none
Neues Autodiscover-Verhalten in Exchange 2013?? Einige externe PCs nutzen InternalClientAuthenticationMethod RRS feed

  • Frage

  • Hallo zusammen,

    Aktuell haben wir folgendes seltsames Verhalten bei einigen externen PCs:

    Der externe PC empfängt über AutoDiscover die internen Settings!

    Info:

    Wir sind alles Teste bezüglich der generellen Funktionalität von Outlook Anywhere durch. RCA Test etc. ohne Fehler. Der Zugriff funktioniert intern und extern eigentlich wie es sein soll. Wir haben aber das Phänomen das einige wenige externe clients über Autodiscover die InternalClientAuthenticationMethod "Negotiate" für die Proxy Authehtifizierung zugewiesen bekommen und der Zugriff nicht funktioniert. Dieses Verhalten wurde klar nachgewiesne bei diesen Clients.

    Bei den externen PCs wurden IE Proxy Settings etc. schon geprüft. Konfiguriert man das Outlook Profil manuell korrekt mit Basic Authentication dann funktioniert dies solange bis er sich über Autodiscover wieder die falschen Einträge holt.

    Nochmals: Dies betrifft nur manche externe PCs! Es ist kein grundsätzliches Autodiscover bzw. Outlook Anywhere Problem.

    In einem Forum habe ich folgende Information gefunden:

    "Exchange 2013 has some new providers and Autodiscover behavior.
    Exchange 2013 no longer directly uses EXPR/EXCH Outlook Providers, it has two different dynamically generated EXHTTP providers. Users with mailboxes on 2013 will get one set of EXHTTP settings for internal usage and one set of EXHTTP settings for external usage."

    Von daher geht meine Vermutung dahin das der Outlook Client die Informationen nicht interpretieren kann. In der Tat haben die Outlook Clients abweichende Versionsnummern zu den Clients die problemlos funktionieren, sind allerdings alle mit SP1 ausgestattet.

    Jemand noch eine Idee?


    • Bearbeitet SLShare Freitag, 14. Juni 2013 12:15
    Freitag, 14. Juni 2013 12:14

Antworten

  • Hallo zusammen,

    Hier nun die versprochenen Informationen.

    Über Autodiscover werden Clients mit den relevanten Zugriffsinformationen auf die Mailbox versorgt. Für die unterschiedlcihen Clients werden verschiedene Outlook Provider verwendet. Diese finden sich in der autodiscover response XML. Unter Exchange 2010 waren dies 3 Stück:

    EXCH: Interne Exchange RPC Einstellungen für

    WEB: Die Einstellung enthällt die beste URL für den Outlook Web Access Zugriff

    EXPR: Einstellungen für Outlook Anywhere

    Unter Exchange 2013 sind diese Provider immernoch vorhanden. Zusätzlich versenden Exchange 2013 Server 2 weitere EXHTTP provider. Diese enthalten die Einstellungen für den internen und für den externen Outlook Anywhere Zugriff. Die internen Einstellungen werden immer zuerst gelistet. Outlook verarbeitet diese von oben nach unten. Nach Installation des genannten Hotfixes und auch unter Outlook 2013 werden diese EXHTTP Provider interpretiert. Alle vorherigen Versionen ignorieren diese provider und verwenden für Outlook Anywhere den EXPR Provider.

    Beispielauszug auf der Autodiscover XML Datei:

    <Type>EXHTTP</Type> <Server>mail.domain.de</Server> <SSL>On</SSL> <AuthPackage>Negotiate</AuthPackage> <ASUrl>https://mail.domain.de/ews/exchange.asmx</ASUrl> <EwsUrl>https://mail.domain.de/ews/exchange.asmx</EwsUrl> <EmwsUrl>https://mail.domain.de/ews/exchange.asmx</EmwsUrl> <EcpUrl>https://mail.domain.de/ecp/</EcpUrl> <EcpUrl- <ServerExclusiveConnect>On</ServerExclusiveConnect> <CertPrincipalName>msstd:mail.domain.de/</CertPrincipalName>

    <Type>EXHTTP</Type> <Server>mail.domain.de</Server> <SSL>On</SSL> <AuthPackage>Standard</AuthPackage> <ASUrl>https://mail.domain.de/ews/exchange.asmx</ASUrl> <EwsUrl>https://mail.domain.de/ews/exchange.asmx</EwsUrl> <EmwsUrl>https://mail.domain.de/ews/exchange.asmx</EmwsUrl> <EcpUrl>https://mail.domain.de/ecp/</EcpUrl> <EcpUrl- <ServerExclusiveConnect>On</ServerExclusiveConnect> <CertPrincipalName>msstd:mail.domain.de/</CertPrincipalName>

    Und zum Problem und der Lösung in unserer Umgebung:

    Externe Clients nutzen den ersten EXHTTP provider (interne Einstellungen) und nicht wie gewollt den zweiten (externe Einstellungen). Der Grund dafür ist das intern und extern die selbe URL mail.domain.de verwendet wird (Split Brain DNS). Wenn der Client die Adresse mail.domain.de nicht auflösen könnte würde er den zweiten EXHTTP Provider verwenden... Der Outlook Client versucht also die Authentifizierung "Negotiate". Beim Outlook Anywhere Publishing über TMG (wie in userem Fall) gibt es diese Möglichkeit nicht. Lediglich NTLM und Basic können für die Authentication Delegation konfiguriert werden.

    Lösung:

    Private Externe PCs verwenden eine lokale Autotodiscover.XML Datei. In dieser wird im ersten EXHTTP Provider der Eintrag <AuthPackage>Negotiate</AuthPackage> mit <AuthPackage>Standard</AuthPackage> ersetzt.

