locked
UAG 2010 SP1 Exchange 2007 autodiscover RRS feed

  • Question

  • Hey all,

    I'm configuration all exchanges service through UAG.

    Owa is working fine, now i'm testing autodiscover to configure outlook through UAG. 

    When using autodiscover (starting configuration of outlook), i have a popup for authentication, if i trace that, it seems that UAG is asking for basic auth. If i'm using directly the hub cas, it's working. I find a post on the forum asking to use SRV entry, but for testing i use an entry in host file, and in production mode we are using an external DNS that is not publish by a microsoft product.

    I made several test and trace but did find a solution, it seems that if a disable the websso auth on the application autodiscover, the UAG return to the client 'HTTP/1.1 401 Unauthorized\r\nContent-Length: 71\r\nContent-Type: text/html' without asking for credentials and what mode (negotiate/basic,...).

    All docs that i find are without SP1 and the menu are not always the sames.

    Hop i can help me,

    just to add that basic auth is enable on directory autodiscover on iis of the hub cas.

    Best regards,

     

    jeudi 20 janvier 2011 08:45

Réponses

  • re,

    Je viens de penser à une chose :

    D'après votre dernière réponse, il est normal que pour l'autodiscover (dans le cas d'une connexion hors réseau physique interne), j'ai une basic auth, car l'utilisateur n'a pas ouvert une session sur le domaine ?

    Ensuite, au démarrage de outlook sur son poste, il va utiliser du outlook anywhere, donc auth transparente ?

    En revanche si on souhaite toujours passer par l'uag depuis le réseau interne (auth sur domaine), ne faut'il pas utiliser adfs dispo depuis le sp1 de uag ?

     

    Merci pour vos réponses,

     


    Bonjour,

    Oui voilà effectivement, ce sera de l'authentification basique, mais pas forcément parceque le poste est nomade et n'a pas ouvert de session; c'est juste que cela a été dévellopé afin de détecter si l'agent est un navigateur (donc un formulaire est proposé) et dans le cas d'un client plus lourd (Outlook, ActiveSync, ...) ce sera une authentification basique.

    Maintenant, je n'ai jamais validé le scénario IWA (Combo UAG SP1 & ADFS v2) dans un contexte Exchange, donc à savoir si Outlook peut prendre à sa charge la demande de token SAML auprès du serveur ADFS (proxifié par UAG) afin que le serveur UAG puisse faire de la délégation Kerberos (KCD) sur les CAS Exchange ... A ce tarif là, pourquoi ne pas connecter directement les Outlook en RPC en interne sur les CAS. On utilise les scénarios UAG/ADFS pour permettre l'authentification intégrée des navigateurs afin de rentrer dans des scénarios de SSO avancés orientés applications métiers et KCD.

    Dans ce dernier scénario, la seule chose que je crains c'est que ce soit Outlook qui ne puisse pas négocier cette partie là. Mais je n'ai jamais validé, alors pourquoi pas.

    Bonne journée,
    Alexandre


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    samedi 22 janvier 2011 09:46

Toutes les réponses

  • Hi Julien6900,

    I'm really happy to inform you that you are in a french forum :) So, it will be a pleasure to help you as the language that you want, but for others contributors they will appreciate to come back in french language ;)

     

    Bonjour,

    Pouvez-vous nous indiquer si vous avez un message dans le UAG Web Monitor lors d'une tentative de configuration d'un client OA en utilisant Autodiscover ?

    Au cours des nombreuses maquettes que j'ai crée avec UAG et Exchange, le fichier host n'a jamais vraiment été efficace c'est vrai; je m'en rappelle maintenant. J'ai fini par utiliser un serveur DNS dédié. Par contre j'ai bien crée un enregistrement de type A et non un SRV.

    Bonne journée,
    Alexandre


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    vendredi 21 janvier 2011 08:58
  • bonjour,

    Merci pour votre retour, au niveau du Web Monitor, les indicateurs sont au vert.

    La chose surpenante, est que pour pointer sur les hub cas (quand l'autodiscover fonctionne), j'utilise également le fichier hosts et il n'y a pas de problème.

    Cordialement,

     

     

    vendredi 21 janvier 2011 09:35
  • Bonsoir,

    Oui c'est effectivement étrange, d'autant plus que c'était une réflexion que je m'étais déjà faite lors de mes labs, cependant cela est resté assez aléatoire.

    Pouvez-vous accéder avec un browser (malgré le formulaire donc) à :

    • https://<smtp-address-domain>/autodiscover/autodiscover.xml
    • https://autodiscover.<smtp-address-domain>/autodiscover/autodiscover.xml.

    Une KB qui explique la partie DNS : http://support.microsoft.com/kb/940881 mais je doute que ce soit vraiment la source du problème.

    En fait je viens de relire le post initial, et vous dites : When using autodiscover (starting configuration of outlook), i have a popup for authentication, if i trace that, it seems that UAG is asking for basic auth.

