none
Get password prompt for Explicit Sign-in in Outlook Web App 2010 RRS feed

  • Frage

  • Hi,

    we're using integrated Windows authentication to login to our mailboxes through OWA (http://"servername"/owa). In the past we were using Exchange 2003. When I was trying to open a mailbox from a user I wasn't permitted to open its mailbox I got a logon prompt to type in proper credentials (we enabled basic authentication on the IIS). This was nice if you're working with a colleague on one machine and he needs to see his emails for some reason.

    In Exchange 2010 this doesnt work anymore. I only get a notification webpage telling me "The Mailbox is not available at the moment. Wait 10 seconds and try again ...." 

    Is there a way to get back this password prompt in Exchange 2010?

    Thanks and regards,
    Norbert

    Montag, 15. November 2010 10:23

Antworten

  • Hallo!

    mit authentifizierten sessions hat das auch nichts zu tun - auch wenn ich direkt den Link eintippe zu einem mit meinem Benutzer nicht berechtigten Postfach zieht das SSO und ich bekomme die Warnung ohne irgendwelche User/Passwortabfragen.

     

    Schätze ich muss wohl mit der Zwangsbeglückung leben und die FBA verwenden.

     

    Danke für eure Hilfe!

    Grüße,
    Norbert

    • Als Antwort markiert HakoHako Montag, 22. November 2010 13:26
    Montag, 22. November 2010 13:25

Alle Antworten

  • Hi Norbert,

    ich antworte mal auf deutsch, da du im deutschen Forum gelandet bist...

    Hi,

    we're using integrated Windows authentication to login to our mailboxes through OWA (http://"servername"/owa). In the past we were using Exchange 2003. When I was trying to open a mailbox from a user I wasn't permitted to open its mailbox I got a logon prompt to type in proper credentials (we enabled basic authentication on the IIS). This was nice if you're working with a colleague on one machine and he needs to see his emails for some reason.

    Hast du dann deine Credentials oder die des Kollegen eingetragen?

    In Exchange 2010 this doesnt work anymore. I only get a notification webpage telling me "The Mailbox is not available at the moment. Wait 10 seconds and try again ...." 

    Ja, weil keine Rechte da sind...

    Warum arbeitet ihr nicht einfach mit Mailboxrechten, so wie es sich gehört?

    Alles andere ist nur ein Würgarround:
    http://www.msxfaq.de/admin/mbrechte.htm

    Viele Grüße
    Christian

    Montag, 15. November 2010 10:39
    Moderator
  • Hallo Christian,

    ein Beispiel: ich bin auf meinem Rechner mit meinen Domain Berechtigungen angemeldet. Jetzt kommt irgendein Kollege zu mir an den Arbeitsplatz und wir arbeiten gemeinsam an einer Sache. Wenn dieser jetzt in sein Postfach schauen möchte habe ich bisher einfach den Browser geöffnet und er hat sein Passwort eintippen können damit er Zugriff darauf hat.

    Das sind sozusagen Zugriffe für die eigene Mailbox, nur dass man an einem anderen Rechner ist indem man nicht selber eingeloggt ist. Wenn jemand den dauerhaften Zugriff auf ein Postfach benötigt vergeben wir natürlich die Mailboxrechte.

    Grüße,
    Norbert

    Montag, 15. November 2010 11:03
  • Moin,

    gibt es einen Grund, warum ihr FBA abgeschaltet habt?

    Probiert mal die URL "https://servername/owa/benutzer@domaine.de" aus, wenn
    sich Deine Kollege in einem neuen Browserfenster anmelden will.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 15. November 2010 17:37
  • Hi,

    wir verwenden FBA für unseren externen OWA Zugriff.

    Die URL funktioniert auch nicht, da sich OWA versucht mit meinen Credentials anzumelden und ich somit gleich die oben beschriebene Fehlermeldung bekomme.

    Ich würde nur einfach die Funktion wieder erhalten wollen, sobald ich keinen Zugriff auf eine Mailbox habe sollte die Basic Authentication ziehen und mich nach Username/Password fragen.


    Danke und Grüße,
    Norbert

    Dienstag, 16. November 2010 17:40
  • Ok, das scheint wirklich nicht mehr zu funktionieren.

    Allerdings bin ich mir unsicher, ob das ein Exchange-Thema ist. Ich würde
    hier eher beim IIS ansetzen, der der ist für die Authentifikation bei
    Windows integriert oder Basic verantwortlich.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 16. November 2010 18:14
  • Hi,

    Ok, das scheint wirklich nicht mehr zu funktionieren.