    Auf dem Client sind folgende Einstellungen notwendig damit diese XML Datei verwendet wird:

    Unter <tt>HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\AutoDiscover\</tt>

    REG_DWORD -> PreferLocalXML=1

    REG_SZ -> domain.de= C:\Pfad\Autodiscover.xml

    <tt></tt>

    Montag, 17. Juni 2013 09:16

Alle Antworten

  • Update: Das Problem tritt mit Instalation der letzten Office Updates auf. Ich werde einen Case hierzu bei MS eröffnen. Falls jemand nützliche Informationen zum Thema "neues Autodiscover Verhalten" wäre ich daran sehr interessiert.
    Freitag, 14. Juni 2013 12:44
  • Hi SLShare,

    danke für die Info und hast du schon eine Rückmeldung - ist es ein knownissue?


    Viele Grüße
    Christian

    Sonntag, 16. Juni 2013 15:58
    Moderator
  • Hallo Christian,

    In der Tat nutzen Exchange 2013 Server eine neue Methode in der Autodiscover Response für Outlook Anywhere. Ich konnte den technischen Hintergrund nun genau erötern und eine Lösung für unsere Umgebung entwickeln. Ich werden den Thread Morgen mit Details, Praxisbeispielen und der Lösung für unsere Umgebung aktualisieren.

    Gruss


    • Bearbeitet SLShare Sonntag, 16. Juni 2013 17:06
    Sonntag, 16. Juni 2013 17:05
  • Hallo zusammen,

    Hier nun die versprochenen Informationen.

    Über Autodiscover werden Clients mit den relevanten Zugriffsinformationen auf die Mailbox versorgt. Für die unterschiedlcihen Clients werden verschiedene Outlook Provider verwendet. Diese finden sich in der autodiscover response XML. Unter Exchange 2010 waren dies 3 Stück:

    EXCH: Interne Exchange RPC Einstellungen für

    WEB: Die Einstellung enthällt die beste URL für den Outlook Web Access Zugriff

    EXPR: Einstellungen für Outlook Anywhere

    Unter Exchange 2013 sind diese Provider immernoch vorhanden. Zusätzlich versenden Exchange 2013 Server 2 weitere EXHTTP provider. Diese enthalten die Einstellungen für den internen und für den externen Outlook Anywhere Zugriff. Die internen Einstellungen werden immer zuerst gelistet. Outlook verarbeitet diese von oben nach unten. Nach Installation des genannten Hotfixes und auch unter Outlook 2013 werden diese EXHTTP Provider interpretiert. Alle vorherigen Versionen ignorieren diese provider und verwenden für Outlook Anywhere den EXPR Provider.

    Beispielauszug auf der Autodiscover XML Datei:

    <Type>EXHTTP</Type> <Server>mail.domain.de</Server> <SSL>On</SSL> <AuthPackage>Negotiate</AuthPackage> <ASUrl>https://mail.domain.de/ews/exchange.asmx</ASUrl> <EwsUrl>https://mail.domain.de/ews/exchange.asmx</EwsUrl> <EmwsUrl>https://mail.domain.de/ews/exchange.asmx</EmwsUrl> <EcpUrl>https://mail.domain.de/ecp/</EcpUrl> <EcpUrl- <ServerExclusiveConnect>On</ServerExclusiveConnect> <CertPrincipalName>msstd:mail.domain.de/</CertPrincipalName>

    <Type>EXHTTP</Type> <Server>mail.domain.de</Server> <SSL>On</SSL> <AuthPackage>Standard</AuthPackage> <ASUrl>https://mail.domain.de/ews/exchange.asmx</ASUrl> <EwsUrl>https://mail.domain.de/ews/exchange.asmx</EwsUrl> <EmwsUrl>https://mail.domain.de/ews/exchange.asmx</EmwsUrl> <EcpUrl>https://mail.domain.de/ecp/</EcpUrl> <EcpUrl- <ServerExclusiveConnect>On</ServerExclusiveConnect> <CertPrincipalName>msstd:mail.domain.de/</CertPrincipalName>

    Und zum Problem und der Lösung in unserer Umgebung:

    Externe Clients nutzen den ersten EXHTTP provider (interne Einstellungen) und nicht wie gewollt den zweiten (externe Einstellungen). Der Grund dafür ist das intern und extern die selbe URL mail.domain.de verwendet wird (Split Brain DNS). Wenn der Client die Adresse mail.domain.de nicht auflösen könnte würde er den zweiten EXHTTP Provider verwenden... Der Outlook Client versucht also die Authentifizierung "Negotiate". Beim Outlook Anywhere Publishing über TMG (wie in userem Fall) gibt es diese Möglichkeit nicht. Lediglich NTLM und Basic können für die Authentication Delegation konfiguriert werden.

    Lösung:

    Private Externe PCs verwenden eine lokale Autotodiscover.XML Datei. In dieser wird im ersten EXHTTP Provider der Eintrag <AuthPackage>Negotiate</AuthPackage> mit <AuthPackage>Standard</AuthPackage> ersetzt.

    Auf dem Client sind folgende Einstellungen notwendig damit diese XML Datei verwendet wird:

    Unter <tt>HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\AutoDiscover\</tt>

    REG_DWORD -> PreferLocalXML=1

    REG_SZ -> domain.de= C:\Pfad\Autodiscover.xml

    <tt></tt>

    Montag, 17. Juni 2013 09:16
  • Hi SLShare,

    danke für die Rückmeldung und die Diagnose.


    Viele Grüße
    Christian

    Montag, 17. Juni 2013 17:51
    Moderator