none
Outlook 2016 mit ExternemExchange versucht Anmeldung am lokalen DC

    Frage

  • Hallo zusammen.

    Folgende Situation:

    Lokale MS Domain:
    firma.local

    Lokaler DC:
    dc.firma.local

    FQDN:
    firma.de

    Extern gehosteter Exchange Server (nicht in firma.local eingebunden, völlig losgelöste Accounts):
    exchange.extern.de (als MX für firma.de)

    Die User benutzen Outlook 2016 mit einem einzigen auf exchange.extern.de gehosteten Account vorname.nachname@firma.de

    So weit zur Umgebung und nun zum eigentlichen Problem.

    Startet man Outlook2016 wird wie erwartet eine Verbindung zu exchange.extern.de aufgebaut und alles funktioniert wunderbar....
    allerdings sehe ich im Wireshark Trace das Outlook seltsamerweise versucht parallel (und kontinuierlich!) eine Kerberos5 Authentifizierung am (lokalen!)DC herbeizuführen.
    Dabei wird die email Adresse vorname.nachname@firma.de als Benutzername
    und das Passwort auf exchange.extern.de verwendet.

    Dies kann nun zu folgenden Situationen führen:

    A)
    Passwort auf exchange.extern.de != Passwort auf DC.firma.local
    und
    userPrincipalName im AD != vorname.nachname@firma.de

    In dieser Konstellation wird der DC mit einem KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN antworten weil es den user vorname.nachname@firma.de im AD nicht gibt.
    Dies hat zwar lediglich nur kontinuierlich fehlschlagende Anmeldeversuche und sinnlosen Netzwerktraffik zur Folge. Ist aber dennoch nervig.

    B)
    Passwort auf exchange.extern.de != Passwort auf DC.firma.local
    und
    userPrincipalName im AD == vorname.nachname@firma.de
    Dies ist sehr problematisch da dabei ein falsches Kennwort an den DC übergeben wird.
    Was wiederum innerhalb von Sekunden zu einer AD-Accountsperrung führt.

    Meine Frage:
    Warum versucht Outlook2016 sich am lokalen DC zu authentifizieren obwohl nur der externe Exchange Account eingerichtet ist?

    Sämtliche Add-Ons sind deaktiviert und es gibt keine AD Gruppenrichtlinien die Outlook betreffen.

    Mittwoch, 8. Mai 2019 10:07

Alle Antworten

  • Moin,

    Vermutung: Outlook sucht den Autodiscover-SCP. Warum mit dem falschen Namen, wenn der User eh schon mit einem Domänen-Account angemeldet ist, weiß ich zwar nicht 100%, aber zu prüfen wäre es. Wenn in eurem Forest die SMTP-Domäne als ein valider UPN-Suffix eingetragen ist, dann greift ja das Suffix Routing und bietet die lokalen DCs als Authentifizierungsquelle für diesen Realm an.

    Einfach mal ExcludeSCPLookup = 1 setzen wie hier beschrieben, booten, neu anmelden und schauen, ob der Authentifizierungs-Traffic verschwindet.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 10. Mai 2019 19:07