none
Client MAPI 2007 sous XP : demande d'identification récurrente RRS feed

  • Question

  • Bonjour,

    J'ai installé récemment un DAG Exchange pour mon entreprise avec un certificat auto-signé.
    Nous avons des clients MAPI 2007 et 2010 sous windows XP et win7.
    Seulement les clients MAPI 2007 sous windows XP posent problème. A chaque lancement d'outlook les identifiants
    de connexion sont demandés et ils sont redemandés fréquement lorsque le client reste ouvert. A chaque fois les paramètres
    proxy Exchange sont modifiés et nous sommes obligés de recocher l'option "authentifier mutuellement
    la session lors de la connexion avec SSL"-> msstd:mail.contoso.com
    Tous les postes sont en XP SP3 et le certificat à bien été importé.
    Y-a-t-il un moyen de solutionner ce problème ?

    Merci pour votre aide


    jeudi 3 mai 2012 20:14

Réponses

  • Merci pour votre aide. J'ai regardé tous vos liens et je commence à cerner le problème. Si j'exécute la commande Set-OutlookProvider EXPR –CertPrincipalName $null je pense que je vais rencontré un petit problème car j'ai vérifié le certificat et le FQDN utilisé ne semble pas être correct. Le FQDN doit-il bien apparaître dans le champ "Délivré à:" du certificat.

    Le FQDN doit apparaître au niveau du champ "Subject" ou "Subject Alternative Name".

    Lorsque vos clients auront un problème de connection avec Outlook Anywhere, il vont essayer de contacter un serveur Autodiscover pour mettre à jour la configuration de leur couche MAPI. Ceci s'applique si les clients sont dans la même forêt, dans une forêt approuvée ou dans un Workgroup.

    Pour plus d'informations sur comment fonctionne la fonctionnalité Autodiscover, reportez-vous à mon article "La fonctionnalité Autodiscover dans Exchange Server 2010".

    Prière alors de vérifier que c'est bon pour votre certificat. Au pire des cas, vous pouvez créer un nouveau certificat ou désactiver l'authentification mutuelle pour Outlook Anywhere.

    Je recommande d'avoir un certificat approuvé par une autorité de certification publique de confiance. Sinon, vous pouvez utiliser les GPOs pour ajouter le nouveau certificat en tant que certificat de confiance: http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

    Ici, les clients en Workgroup ne sont pas concernés et doivent installer le certificat manuellement.


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.   

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified Technology Specialist: Designing and Providing Volume Licensing Solutions to Large Organizations
    Microsoft Certified IT Professional: Enterprise Administrator
    Microsoft Certified IT Professional: Server Administrator
    Microsoft Certified Trainer

    Lien vers mon site Web: http://www.ahmedmalek.com/web/fr/home.asp

    Pour suivre mon activité: http://www.facebook.com/TunisianIt

    • Marqué comme réponse Florin Ciuca mardi 8 mai 2012 12:14
    dimanche 6 mai 2012 21:11

Toutes les réponses

  • Bonsoir,

    avez-vous installé toutes les mises à jour Outlook 2007 et Exchange 2010 ?

    http://social.technet.microsoft.com/Forums/fr-FR/1101/thread/c8e7a975-9b4d-46ef-871b-f136f751bb93

    A bientôt


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (69 MCPs) http://base.faqexchange.info


    jeudi 3 mai 2012 22:36
    Modérateur
  • Bonjour,

    A chaque fois les paramètres
    proxy Exchange sont modifiés et nous sommes obligés de recocher l'option "authentifier mutuellement
    la session lors de la connexion avec SSL"-> msstd:mail.contoso.com

    Les paramètres sont modifiés en utilisant la fonctionnalité Autodiscover.

    Prière de voir mon article: http://www.ahmedmalek.com/web/fr/articles.asp?artid=18

    Section: Outlook Providers et la fonctionnalité Autodiscover

    L'activation de l'authentification est recommandée pour des raisons de sécurité.

    Suite à votre description, je pense que la désactivation de cette authentification est assurée par la fonctionnalité Autodiscover à travers les paramètres déjà présents au niveau du profil EXPR.

