dato auch immer so.
Im Verbindungsstatus von Outlook kann man dann sehen "HTTP, Klartext*, SSL". Der Reverse Proxy benötigt ein SSL Zertifikat.
Mir gefällt jetzt das Klartext nicht. Allerdings durch den Proxy und das SSL Zertifikat sollte die Verbindung doch eigentlich verschlüsselt sein?
Was jetzt aber eigentlich mein Problem ist, ich habe einfach mal die Standardauthentifizerung im ISS deaktiviert und den ISS Dienst bzw. zusätzlich noch den kompletten Exchange neu gestartet. Dennoch funktioniert die Verbindung mit Outlook Anywhere weiterhin...
--> Gibt es noch eine weitere stelle wo ich das deaktivieren muss?
Danke!
Grüße
Leon
ich habe hier einen Exchange 2016 neustes CU. Es ist ein Reverse Proxy davor geschalten. Laut Anleitung vom Herstellen ist es notwendig hier die Standardauthentifizierung zu aktivieren. Das war bis Dato auch immer so.
Im Verbindungsstatus von Outlook kann man dann sehen "HTTP, Klartext*, SSL". Der Reverse Proxy benötigt ein SSL Zertifikat.
Mir gefällt jetzt das Klartext nicht. Allerdings durch den Proxy und das SSL Zertifikat sollte die Verbindung doch eigentlich verschlüsselt sein?
Was jetzt aber eigentlich mein Problem ist, ich habe einfach mal die Standardauthentifizerung im ISS deaktiviert und den ISS Dienst bzw. zusätzlich noch den kompletten Exchange neu gestartet. Dennoch funktioniert die Verbindung mit Outlook Anywhere weiterhin...
--> Gibt es noch eine weitere stelle wo ich das deaktivieren muss?
Danke!
Grüße
Leon
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2703961623
Url: https://administrator.de/contentid/2703961623
Printed on: April 26, 2024 at 11:04 o'clock
6 Comments
Latest comment
Servus.
Standardauthentifizierung sollte man also niemals ohne https verwenden, denn das kannst du als MitM im Klartext abschnörcheln!
Grüße Uwe
Mir gefällt jetzt das Klartext nicht. Allerdings durch den Proxy und das SSL Zertifikat sollte die Verbindung doch eigentlich verschlüsselt sein?
Das ist ja das Prinzip der "Standardauthentifizierung". Sie arbeitet unverschlüsselt ist aber durch den SSL-Kanal nach außen hin geschützt. Also alles in Ordnung.Standardauthentifizierung sollte man also niemals ohne https verwenden, denn das kannst du als MitM im Klartext abschnörcheln!
Grüße Uwe
3
Zitat von @colinardo:
Servus.
Standardauthentifizierung sollte man also niemals ohne https verwenden, denn das kannst du als MitM im Klartext abschnörcheln!
Grüße Uwe
Servus.
Mir gefällt jetzt das Klartext nicht. Allerdings durch den Proxy und das SSL Zertifikat sollte die Verbindung doch eigentlich verschlüsselt sein?
Das ist ja das Prinzip der "Standardauthentifizierung". Sie arbeitet unverschlüsselt ist aber durch den SSL-Kanal nach außen hin geschützt. Also alles in Ordnung.Standardauthentifizierung sollte man also niemals ohne https verwenden, denn das kannst du als MitM im Klartext abschnörcheln!
Grüße Uwe
Danke Uwe für die antwort.
Warum funktioniert es aber immer noch obwohl im IIS die Dienste beendet sind? Wurde das geändert und jetzt nur noch die Einstellung in den Virtuellen Verzeichnissen gilt?
Zitat von @leon123:
Warum funktioniert es aber immer noch obwohl im IIS die Dienste beendet sind? Wurde das geändert und jetzt nur noch die Einstellung in den Virtuellen Verzeichnissen gilt?
Set-OutlookAnywhere Parameter -ExternalClientAuthenticationMethod oder -DefaultAuthenticationMethodWarum funktioniert es aber immer noch obwohl im IIS die Dienste beendet sind? Wurde das geändert und jetzt nur noch die Einstellung in den Virtuellen Verzeichnissen gilt?
1
Danke,
ich hab jetzt aber ein Problem (Snapshot ist zwar vorhanden aber will ungern zurück setzen), ich kann mich am OWA und ECP nicht mehr anmelden.
Weil ich am OWA Verzeichnis rumgespielt habe kam nicht mehr die Anmeldeseite. Ich habe das Verzeichnis zurück gesetzt und die Pfade neu gesetzt.
Jetzt sagt mir OWA und ECP auch für den Admin, dass meine Benutzerdaten falsch seien.
Hat evtl. jemand eine Idee?
/EDIT
Ich musste das erneut setzen. Wenn Ich FormsAuthentication nicht auf True setze dann bekomme ich von OWA nicht die HTML Anmeldeseite angezeigt sondern es kommt nur das Login Popup...
ich hab jetzt aber ein Problem (Snapshot ist zwar vorhanden aber will ungern zurück setzen), ich kann mich am OWA und ECP nicht mehr anmelden.
Weil ich am OWA Verzeichnis rumgespielt habe kam nicht mehr die Anmeldeseite. Ich habe das Verzeichnis zurück gesetzt und die Pfade neu gesetzt.
Jetzt sagt mir OWA und ECP auch für den Admin, dass meine Benutzerdaten falsch seien.
Hat evtl. jemand eine Idee?
/EDIT
Ich musste das erneut setzen. Wenn Ich FormsAuthentication nicht auf True setze dann bekomme ich von OWA nicht die HTML Anmeldeseite angezeigt sondern es kommt nur das Login Popup...
Set-ECPVirtualDirectory -Identity "ServerName\ECP (Default Web Site)" -FormsAuthentication $True -BasicAuthentication $True
Set-OWAVirtualDirectory -Identity "ServerName\OWA (Default Web Site)" -FormsAuthentication $True -BasicAuthentication $True
net stop was /y
net start w3svcZitat von @colinardo:
Zitat von @leon123:
Warum funktioniert es aber immer noch obwohl im IIS die Dienste beendet sind? Wurde das geändert und jetzt nur noch die Einstellung in den Virtuellen Verzeichnissen gilt?
Set-OutlookAnywhere Parameter -ExternalClientAuthenticationMethod oder -DefaultAuthenticationMethodWarum funktioniert es aber immer noch obwohl im IIS die Dienste beendet sind? Wurde das geändert und jetzt nur noch die Einstellung in den Virtuellen Verzeichnissen gilt?
Danke für die Informationen... Was mich aber wirklich komplett irritiert früher musste ich das definitiv im IIS unter der Webseite bei Autehtifizierung setzen sonst hat das nicht funktioniert. Wurde das mit einem CU geändert?
Zitat von @leon123:
Danke für die Informationen... Was mich aber wirklich komplett irritiert früher musste ich das definitiv im IIS unter der Webseite bei Autehtifizierung setzen sonst hat das nicht funktioniert. Wurde das mit einem CU geändert?
Die Config des IIS rührst du im Exchange Fall für solche Änderungen gar nicht mehr manuell an, bzw. nur im Fehlerfall. Für solch zentrale Konfigurationen bietet die Exchange-Powershell i.d.R. alles für die Konfiguration an, manuelle Änderungen an der IIS-Config führen dann eher zu Inkonsistenzen zwischen Exchange-Config-Stand und IIS.Danke für die Informationen... Was mich aber wirklich komplett irritiert früher musste ich das definitiv im IIS unter der Webseite bei Autehtifizierung setzen sonst hat das nicht funktioniert. Wurde das mit einem CU geändert?