    Allerdings bin ich mir unsicher, ob das ein Exchange-Thema ist. Ich würde
    hier eher beim IIS ansetzen, der der ist für die Authentifikation bei
    Windows integriert oder Basic verantwortlich.

    ich hatte mir das auch angeschaut und die Credential sind nur in der aktuellen
    Browsersitzung für diese Site aktiv. Um das Problem zu umgehen kann man:
    1. Eine Verknüpfung des IE mit noframemerging starten, sodass man keine aktive
    Sitzung nutzt: "C:\Program Files (x86)\Internet Explorer\iexplore.exe"
    -noframemerging"
    2. Man kann im IE über Datei - Neue Sitzung eine neue Session starten und man
    wird hier automatisch nach neuen Credentials gefragt.
    3. Man nutzt eine andere URL oder die IP zum Exchange und wird auch nach
    Credentials gefragt...

    Es gibt also genug Wege, ohne an den Berechtigungen des IIS rumzubasteln...

    Viele Grüße
    Christian

    Mittwoch, 17. November 2010 06:31
    Moderator
  • Moin,

    ich habe ja nicht gesagt, dass an den Berechtigungen rumgespielt werden soll (was meistens sowieso nicht klappt, weil Exchange die still wieder zurücksetzt wenn man irgendwas in der EMC am Server ändert), sondern nur gesagt, dass ich denke, dass das nicht oder nicht alleine an Exchange liegt.

    Die Tipps von Christian sind gute Work-Arounds, vor allem der letzte ist einfach (wenn man z.B. den Netbios-Namen nimmt, sollte es auch keine Zertifikatswarnung geben).

    Wenn die reichen, dann ist das OK. Aber das Problem selbst lösen sie nicht, falls es überhaupt bei der Kombi Ex2010+IIS7.x lösbar ist. :(


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 17. November 2010 07:56
  • Hi Robert,

    Wenn die reichen, dann ist das OK. Aber das Problem selbst lösen sie nicht, falls es überhaupt bei der Kombi Ex2010+IIS7.x lösbar ist. :(

    ja das sind nur Würgarounds - man könnte auch zwei verschiedene Browser nutzen
    oder einfach Outlook.

    Ich glaube nicht, dass man beim IIS was ändern kann, denn er wird immer die
    authentifizierte Sitzung nutzen. Vielleicht hat sich am IIS etwas geändert
    oder es wurde ein älterere Browser genutzt, der vielleicht immer in einer
    eigenen Session läuft...

    Viele Grüße
    Christian

    Mittwoch, 17. November 2010 08:51
    Moderator
  • Hallo!

    mit authentifizierten sessions hat das auch nichts zu tun - auch wenn ich direkt den Link eintippe zu einem mit meinem Benutzer nicht berechtigten Postfach zieht das SSO und ich bekomme die Warnung ohne irgendwelche User/Passwortabfragen.

     

    Schätze ich muss wohl mit der Zwangsbeglückung leben und die FBA verwenden.

     

    Danke für eure Hilfe!

    Grüße,
    Norbert

    • Als Antwort markiert HakoHako Montag, 22. November 2010 13:26
    Montag, 22. November 2010 13:25
  • Hi HakoHako,

    Schätze ich muss wohl mit der Zwangsbeglückung leben und die FBA verwenden.

    das würde ich eh machen, damit man OWA von extern nutzen kann und damit du
    dich in einer eigenen Session anmelden kannst... ;-)

    Viele Grüße
    Christian

    Montag, 22. November 2010 14:37
    Moderator
  • Moin,

    in meinen Tests machte die Authentifizierungsmethode keinen Unterschied:
    Immer war es nicht möglich, im gleichen Browser ein zweites Postfach zu
    öffnen.

    Erst die Wege von Christian erlaubten dies.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 22. November 2010 15:11
  • Hi Christian,
     
    heißt das, dass Du den Exchange direkt ans Internet hängst? Keine Firewall dazwischen?
     
    Wir haben hier einen (alten) ISA 2004 davor und der übernimmt die FBA-Funktion. Der SBS mit Exchange hat kein FBA aktiviert.
     
    Volker
    Montag, 22. November 2010 15:20
  • Hi Volker,

    Hi Christian,
     
    heißt das, dass Du den Exchange direkt ans Internet hängst? Keine Firewall dazwischen?

    na doch, eine Fw (checkpoint) und ironports sind schon da, aber https lassen
    wir durch...

    Wir haben hier einen (alten) ISA 2004 davor und der übernimmt die FBA-Funktion. Der SBS mit Exchange hat kein FBA aktiviert.

    Habe im Hinterkopf FBA sollte aktiv, sein aber...

    Viele Grüße
    Christian

    Montag, 22. November 2010 16:08
    Moderator
  • Wenn FBA auf dem ISA aktiviert und eingesetzt wird, dann darf auf dem Exchange keine FBA aktiviert sein.
     
    Und da es schon die Möglichkeit gibt die User vor dem Exchangserver zu authentifizieren und ggf. abzulehnen nutzen wir das auch.
     
    Volker
    Montag, 22. November 2010 17:05