Exchange 2013 windows xp запрашивает пароль
Вопрос
Добрый день. Перевожу потихоньку организацию на Exchange 2013. Вроде всё ок — с клиентами у которых Windows 7 и выше — проблем нет. Обнаружились проблемы с Windows XP — Outlook постоянно требует пароль. Если с нуля добавлять в Outlook учетную запись — видно, что при попытке входа на сервер запрашивается пароль (запрос идет к CAS-массиву. Конфигурация ниже).
Что имеем — Exchange 2013 cu8. Два CAS-сервера: cas01.domain.local, cas02.domain.local. Используется NLB-кластер.
Outlook Anywhere на всех серверах клиентского доступа настроен с такими параметрами:
ExternalHostname : mail.contoso.com
InternalHostname : cas-array.domain.local
ExternalClientAuthenticationMethod : Ntlm
InternalClientAuthenticationMethod : Ntlm
IISAuthenticationMethods :
SSLOffloading : True
ExternalClientsRequireSsl : False
InternalClientsRequireSsl : False
Во внутренней сети DNS-записи cas-array.domain.local и mail.contoso.com — обе ссылаются на ip-адрес NLB-кластера.
Извне — mail.contoso.com — это адрес обратного прокси.
Ответы
Итак — проблему удалось решить двумя способами.
Первый. Действия с локальной политикой безопасности действительно помогли:
Computer Configuration\Windows\Settings\Security Settings\Local Policies\Security Options. В параметре Network security: LAN Manager authentication level выбираем Send NTLMv2 response only
При этом у меня в OA были следующие настройки:
ExternalClientsRequireSsl : False
InternalClientsRequireSsl : False
Второй метод. Как оказалось — достаточно было в OA всего-лишь включить требование SSL для внутренних клиентов. В итоге я включил и для внутренних и для внешних (включаем конечно же на всех CAS-серверах).
ExternalClientsRequireSsl : True
InternalClientsRequireSsl : True
Есть замечание — у меня в сертификате на CAS-серверах первым прописано общее имя балансировщика (cas-array.domain.local), а затем уже имена серверов и т.д. И т.к. Windows XP не умеет читать в SAN-записи сертификата дальше первой строчки (об этой проблеме можно прочитать в этой статье) — то в моем случае всё проходит нормально:
Windows XP пытается подключиться к cas-array.domain.local. Служба autodiscover нам говорит, что для этого подключения CertPrincilalName должен быть равен «msstd:cas-array.domain.local«, находит такую запись в первой строке поля SAN сертификата и удачно подключается.
Если же к примеру в данном случае в поле SAN сертификата первая запись будет не cas-array.domain.local, а cas01.domain.local — то Windows XP уже не сможет подключиться:
Windows XP пытается подключиться к cas-array.domain.local. Служба autodiscover нам говорит, что для этого подключения CertPrincilalName должен быть равен «msstd:cas-array.domain.local«, но находит только запись cas01.domain.local в сертификате. Соответственно подключение не устанавливается — и нам будут вылазить постоянные запросы пароля.
В этом случае на CAS-серверах мы можем указать какое имя в сертификате будет использовано для подключения. В этом примере:
Set-OutlookProvider EXPR -CertPrincilalName «msstd:cas01.domain.local»
Set-OutlookProvider EXCH -CertPrincilalName «msstd:cas01.domain.local»
После применения этих команд мы можем увидеть, что Autodiscover отправляет клиенту информацию, что CertPrincilalName должен быть равен «msstd:cas01.domain.local«. Windows XP начинает нормально авторизовываться.
Из двух методов решения в моем случае (использование групповых политик, или требовать SSL-подключение) мне больше нравится второй вариант. Т.к. не надо городить групповые политики и всё отлично работает.
Exchange 2013 windows xp запрашивает пароль
Вопрос
Доброе время суток.
Делаю миграцию с Exchange 2010 на 2013. Перенес несколько тестовых ящиков и столкнулся с проблемой: Outlook при подключении требует пароль. При этом, если нажать отмену, то почта ходит, но в нижней части уведомление, что требуется пароль. Если кликнуть на это уведомление, то может произойти подключение к серверу Exchange.
