leon123
Goto Top

Exchange 2016 onPrem Standardauthentifizierung

Hallo zusammen,

ich habe hier einen Exchange 2016 neustes CU. Es ist ein Reverse Proxy davor geschalten. Laut Anleitung vom Herstellen ist es notwendig hier die Standardauthentifizierung zu aktivieren. Das war bis Dato auch immer so.

Im Verbindungsstatus von Outlook kann man dann sehen "HTTP, Klartext*, SSL". Der Reverse Proxy benötigt ein SSL Zertifikat.

Mir gefällt jetzt das Klartext nicht. Allerdings durch den Proxy und das SSL Zertifikat sollte die Verbindung doch eigentlich verschlüsselt sein?

Was jetzt aber eigentlich mein Problem ist, ich habe einfach mal die Standardauthentifizerung im ISS deaktiviert und den ISS Dienst bzw. zusätzlich noch den kompletten Exchange neu gestartet. Dennoch funktioniert die Verbindung mit Outlook Anywhere weiterhin...
--> Gibt es noch eine weitere stelle wo ich das deaktivieren muss?

Danke!
Grüße
Leon

Content-ID: 2703961623

Url: https://administrator.de/forum/exchange-2016-onprem-standardauthentifizierung-2703961623.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

colinardo
colinardo 06.05.2022 aktualisiert um 12:00:27 Uhr
Goto Top
Servus.
Mir gefällt jetzt das Klartext nicht. Allerdings durch den Proxy und das SSL Zertifikat sollte die Verbindung doch eigentlich verschlüsselt sein?
Das ist ja das Prinzip der "Standardauthentifizierung". Sie arbeitet unverschlüsselt ist aber durch den SSL-Kanal nach außen hin geschützt. Also alles in Ordnung.
Standardauthentifizierung sollte man also niemals ohne https verwenden, denn das kannst du als MitM im Klartext abschnörcheln!

Grüße Uwe
leon123
leon123 06.05.2022 um 12:19:35 Uhr
Goto Top
Zitat von @colinardo:

Servus.
Mir gefällt jetzt das Klartext nicht. Allerdings durch den Proxy und das SSL Zertifikat sollte die Verbindung doch eigentlich verschlüsselt sein?
Das ist ja das Prinzip der "Standardauthentifizierung". Sie arbeitet unverschlüsselt ist aber durch den SSL-Kanal nach außen hin geschützt. Also alles in Ordnung.
Standardauthentifizierung sollte man also niemals ohne https verwenden, denn das kannst du als MitM im Klartext abschnörcheln!

Grüße Uwe

Danke Uwe für die antwort.

Warum funktioniert es aber immer noch obwohl im IIS die Dienste beendet sind? Wurde das geändert und jetzt nur noch die Einstellung in den Virtuellen Verzeichnissen gilt?
colinardo
colinardo 06.05.2022 aktualisiert um 12:26:41 Uhr
Goto Top
Zitat von @leon123:
Warum funktioniert es aber immer noch obwohl im IIS die Dienste beendet sind? Wurde das geändert und jetzt nur noch die Einstellung in den Virtuellen Verzeichnissen gilt?
Set-OutlookAnywhere Parameter -ExternalClientAuthenticationMethod oder -DefaultAuthenticationMethod
leon123
leon123 06.05.2022 aktualisiert um 13:50:27 Uhr
Goto Top
Danke,

ich hab jetzt aber ein Problem (Snapshot ist zwar vorhanden aber will ungern zurück setzen), ich kann mich am OWA und ECP nicht mehr anmelden.

Weil ich am OWA Verzeichnis rumgespielt habe kam nicht mehr die Anmeldeseite. Ich habe das Verzeichnis zurück gesetzt und die Pfade neu gesetzt.

Jetzt sagt mir OWA und ECP auch für den Admin, dass meine Benutzerdaten falsch seien.

Hat evtl. jemand eine Idee?


/EDIT

Ich musste das erneut setzen. Wenn Ich FormsAuthentication nicht auf True setze dann bekomme ich von OWA nicht die HTML Anmeldeseite angezeigt sondern es kommt nur das Login Popup...
Set-ECPVirtualDirectory -Identity "ServerName\ECP (Default Web Site)" -FormsAuthentication $True -BasicAuthentication $True  

Set-OWAVirtualDirectory -Identity "ServerName\OWA (Default Web Site)" -FormsAuthentication $True -BasicAuthentication $True  

net stop was /y

net start w3svc
leon123
leon123 06.05.2022 um 13:51:13 Uhr
Goto Top
Zitat von @colinardo:

Zitat von @leon123:
Warum funktioniert es aber immer noch obwohl im IIS die Dienste beendet sind? Wurde das geändert und jetzt nur noch die Einstellung in den Virtuellen Verzeichnissen gilt?
Set-OutlookAnywhere Parameter -ExternalClientAuthenticationMethod oder -DefaultAuthenticationMethod

Danke für die Informationen... Was mich aber wirklich komplett irritiert früher musste ich das definitiv im IIS unter der Webseite bei Autehtifizierung setzen sonst hat das nicht funktioniert. Wurde das mit einem CU geändert?
colinardo
colinardo 06.05.2022 aktualisiert um 14:15:54 Uhr
Goto Top
Zitat von @leon123:
Danke für die Informationen... Was mich aber wirklich komplett irritiert früher musste ich das definitiv im IIS unter der Webseite bei Autehtifizierung setzen sonst hat das nicht funktioniert. Wurde das mit einem CU geändert?
Die Config des IIS rührst du im Exchange Fall für solche Änderungen gar nicht mehr manuell an, bzw. nur im Fehlerfall. Für solch zentrale Konfigurationen bietet die Exchange-Powershell i.d.R. alles für die Konfiguration an, manuelle Änderungen an der IIS-Config führen dann eher zu Inkonsistenzen zwischen Exchange-Config-Stand und IIS.