    Oui c'est normal comme fonctionnement ... En fait UAG détecte si cela vient d'un navigateur. Dans ce cas, c'est une authentification par formulaire (-> OWA) sinon ce sera une authentification basique. Un outlook en mode nomade aura toujours une authentification (sauf si le poste autorise la mise en cache des credentials) mais ce sera une authentification basique, que le serveur UAG déléguera ensuite. Exchange devra être configuré en fonction de la dégation proposé par UAG (Basique ou NTLM/Kerberos).

    En fait, c'est donc quoi le problème ?

    Bonne journée,
    Alexandre

     


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    vendredi 21 janvier 2011 22:05
  • Une autre chose, c'est un phénomène qui n'intervient pas dans un mode DirectAccess pour information (j'ai oublié de le préciser).


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    vendredi 21 janvier 2011 22:06
  • Bonjour,

     

    Merci pour votre retour.

    Pour tester l'autodiscover, je commence une configuration outlook de 0 en spécifiant uniquement l'email et le password.

    J'install au milieu un proxy qui fait uniquement du forward mais qui me permet de voir les flux en clairs  et je forward ou sur le hub cas ou sur UAG.

    Quand je pointe sur l'uag, j'ai alors un popup d'authentification type basic auth (confirmé par la trace). Quand je pointe sur le hub cas je passe en négotiate (j'ai ce comportement quand le SSO est activé sur l'autodiscover). En entrant le bon login password le config du outlook se termine correctement. Mais ensuite au démarrage d'outlook j'ai un pop d'authentification pour l'autodiscover (qu'il semble contacter au démarrage d'outlook) et ensuite pour accéder à la boite mail. Si j'utilisa la fonction de test de l'autodiscover sous outlook j'ai le même comportement (popup).

    Si je désactive le SSO sur l'application autodiscover, avec mon proxy j'observer bien que des 401 retournent au outlook pour demander une auth, mais dans ces méssages il n'est visiblement pas précisé le type d'authentification qui doit être renvoyée NEGOTIATE/Basic.

    Le test avec le navigateur fonctionnement correctement par authentification en basic auth

    samedi 22 janvier 2011 08:07
  • re,

    Je viens de penser à une chose :

    D'après votre dernière réponse, il est normal que pour l'autodiscover (dans le cas d'une connexion hors réseau physique interne), j'ai une basic auth, car l'utilisateur n'a pas ouvert une session sur le domaine ?

    Ensuite, au démarrage de outlook sur son poste, il va utiliser du outlook anywhere, donc auth transparente ?

    En revanche si on souhaite toujours passer par l'uag depuis le réseau interne (auth sur domaine), ne faut'il pas utiliser adfs dispo depuis le sp1 de uag ?

     

    Merci pour vos réponses,

     

    samedi 22 janvier 2011 08:38
  • re,

    Je viens de penser à une chose :

    D'après votre dernière réponse, il est normal que pour l'autodiscover (dans le cas d'une connexion hors réseau physique interne), j'ai une basic auth, car l'utilisateur n'a pas ouvert une session sur le domaine ?

    Ensuite, au démarrage de outlook sur son poste, il va utiliser du outlook anywhere, donc auth transparente ?

    En revanche si on souhaite toujours passer par l'uag depuis le réseau interne (auth sur domaine), ne faut'il pas utiliser adfs dispo depuis le sp1 de uag ?

     

    Merci pour vos réponses,

     


    Bonjour,

    Oui voilà effectivement, ce sera de l'authentification basique, mais pas forcément parceque le poste est nomade et n'a pas ouvert de session; c'est juste que cela a été dévellopé afin de détecter si l'agent est un navigateur (donc un formulaire est proposé) et dans le cas d'un client plus lourd (Outlook, ActiveSync, ...) ce sera une authentification basique.

    Maintenant, je n'ai jamais validé le scénario IWA (Combo UAG SP1 & ADFS v2) dans un contexte Exchange, donc à savoir si Outlook peut prendre à sa charge la demande de token SAML auprès du serveur ADFS (proxifié par UAG) afin que le serveur UAG puisse faire de la délégation Kerberos (KCD) sur les CAS Exchange ... A ce tarif là, pourquoi ne pas connecter directement les Outlook en RPC en interne sur les CAS. On utilise les scénarios UAG/ADFS pour permettre l'authentification intégrée des navigateurs afin de rentrer dans des scénarios de SSO avancés orientés applications métiers et KCD.

    Dans ce dernier scénario, la seule chose que je crains c'est que ce soit Outlook qui ne puisse pas négocier cette partie là. Mais je n'ai jamais validé, alors pourquoi pas.

    Bonne journée,
    Alexandre


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    samedi 22 janvier 2011 09:46
  • Bonjour,

    Les éléments fournis à travers nos échanges vous conviennent ?

    Merci et bonne journée,
    Alexandre


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    jeudi 27 janvier 2011 10:46