С клиентами на Exchange 2010 проблем нет.
Есть большое подозрение, что проблема с OAB, но никак не могу докопаться. Прочитал похожие ветки, но решения не нашел.
Серверы: 2008R2 + Exchange 2010 и 2012R2 + Exchange 2013 SP1
Клиенты: Windows 7, 8, 8.1 + Office 2013
Ответы
Ознакомились ли вы с этими статьями:
Все ответы
Доброго времени суток.
Если посмотреть состояние подключения (по правой кнопке на значок в трее), то к какому серверу идет обращение, к Exchange 2013?
Доброе время суток!
Подключение идет к 2013.
Немного уточняющий информации. На сегодня мы говорим только о внутреннем подключении доменных пользователей.
Два сервера Exchange:
exch1.mydomain.ru — Exchange 2010,
comm1.mydomain.ru — Exchange 2013.
Внешнее имя: mail.mydomain.ru
Сертификат выпущен внутренним центром сертификации с использованием функции SAN. Основное имя сертификата mail.mydomain.ru. Во внутреннем DNS создан CNAME для mai.mydomain.ru на comm1.mydomain.ru
В OutlookProvider везде прописано CertPrincipalName: msstd:mail.mydomain.ru
По умолчанию прописана адресная книга Exchange 2013, она же прописана для базы почтовых ящиков Exchange 2013:
VirtualDirectories :
IsDefault : False
Identity : \Автономная адресная книга по умолчанию
VirtualDirectories :
IsDefault : True
Identity : \Автономная адресная книга по умолчанию (Ex2012)
Доброе время суток!
Проблема остается актуальной.
Возможно дело не в адресной книге.
Какую версию Outlook вы используете для подключения к Exchange 2013?
Подключение к OWA происходит без проблем?
Какой метод аутентификации вы используете для Outlook AnyWhere?
Подключение к OWA — без проблем.
Версия оутлука — 2013 (указал в первом посте)
Ознакомились ли вы с этими статьями:
Спасибо за ссылки. Очень помогли. Особенно вторая.
Есть уже положительная тенденция. Пароль теперь запрашивается только один раз при первом запуске Outlook после включения компьютера. Буду теперь разбираться, к каким сервисам обращается Outlook на старый Exchange 2010.
Думаю, что если перенести все ящики на Exchange 2013 и удалить 2010, то проблема должна исчезнуть совсем. Благо, организация небольшая и можно себе это позволить.
Тоже имею проблемы с запросом пароля в аутлуке.
Спрашивает один раз после загрузки компьютера, статьи предложенные изучил — вроде не оно.
Обратил внимание на одну вещь, при первом старте Outlook, при настройке, он вроде подхватывает настройки сервера, но запрашивает пароль вида для pupkin@domai.ru т.е. внешний адрес, ввожу pupkin@domail.local именно так пользователь в AD — он соединяется. по после загрузки каждый раз спрашивает пароль.
Помогите плиз, опыта нет совсем.. Установка свежая, WS2012R2+Exchange2013SP1
Попробуйте изменить тип формы запроса пароля в настройках формы аторизации на CAS.
Сейчас у вас формат UPN, измените на формат Domain\User.
MCITP, MCSE. Знание — не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.
Попробуйте изменить тип формы запроса пароля в настройках формы аторизации на CAS.
Сейчас у вас формат UPN, измените на формат Domain\User.
Сегодня я для себя закрыл этот вопрос окончательно. Основная проблема в том, что такое поведение аутлука может вызываться разными причинами, а люди пытаются найти какое-то одно решение. Если позволите, подведу резюме. Некоторые пункты я помню не точно, постараюсь о них написать так, чтобы вопросов у вас осталось как можно меньше.
Причины могут быть банальные — пароль был изменён после того, как сохранён в диспетчере учетных данных, истек срок действия учётной записи, учётная запись заблокирована и т.д. и т.п. Тут даже разбирать нечего, назовём это «с учётной записью всё должно быть в порядке». Рассказать же я хочу о нетривиальных вариантах.
- ОС и Office должны быть обновлены. Более подробно о том какие именно пакеты обновления нужны Office можно почитать на Technet . Про винду я говорю голословно, считайте это рекомендацией.
