none
Exchange 2010 - OWA -> Optionen - Login Page RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi Community,

    wir sind auf einen Fehler in OWA gestossen. Wenn wir im OWA Interface (Internet Explorer; Firefox) auf Optionen und dann zB "Alle Optionen anzeigen" klicken, fallen wir zurück auf die Login Seite, wie sie von FBA (Form Based Authentication) generiert wird.

    Jetzt haben wir einige Threads diesbzgl. gefunden und hier wurden vor allem die Authentifizierungsmethoden hinsichtlich ECP und OWA diskutiert. Der Tenor war, dass a) beide gleich sollten und b) in ECP das FBA _nicht_ aktiviert sein soll. Dies bezieht sich auf die Einstellungen im ESM. Die derzeitigen Einstellungen für ECP im ESM sind wie folgt:

    nach meiner letzten Exkursion in die Authentifizierungsmethoden bin ich ein wenig vorsichtiger geworden und frage vorher nach, ob man das testhalber umstellen kann oder ich mir mit einem Umstellen an anderer Stelle uU ein Problem einhandle.

    Derzeit stehen die OWA und ECP Einstellunegn auch nicht synchron zueinander und sind wie folgt eingestellt:

    [PS] C:\Windows\system32>Get-EcpVirtualDirectory | fl Name,*auth*,internalurl,externalurl


Name                          : ecp (Default Web Site)
InternalAuthenticationMethods : {Basic, Fba, Ntlm, WindowsIntegrated}
BasicAuthentication           : True
WindowsAuthentication         : True
DigestAuthentication          : False
FormsAuthentication           : True
LiveIdAuthentication          : False
ExternalAuthenticationMethods : {Fba}
InternalUrl                   : https://universe-2.domain.local/ecp
ExternalUrl                   : https://outlook.domain.de/ecp



[PS] C:\Windows\system32>Get-OwaVirtualDirectory | fl Name,*auth*,internalurl,externalurl


Name                          : owa (Default Web Site)
ClientAuthCleanupLevel        : High
InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
BasicAuthentication           : True
WindowsAuthentication         : False
DigestAuthentication          : False
FormsAuthentication           : False
LiveIdAuthentication          : False
ExternalAuthenticationMethods : {Fba}
InternalUrl                   : https://universe-2.domain.local/owa
ExternalUrl                   : https://outlook.domain.de/owa

    Was mich jetzt irritiert ist, dass die FBA Methode beim ECP im ESM wohl Standard so eingestellt ist und es dadurch das Problem ja jeder haben sollte. Deshalb bin ich nicht wirklich sicher, ob ich die Methode umstellen soll und vor allem, ob an dieser Stelle wirklich die Ursache des Problems liegen kann?

    Thx & Bye Tom


    Dienstag, 14. Mai 2013 13:40
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Was ich bei deinen Settings nicht ganz verstehe, ist warum du die WindowsIntegrated Authentifizierung verwendest? Ein OWA User, der seinen PC zB daheim stehen hat,

    der kommt übers TMG und bekommt eine schöne FBA.

    oder sonst einen benutzt, kann doch nicht seine Windows Logon Daten verwenden...

    Der bekommt ein normales Anmeldefenster vom Browser geliefert. Aber wieviele interne PC, die nciht im AD sind und an OWA müssen, gibt es wirklich?

    Meine Einstellungen sehen jetzt so aus, würde das aber gerne abschließend diskutieren warum du andere verwendest, auch wenn es jetzt zu funktionieren scheint. Weiß der Henker ob jetzt an irgendeiner anderen Stelle etwas nicht funktioniert...

    Meine Einstellungen sind nach den normalen, gängen Anweisungen (Google finde da einige How-Tos) konfiguriert. Diese sagen, dass Basic-Auth aktiviert werden muss.

    Windows Auth kam nur hier dazu, weil das für interne User komfortabler ist.

    Obwohl ich jetzt aber im ESM bei OWA und ECP die gleichen Einstellungen verwende, zeigt mir die PowerShell etwas anderes an:

    Die Differenz kommt daher, weil Du manuell an den IIS-Einstellungen rumgespielt hast.

    Die müssen (und dürfen) nicht angefasst werden, die Einstellungen dort macht Exchange.

    Für eine normale Exchange-Installation muss man niemals den IIS anfassen, Exchange macht ALLES dort selbst. Und wenn man den IIS anfassen muss, dann sollte man sich dringend fragen, warum!