    Pour l'activer en utilisant Autodiscover, exécutez la commande suivante:

    Set-OutlookProvider EXPR –CertPrincipalName $null

    Cependant, vu que vous souhaitez exiger la vérification de la présence de l'entrée "mail.contoso.com" dans le certificat fourni pour les clients Outlook Anywhere, vous pouvez vous reporter à mon tutoriel: http://www.ahmedmalek.com/web/fr/doc.asp?docid=1645&mcat=4&mrub=41&msrub=73

    NB: La spécification d'un nom principal du certificat SSL pour la connexion des clients Outlook Anywhere va conduire à l'apparition ce problèmes au niveau des clients Outlook Anywhere en cas de modification du certificat par une autre ne contenant pas le FQDN "mail.contoso.com". Effet, la spécification d'un nom principal du certificat SSL pour la connection des clients Outlook Anywhere est généralement utilisé pour les certificats de type "Wildcard".

    Pour plus d'informations: http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx

    Avez-vous fait des modifications au niveau de vos CAS (création CAS array ...)? Si oui, je vous recommande de lire cet article qui explique comment les informations de configuration sont mis à jour à travers l'utilisation de la fonctionnalité Autodicover: http://blogs.msdn.com/b/dgoldman/archive/2007/10/11/what-is-the-default-refresh-rate-for-autodiscover.aspx

    Dans ce cas, essayez de faire une réparation du profil Outlook et vérifiez les résultats.


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.   

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified Technology Specialist: Designing and Providing Volume Licensing Solutions to Large Organizations
    Microsoft Certified IT Professional: Enterprise Administrator
    Microsoft Certified IT Professional: Server Administrator
    Microsoft Certified Trainer

    Lien vers mon site Web: http://www.ahmedmalek.com/web/fr/home.asp

    Pour suivre mon activité: http://www.facebook.com/TunisianIt

    vendredi 4 mai 2012 13:14
  • Bonjour,

    Tout d'abord merci pour vos réponses.

    Thierry, j'ai vérifié les mises à jour d'outlook 2007 et d'exchange 2010 et tout est ok.

    Par contre, je souhaite faire une petite rectification. Dans la configuration du proxy exchange sur le client MAPI 2007 voici les paramètres de configuration :

    Lorsque je lance outlook 2007 je dois décocher "se connecter uniquement aux serveurs proxy dont le certificat comporte ce nom principal". J'avais dit dans mon précédent post que je devais le recocher. A chaque fois que les identifiants de connexion sont demandés il faut retourné dans ces paramètres et décocher cette option.

    Mr X, je n'ai pas encore pris connaissance de tes liens je vais regardé demain et je vous tiens informé.

    vendredi 4 mai 2012 21:34
  • Bonjour,

    Tout d'abord merci pour vos réponses.

    Thierry, j'ai vérifié les mises à jour d'outlook 2007 et d'exchange 2010 et tout est ok.

    Par contre, je souhaite faire une petite rectification. Dans la configuration du proxy exchange sur le client MAPI 2007 voici les paramètres de configuration :

    Lorsque je lance outlook 2007 je dois décocher "se connecter uniquement aux serveurs proxy dont le certificat comporte ce nom principal". J'avais dit dans mon précédent post que je devais le recocher. A chaque fois que les identifiants de connexion sont demandés il faut retourné dans ces paramètres et décocher cette option.

    Mr X, je n'ai pas encore pris connaissance de tes liens je vais regardé demain et je vous tiens informé.

    OK.

    Donc vous deviez la décocher.

    En effet, si vous la laissez cochée, Outlook va exiger que le FQDN "mail.contoso.com" soit présent dans le certificate reçu par le client lorsqu'il utilise Outlook Anywhere. L'activation de cette option avec ce FQDN est le résultat de l'application de la fonctionnalité Autodiscover.

    Pour que vous client Outlook ne seront plus obligés d'exiger la présence du FQDN "mail.contoso.com" dans le certificat reçu lorqu'il est connecté en utilisant Outlook Anywhere, exécutez la commande: Set-OutlookProvider EXPR –CertPrincipalName $null

    Dans ce cas, votre Outlook, en essayant de se connecter en utilisant Outlook Anywhere, va recevoir en utilisant Autodiscover le FQDN du meilleur CAS à utiliser (exemple: cas1.contoso.com). Dans ce cas, Outlook va exiger la présence de cas1.contoso.com dans le certificat reçu. Vous devez alors faire attention aux FQDN utilisés pour l'accès avec Outlook Anywhere!

    Pour plus d'informations: http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx

    Je recommande aussi d'exécuter la commande suivante: Set-OutlookProvider EXPR -Server $null pour permettre les clients Outlook Anywhere de se connecter au meilleur serveur CAS (au cas où vous avez plusieurs exposés à Internet) et non à serveur bien précis que vous avez indiqué.