- Для Windows 7 и Windows XP попробуйте следующее:
- на клиенте выставить : HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa lmcompatibilitylevel=3.
- вручную на клиенте прописать сетевой пароль (точно уже не скажу, но по-моему это не всегда требуется)
- *.domain.local
- domain\user
- passoword
и (если почтовый домен отличается от внутреннего)
Exchange 2013 windows xp запрашивает пароль
Вопрос
Добрый день. Перевожу потихоньку организацию на Exchange 2013. Вроде всё ок — с клиентами у которых Windows 7 и выше — проблем нет. Обнаружились проблемы с Windows XP — Outlook постоянно требует пароль. Если с нуля добавлять в Outlook учетную запись — видно, что при попытке входа на сервер запрашивается пароль (запрос идет к CAS-массиву. Конфигурация ниже).
Что имеем — Exchange 2013 cu8. Два CAS-сервера: cas01.domain.local, cas02.domain.local. Используется NLB-кластер.
Outlook Anywhere на всех серверах клиентского доступа настроен с такими параметрами:
ExternalHostname : mail.contoso.com
InternalHostname : cas-array.domain.local
ExternalClientAuthenticationMethod : Ntlm
InternalClientAuthenticationMethod : Ntlm
IISAuthenticationMethods :
SSLOffloading : True
ExternalClientsRequireSsl : False
InternalClientsRequireSsl : False
Во внутренней сети DNS-записи cas-array.domain.local и mail.contoso.com — обе ссылаются на ip-адрес NLB-кластера.
Извне — mail.contoso.com — это адрес обратного прокси.
Ответы
Итак — проблему удалось решить двумя способами.
Первый. Действия с локальной политикой безопасности действительно помогли:
Computer Configuration\Windows\Settings\Security Settings\Local Policies\Security Options. В параметре Network security: LAN Manager authentication level выбираем Send NTLMv2 response only
При этом у меня в OA были следующие настройки:
ExternalClientsRequireSsl : False
InternalClientsRequireSsl : False
Второй метод. Как оказалось — достаточно было в OA всего-лишь включить требование SSL для внутренних клиентов. В итоге я включил и для внутренних и для внешних (включаем конечно же на всех CAS-серверах).
ExternalClientsRequireSsl : True
InternalClientsRequireSsl : True
Есть замечание — у меня в сертификате на CAS-серверах первым прописано общее имя балансировщика (cas-array.domain.local), а затем уже имена серверов и т.д. И т.к. Windows XP не умеет читать в SAN-записи сертификата дальше первой строчки (об этой проблеме можно прочитать в этой статье) — то в моем случае всё проходит нормально:
Windows XP пытается подключиться к cas-array.domain.local. Служба autodiscover нам говорит, что для этого подключения CertPrincilalName должен быть равен «msstd:cas-array.domain.local«, находит такую запись в первой строке поля SAN сертификата и удачно подключается.
Если же к примеру в данном случае в поле SAN сертификата первая запись будет не cas-array.domain.local, а cas01.domain.local — то Windows XP уже не сможет подключиться:
Windows XP пытается подключиться к cas-array.domain.local. Служба autodiscover нам говорит, что для этого подключения CertPrincilalName должен быть равен «msstd:cas-array.domain.local«, но находит только запись cas01.domain.local в сертификате. Соответственно подключение не устанавливается — и нам будут вылазить постоянные запросы пароля.
В этом случае на CAS-серверах мы можем указать какое имя в сертификате будет использовано для подключения. В этом примере:
Set-OutlookProvider EXPR -CertPrincilalName «msstd:cas01.domain.local»
Set-OutlookProvider EXCH -CertPrincilalName «msstd:cas01.domain.local»
После применения этих команд мы можем увидеть, что Autodiscover отправляет клиенту информацию, что CertPrincilalName должен быть равен «msstd:cas01.domain.local«. Windows XP начинает нормально авторизовываться.
Из двух методов решения в моем случае (использование групповых политик, или требовать SSL-подключение) мне больше нравится второй вариант. Т.к. не надо городить групповые политики и всё отлично работает.