    Eventuell wirfst Du die beiden virtuellen Verzeichnisse weg und machst sie noch mal mit den Exchange-Werkzeugen neu.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 15. Mai 2013 09:21
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Veröffentlicht ihr euer OWA über eine Proxy z.B. TMG?

     

    Wir verwenden das OWA hauptsächliche über die TMG und habe hier die Methoden (Basic, Ntlm, WindowsIntegrated) eingerichtet.

    Dienstag, 14. Mai 2013 13:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Veröffentlicht ihr euer OWA über eine Proxy z.B. TMG?

     

    Wir verwenden das OWA hauptsächliche über die TMG und habe hier die Methoden (Basic, Ntlm, WindowsIntegrated) eingerichtet.

    Ja  wir veröffentlichen OWA (für externe) über einen TMG aber das Problem besteht sowohl OWA intern wie auch OWA extern. Das FBA wollten wir für die externen OWA User schon beibehalten, intern wäre es nicht nötig, da es nur ein Notbehelf wäre. Mit dem Exchange 2003 hatten wir das so realisiert...

    Thx & Bye Tom

    Dienstag, 14. Mai 2013 14:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Thomas,

    ist die Umgebung uptodate?

    Bin jetzt nicht in die Details gegangen, aber schau mal:
    http://www.urtech.ca/2013/01/solved-exchange-2010-owa-prompting-for-login-credentials-when-selecting-options-more-options-for-ecp/

    Viele Grüße
    Christian

    Dienstag, 14. Mai 2013 19:26
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Servus Christian,

    > ist die Umgebung uptodate?

    KOmmt drauf an. Der Patchlevel ist ziemlich aktuell inkl. SP3 am Exchange 2010 aber es befindet sich noch ein W2K3 DC in der Organisation. Das kann man schlecht als aktuell bezeichnen aber ich denke nicht, dass du darauf hinaus wolltest.

    > Bin jetzt nicht in die Details gegangen, aber schau mal:
    http://www.urtech.ca/2013/01/solved-exchange-2010-owa-prompting-for-login-credentials-when-selecting-options-more-options-for-ecp/

    Der widerspricht jetzt dem, was ich bislang gelesen habe. Hier wird im ESM bei ECP die Formbased Authentifizierung aktiviert, alle anderen deaktivieren dies an dieser Stelle.

    Thx & Bye Tom

    Mittwoch, 15. Mai 2013 06:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    für den Einsatz des TMG wird normalerweise Basic/Windows Integrated konfiguriert und das schließt FBA aus.

    Korrekt sollte das so aussehen und auch das funktioniert auch hier bei mir:

    InternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated}
    BasicAuthentication             : True
    WindowsAuthentication           : True
    DigestAuthentication            : False
    FormsAuthentication             : False
    LiveIdAuthentication            : False
    DefaultDomain                   : zit.bam.de
    GzipLevel                       : High
    WebSite                         : Default Web Site
    DisplayName                     : ecp
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    ExternalAuthenticationMethods   : {Fba}

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 15. Mai 2013 08:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus Robert,

    also ich hab jetzt versucht den oberen Radiobutton bei ECP im ESM zu aktivieren und wurde dabei mit einer Warnung konfrontiert, dass ECP die selbe Einstellung wie OWA haben soll/te. Das habe ich dann so wie OWA eingestellt und einen iisreset ausgeführt, jetzt klappt das mit den Optionen in OWA, sowohl intern wie auch extern.

    Was ich bei deinen Settings nicht ganz verstehe, ist warum du die WindowsIntegrated Authentifizierung verwendest? Ein OWA User, der seinen PC zB daheim stehen hat, oder sonst einen benutzt, kann doch nicht seine Windows Logon Daten verwenden...

    Meine Einstellungen sehen jetzt so aus, würde das aber gerne abschließend diskutieren warum du andere verwendest, auch wenn es jetzt zu funktionieren scheint. Weiß der Henker ob jetzt an irgendeiner anderen Stelle etwas nicht funktioniert...

    Obwohl ich jetzt aber im ESM bei OWA und ECP die gleichen Einstellungen verwende, zeigt mir die PowerShell etwas anderes an:

    [PS] C:\Windows\system32>Get-EcpVirtualDirectory | fl Name,*auth*,internalurl,externalurl
Neue Sitzung für implizite Remotevorgänge des Befehls "Get-EcpVirtualDirectory" wird erstellt..


