Hallo zusammen.
Folgende Situation:
Lokale MS Domain:
firma.local
Lokaler DC:
dc.firma.local
FQDN:
firma.de
Extern gehosteter Exchange Server (nicht in firma.local eingebunden, völlig losgelöste Accounts):
exchange.extern.de (als MX für firma.de)
Die User benutzen Outlook 2016 mit einem einzigen auf exchange.extern.de gehosteten Account vorname.nachname@firma.de
So weit zur Umgebung und nun zum eigentlichen Problem.
Startet man Outlook2016 wird wie erwartet eine Verbindung zu exchange.extern.de aufgebaut und alles funktioniert wunderbar....
allerdings sehe ich im Wireshark Trace das Outlook seltsamerweise versucht parallel (und kontinuierlich!) eine Kerberos5 Authentifizierung am
(lokalen!)DC herbeizuführen.
Dabei wird die email Adresse vorname.nachname@firma.de als Benutzername
und das Passwort auf exchange.extern.de verwendet.
Dies kann nun zu folgenden Situationen führen:
A)
Passwort auf exchange.extern.de != Passwort auf DC.firma.local
und
userPrincipalName im AD != vorname.nachname@firma.de
In dieser Konstellation wird der DC mit einem KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN antworten weil es den user vorname.nachname@firma.de im AD nicht gibt.
Dies hat zwar lediglich nur kontinuierlich fehlschlagende Anmeldeversuche und sinnlosen Netzwerktraffik zur Folge. Ist aber dennoch nervig.
B)
Passwort auf exchange.extern.de != Passwort auf DC.firma.local
und
userPrincipalName im AD == vorname.nachname@firma.de
Dies ist sehr problematisch da dabei ein falsches Kennwort an den DC übergeben wird.
Was wiederum innerhalb von Sekunden zu einer
AD-Accountsperrung führt.
Meine Frage:
Warum versucht Outlook2016 sich am lokalen DC zu authentifizieren obwohl nur der externe Exchange Account eingerichtet ist?
Sämtliche Add-Ons sind deaktiviert und es gibt keine AD Gruppenrichtlinien die Outlook betreffen.