    Si vous souhaitez désactiver l'authentification mutuelle, reportez-vous à mon tutoriel: http://www.ahmedmalek.com/web/fr/doc.asp?docid=1640&mcat=4&mrub=41&msrub=73


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.   

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified Technology Specialist: Designing and Providing Volume Licensing Solutions to Large Organizations
    Microsoft Certified IT Professional: Enterprise Administrator
    Microsoft Certified IT Professional: Server Administrator
    Microsoft Certified Trainer

    Lien vers mon site Web: http://www.ahmedmalek.com/web/fr/home.asp

    Pour suivre mon activité: http://www.facebook.com/TunisianIt

    • Modifié Mr XMVP samedi 5 mai 2012 09:21
    samedi 5 mai 2012 09:19
  • Bonsoir,

    Merci pour votre aide. J'ai regardé tous vos liens et je commence à cerner le problème. Si j'exécute la commande Set-OutlookProvider EXPR –CertPrincipalName $null je pense que je vais rencontré un petit problème car j'ai vérifié le certificat et le FQDN utilisé ne semble pas être correct. Le FQDN doit-il bien apparaître dans le champ "Délivré à:" du certificat. Pour mon cas j'ai ce type de valeur domaine-servername-CA au lieu de mail.contoso.com . Aussi les clients MAPI ne sont pas dans la même forêt que le serveur Exchange. Nous avons aussi des clients MAPI en workgroup. Si je dois faire une modification sur le certificat devrais-je passé sur tous les postes ou y-a-t-il une solution pour automatiser l'installation ?

    dimanche 6 mai 2012 20:48
  • Merci pour votre aide. J'ai regardé tous vos liens et je commence à cerner le problème. Si j'exécute la commande Set-OutlookProvider EXPR –CertPrincipalName $null je pense que je vais rencontré un petit problème car j'ai vérifié le certificat et le FQDN utilisé ne semble pas être correct. Le FQDN doit-il bien apparaître dans le champ "Délivré à:" du certificat.

    Le FQDN doit apparaître au niveau du champ "Subject" ou "Subject Alternative Name".

    Lorsque vos clients auront un problème de connection avec Outlook Anywhere, il vont essayer de contacter un serveur Autodiscover pour mettre à jour la configuration de leur couche MAPI. Ceci s'applique si les clients sont dans la même forêt, dans une forêt approuvée ou dans un Workgroup.

    Pour plus d'informations sur comment fonctionne la fonctionnalité Autodiscover, reportez-vous à mon article "La fonctionnalité Autodiscover dans Exchange Server 2010".

    Prière alors de vérifier que c'est bon pour votre certificat. Au pire des cas, vous pouvez créer un nouveau certificat ou désactiver l'authentification mutuelle pour Outlook Anywhere.

    Je recommande d'avoir un certificat approuvé par une autorité de certification publique de confiance. Sinon, vous pouvez utiliser les GPOs pour ajouter le nouveau certificat en tant que certificat de confiance: http://technet.microsoft.com/en-us/library/cc770315%28v=ws.10%29.aspx

    Ici, les clients en Workgroup ne sont pas concernés et doivent installer le certificat manuellement.


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.   

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified Technology Specialist: Designing and Providing Volume Licensing Solutions to Large Organizations
    Microsoft Certified IT Professional: Enterprise Administrator
    Microsoft Certified IT Professional: Server Administrator
    Microsoft Certified Trainer

    Lien vers mon site Web: http://www.ahmedmalek.com/web/fr/home.asp

    Pour suivre mon activité: http://www.facebook.com/TunisianIt

    • Marqué comme réponse Florin Ciuca mardi 8 mai 2012 12:14
    dimanche 6 mai 2012 21:11
  • Bonjour,

    Je n'ai pas encore fait les tests ci-dessus mais j'ai activé les logs sous outlook et j'ai eu le message suivant dans le gestionnaire d'évènement : 

    Echec de l'appel de procédure distante (EcDoConnectEx) pendant le transport (ncacn_http) au serveur (cas1.mondomaine.com); code d'erreur (5) après délai d'attente  de (625)ms; eelnfo (none).

    Ce message confirme t-il le diagnostic ?

    lundi 21 mai 2012 21:00
  • Bonsoir,

    l'erreur 5 signifie "accès refusé".

    Par ailleurs, l'accès ncacn_http signifie que le client veut passer en premier par RPCsurHTTPS au lieu d'utiliser le protocole MAPI/RPC en direct sur Exchange.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (69 MCPs) http://base.faqexchange.info

    lundi 21 mai 2012 21:11
    Modérateur