locked
TMG2010 iVm. MSX 2013 - Authentifizierungsmethode ändert sich (Outlook Anywhere) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Leute,...
    ich verstehe es gerade nicht und deshalb eine kurze Frage:

    Umgebung:
    Exchange 2013, CU6  mit 
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Basic, Ntlm, Negotiate}

    TMG 2010 mit
    SSL-Listener und HTML-Formularauthentifizierung
    Authentifizierungsdelegierung: Standardauthentifizierung

    Jetzt das mysteriöse:
    Outlook Anywhere funktioniert beim einrichten und Mails werden synchronisiert.
    Beim nächsten Start von Outlook erhalte ich eine ständige Passwortabfrage und die Proxyeinstellungen haben sich auf NTLM anstatt Standard abgeändert.
    Wenn ich am TMG auf NTLM stelle, gehts auch nicht!

    Wie geht das? Was läuft da schief?

    Beim TMG sagt er im Log wenn ich das Passwort eingebe: Der ISA erfordert Autorisierung... Zugriff auf Webserver verweigert....

    Vielen Dank


    • Bearbeitet D.Jung Mittwoch, 29. Oktober 2014 09:55
    Mittwoch, 29. Oktober 2014 09:46

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    die Authentifizierungsmethode fuer externe Zugriffe wird durch den Exchange Server festgelegt. Mit der Autodiscover Funktion werden die Outlook Profil-Einstellungen gesteuert und dann anschliessend wieder auf NTLM umgestellt.
    ich sehe zwei Loesungsmoeglichkeiten:
    OA am TMG auf NTLM/Kerberos Authentifizierung mit KCD umstellen (HTTP Integrated im Weblistener - Kerberos Constrained Delegation bei der Authentication Delegation)
    oder ...
    Den Exchange umstellen, dass fuer Externe Zugriffe Basic Authentication verwendet wird

    Aus meiner Erfahrung raus kann ich sagen, dass Du mit der TMG Umstellung auf Integrated Auth / KCD besser faehrst

    best regards Marc Grote - www.it-training-grote.de

    • Als Antwort markiert D.Jung Montag, 3. November 2014 13:55
    Mittwoch, 29. Oktober 2014 11:22

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    die Authentifizierungsmethode fuer externe Zugriffe wird durch den Exchange Server festgelegt. Mit der Autodiscover Funktion werden die Outlook Profil-Einstellungen gesteuert und dann anschliessend wieder auf NTLM umgestellt.
    ich sehe zwei Loesungsmoeglichkeiten:
    OA am TMG auf NTLM/Kerberos Authentifizierung mit KCD umstellen (HTTP Integrated im Weblistener - Kerberos Constrained Delegation bei der Authentication Delegation)
    oder ...
    Den Exchange umstellen, dass fuer Externe Zugriffe Basic Authentication verwendet wird

    Aus meiner Erfahrung raus kann ich sagen, dass Du mit der TMG Umstellung auf Integrated Auth / KCD besser faehrst

    best regards Marc Grote - www.it-training-grote.de

    • Als Antwort markiert D.Jung Montag, 3. November 2014 13:55
    Mittwoch, 29. Oktober 2014 11:22
  • Question
    Anmelden
    0
    Anmelden

    Hi Marc,

    vielen dank, ich habe mir sowas schon fast gedacht :-( Kannst du mir sagen wie das funktioniert mit dem NTLM/Kerberos? Was ist zu beachten wo stelle ich was ein!?

    Mittwoch, 29. Oktober 2014 11:37
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    in der bestehenden Regel stellst Du im Weblistener - HTTP und INTEGRATED ein.
    Auf der Registerkarte "Authentication Delegation" stellt Du Kerberos Constrained Delegation ein und den SPN traegst Du in dem AD Benutzer und Computer Snapin in dem Computerkonto des TMG Servers ein. SPN ist HOST
    Bsp:
    http://www.it-training-grote.de/download/isaserver-TMG-rdweb2.pdf

    best regards Marc Grote - www.it-training-grote.de

    Mittwoch, 29. Oktober 2014 14:06
  • Question
    Anmelden
    0
    Anmelden

    Super, danke,... bei ner ruhigen Minute werde ich es testen! 

    Mittwoch, 29. Oktober 2014 14:57
  • Question
    Anmelden
    0
    Anmelden

    Nochmal ganz kurz: Das bedeutet dass der TMG in der Domäne sein muss, oder? (Sorry für die dumme Frage)

    Und: Was würde passieren wenn ich die Interne ClientauthenticationMethod auf NTLM lasse und die Externe auf Basic umstelle?

    • Bearbeitet D.Jung Montag, 3. November 2014 10:30
    Montag, 3. November 2014 09:59
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    fuer KCD muss der TMG Member einer Active Directory Domaene sein, korrekt.

    Extern auf Basic waere OK, dann musst Du die Auth. am TMG nicht umstellen.

    best regards Marc Grote - www.it-training-grote.de

    Montag, 3. November 2014 11:35
  • Question
    Anmelden
    0
    Anmelden

    Ich habe das nun mal getestet und die externe Authentifizierung auf Basic mit folgendem Befehl umgestellt:
    Set-OutlookAnywhere -Identity: "SrvMSX\rpc (Default Web Site)" -ExternalClientAuthenticationMet
    hod Basic

    Und bisher sieht es ganz gut aus. Die externen Clients verbinden sauber. Selbst mein Outlook for Mac Problem kann ich so wahrscheinlich beheben! 

    Eine Umstellung auf KCD ist vorerst nicht geplant. 

    Vielen Dank Marc. Hat mir den richtigen "Schubs" gegeben!

    Montag, 3. November 2014 13:54