none
IAG - KCD - Exchange 200 auf Windows 2008 RRS feed

  • Frage

  • Hi,

    hab wieder was nettes. Ich habe bei einem Kunden mehrere IAGs aufgebaut und ein Portal freigegeben. Auf dem Portal liegen diverse Webanwendungen, die sich alle über KCD authentifizieren. Eine davon ist OWA auf Exchange 2007. (zwei CAS nur für diesen Zugriff) Hat auch alles gut funktioniert. Jetzt sind die beieden CAS Server neu aufgesetzt worden, weil man Windows Server 2008 als Betriebsystem haben wollte. Danach wurden sie genauso konfiguriert, wie es bei den 2003 Servern auch gewesen ist. Als neuerung im IIS7 wurde der Kernel Mode noch deaktiviert. Der OWA-Apllication Pool läuft im Kontext eines Dienstkontos, das über die benötigten SPNs und delegierungen verfügt. Leider kriege ich beim Zugriff auf OWA abber immer einen Authentifizierungsfehler (401).

    Ich habe die Pakete mal auf dem IAG mitgesnifft.... Ich kann dort sehen, das ein AS-Request und der passende AS-Reply gesendet wird. Im IIS-Log auf dem CAS sehe ich einen Zugriff mit meinem Benutzernamen und Statuscode 200 .....

    weitere Infos:
    Die Kerberos Tickets werden mit dem encryption type 23 (RC4) geschickt. Die DCs laufen teilweise noch auf 2003, aber RC4 verstehen die Server. Es gibt allerdings auf den 2003 DCs die Meldung vom KCD, das dieverse Exchange Server (aber nicht die CAS-Server) dort versuchen mit AES-Verschlüsselung zu arbeiten (type 18).

    Wisst ihr ob sich in der Kombination W2k8 (ohne R2) und Exchange 2007 was am KCD-Verhalten geändert hat ?

    Viele Grüße
    Carsten

    Mittwoch, 13. Oktober 2010 14:38

Antworten

  • Hi zusammen,

    hier die Lösung ..... Erklärung habe ich leider nicht bekommen ...

    HKLM\Software\whalecom\eGap\von\UrlFilter
    Name: KCDUseKerberosSSN
    Type: DWORD
    Value: 1

    Auf dem IAG muss dieser Key gesetzt werden. Danach iisreset und alles ist gut ;)

    Viele Grüße

    Carsten

    • Als Antwort markiert Wolverine74 Freitag, 22. Oktober 2010 13:18
    Freitag, 22. Oktober 2010 13:18

Alle Antworten

  • OK, hab einen MS-Call aufgemacht .... Wenn ich mehr weiß gibt es ein Update

     

    Gruß

    Carsten

    Donnerstag, 21. Oktober 2010 09:52
  • Hi zusammen,

    hier die Lösung ..... Erklärung habe ich leider nicht bekommen ...

    HKLM\Software\whalecom\eGap\von\UrlFilter
    Name: KCDUseKerberosSSN
    Type: DWORD
    Value: 1

    Auf dem IAG muss dieser Key gesetzt werden. Danach iisreset und alles ist gut ;)

    Viele Grüße

    Carsten

    • Als Antwort markiert Wolverine74 Freitag, 22. Oktober 2010 13:18
    Freitag, 22. Oktober 2010 13:18