Name                          : ecp (Default Web Site)
InternalAuthenticationMethods : {Basic}
BasicAuthentication           : True
WindowsAuthentication         : False
DigestAuthentication          : False
FormsAuthentication           : False
LiveIdAuthentication          : False
ExternalAuthenticationMethods : {Fba}
InternalUrl                   : https://universe-2.kastner.local/ecp
ExternalUrl                   : https://outlook.kastner.de/ecp



[PS] C:\Windows\system32>Get-OwaVirtualDirectory | fl Name,*auth*,internalurl,externalurl


Name                          : owa (Default Web Site)
ClientAuthCleanupLevel        : High
InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
BasicAuthentication           : True
WindowsAuthentication         : False
DigestAuthentication          : False
FormsAuthentication           : False
LiveIdAuthentication          : False
ExternalAuthenticationMethods : {Fba}
InternalUrl                   : https://universe-2.kastner.local/owa
ExternalUrl                   : https://outlook.kastner.de/owa

    Im IIS ist die Authentifizierung jedoch auch noch unterschiedlich eingestellt. Beim ECP Verzeichnis habe ich die 'Anonyme Authentifizierung' und 'Standardauthentifizierung' eingestellt, beim OWA Verzeichnis habe ich nur die 'Standardauthentifizierung' eingestellt. Das widerspricht sich doch auch schon wieder oder zeigt das oz Powershell Kommando an dieser Stelle einfach keine anonyme Authentifizierung an? Letztlich steht sie ja weder auf true noch auf false.

    Thx & Bye Tom

    Mittwoch, 15. Mai 2013 09:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Was ich bei deinen Settings nicht ganz verstehe, ist warum du die WindowsIntegrated Authentifizierung verwendest? Ein OWA User, der seinen PC zB daheim stehen hat,

    der kommt übers TMG und bekommt eine schöne FBA.

    oder sonst einen benutzt, kann doch nicht seine Windows Logon Daten verwenden...

    Der bekommt ein normales Anmeldefenster vom Browser geliefert. Aber wieviele interne PC, die nciht im AD sind und an OWA müssen, gibt es wirklich?

    Meine Einstellungen sehen jetzt so aus, würde das aber gerne abschließend diskutieren warum du andere verwendest, auch wenn es jetzt zu funktionieren scheint. Weiß der Henker ob jetzt an irgendeiner anderen Stelle etwas nicht funktioniert...

    Meine Einstellungen sind nach den normalen, gängen Anweisungen (Google finde da einige How-Tos) konfiguriert. Diese sagen, dass Basic-Auth aktiviert werden muss.

    Windows Auth kam nur hier dazu, weil das für interne User komfortabler ist.

    Obwohl ich jetzt aber im ESM bei OWA und ECP die gleichen Einstellungen verwende, zeigt mir die PowerShell etwas anderes an:

    Die Differenz kommt daher, weil Du manuell an den IIS-Einstellungen rumgespielt hast.

    Die müssen (und dürfen) nicht angefasst werden, die Einstellungen dort macht Exchange.

    Für eine normale Exchange-Installation muss man niemals den IIS anfassen, Exchange macht ALLES dort selbst. Und wenn man den IIS anfassen muss, dann sollte man sich dringend fragen, warum!

    Eventuell wirfst Du die beiden virtuellen Verzeichnisse weg und machst sie noch mal mit den Exchange-Werkzeugen neu.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 15. Mai 2013 09:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Eventuell wirfst Du die beiden virtuellen Verzeichnisse weg und machst sie noch mal mit den Exchange-Werkzeugen neu.

    Da jetzt mal alles zu funktionieren scheint, hebe ich mir diesen Akt erst mal für später auf. Aber um mich darauf vorzubereiten, habe ich mir mal dieses Tutorial angeschaut:

    http://technet.microsoft.com/en-us/library/ff629372%28v=exchg.141%29.aspx

    Werden damit dann auch die Einstellungen im ESM (Serverkonfiguration -> Clientzugriff -> $SERVER -> Outlook Web App (OWA) und Exchange-SYstemsteuerung (ECP)) zurückgesetzt?

    Thx & Bye Tom

    Mittwoch, 15. Mai 2013 10:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    http://technet.microsoft.com/en-us/library/ff629372%28v=exchg.141%29.aspx

    Werden damit dann auch die Einstellungen im ESM (Serverkonfiguration -> Clientzugriff -> $SERVER -> Outlook Web App (OWA) und Exchange-SYstemsteuerung (ECP)) zurückgesetzt?

    ESM heißt seit Ex 2007 übrigens EMC (und ab 20133 EAC) und ist nur eine grafische Anzeige der PowerShell-Befehle.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 15. Mai 2013 14:36
    |