Hi,
hab wieder was nettes. Ich habe bei einem Kunden mehrere IAGs aufgebaut und ein Portal freigegeben. Auf dem Portal liegen diverse Webanwendungen, die sich alle über KCD authentifizieren. Eine davon ist OWA auf Exchange 2007. (zwei CAS nur für diesen
Zugriff) Hat auch alles gut funktioniert. Jetzt sind die beieden CAS Server neu aufgesetzt worden, weil man Windows Server 2008 als Betriebsystem haben wollte. Danach wurden sie genauso konfiguriert, wie es bei den 2003 Servern auch gewesen ist. Als neuerung
im IIS7 wurde der Kernel Mode noch deaktiviert. Der OWA-Apllication Pool läuft im Kontext eines Dienstkontos, das über die benötigten SPNs und delegierungen verfügt. Leider kriege ich beim Zugriff auf OWA abber immer einen Authentifizierungsfehler
(401).
Ich habe die Pakete mal auf dem IAG mitgesnifft.... Ich kann dort sehen, das ein AS-Request und der passende AS-Reply gesendet wird. Im IIS-Log auf dem CAS sehe ich einen Zugriff mit meinem Benutzernamen und Statuscode 200 .....
weitere Infos:
Die Kerberos Tickets werden mit dem encryption type 23 (RC4) geschickt. Die DCs laufen teilweise noch auf 2003, aber RC4 verstehen die Server. Es gibt allerdings auf den 2003 DCs die Meldung vom KCD, das dieverse Exchange Server (aber nicht die CAS-Server)
dort versuchen mit AES-Verschlüsselung zu arbeiten (type 18).
Wisst ihr ob sich in der Kombination W2k8 (ohne R2) und Exchange 2007 was am KCD-Verhalten geändert hat ?
Viele Grüße
Carsten
