none
exchange 2013 windows xp outlook 2010 password prompt RRS feed

  • שאלה

  • שלום.

    אני מנסה לבדוק בעיה של מחשבים עם windows xp שמנסים להתחבר באמצעות outlook 2010 לשרת exchange 2013 .

    הבעיה היא שבכל הפעלה של outlook מופיעה בקשה לסיסמא.

    לעומתם - מחשבים אחרים עם windows 7 יכולים להתחבר באופן שקוף ללא דרישה לסיסמא.

    לצורך הבדיקה הקמתי סביבת עבודה חדשה שיש בה:

    שרת dc 2012

    שרת דואר exchange 2013 / win 2012

    תחנה windows xp pro sp3 עם office 2010 sp1

    בסביבת הבדיקה הזו הכל הותקן מחדש ואין שרתים נוספים בגרסאות קודמות או אחרות.

    כאמור - אחרי ההתקנה כשהפעלתי outlook בתחנה הופיעה דרישה לסיסמא, ואחרי הכנסת הסיסמא אפשר היה להתחבר.

    בעקבות זה עשיתי שינויים ובדיקות בהגדרות של outlook anywhere בשרת, ומאז המצב יותר גרוע - כל הזמן מופיעה דרישה לסיסמא ואי אפשר להתחבר (הדרישה לסיסמא קופצת שוב), למרות שהחזרתי את ההגדרות לברירת מחדל, כלומר כרגע בסביבת הבדיקה אני לא יכול בכלל להתחבר עם outlook ממחשב עם windows xp - לעומת המצב שהיה בהתחלה שכן ניתן היה להתחבר אחרי שמקלידים את הסיסמא.

    כל המחשבים והמשתמשים הם כמובן באותו domain .

    ביצעתי את הבדיקות עם משתמש administrator כלומר אין בעיה של הרשאות.

    השאלה שלי היא האם מישהו נתקל בפועל בבעיה הזו של תאימות בין windows xp with office 2010 לבין שרת exchange 2013 .

    מצאתי מאמרים ודיונים שונים באינטרנט שמתייחסים להגדרות EXPR או ל certificate, אבל נכון להיום זה לא הביא אותי לפתרון הבעיה.

    אבקש התייחסות בעיקר ממי שמכיר את הבעיה ונתקל בה בפועל.

    תודה ושבוע טוב.

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום ראשון 20 ינואר 2013 16:38

תשובות

  • הי,

    בגלל תצורת העבודה החדשה ה-Outlook ניגש אחרת אל ה-Exchange על גבי Https ללא Mapi.

    מה שקורה במצב כזה ה-Outlook אינו מקבל את ה-SAN של העבודה בצורה תקינה

    נוסף לכך ישנה הגדרה של  LMHash שמשפיע על האופן שבו ה-Outlook מתנהג, שים לב שאם אתה מוגדר עם LM Compatibility Level עם ערך פחות מ-2 אתה תקבל פרומפטים של סיסמא בכל פעם שתתחבר עם Outlook.

    אלי.


    מפגש יוזר גרופ על Exchange 2013 DAG בתאריך 14.1.2013. פרטים והרשמה, http://ucug9.eventbrite.co.uk/

    • סומן כתשובה על-ידי Yizhar Hurwitz יום רביעי 23 ינואר 2013 01:09
    יום שני 21 ינואר 2013 05:16
  • שלום רב,

    מדובר בהגדרה שאפשר להגדיר ב GPO ברמת הדומיין:

    http://computer-forensics.sans.org/blog/2012/02/29/protecting-privileged-domain-accounts-lm-hashes-the-good-the-bad-and-the-ugly

    אני מצ"ב צילום מסך מרשת 2012 "נקיה" (לדעתי ההגדרות גם נכונות ל 2008 R2). יתכן ששינוי להגדרות תאימות לדומיין ישן יותר יפתור את הבעיה הנ"ל (“Send NTLMv2 response only”   או "Send LM & NTLM responses" אם אני לא טועה).

    http://msdn.microsoft.com/en-us/library/ms814176.aspx


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14







    • נערך על-ידי Yuval Sinay יום שלישי 22 ינואר 2013 07:20
    • סומן כתשובה על-ידי Yizhar Hurwitz יום רביעי 23 ינואר 2013 01:09
    יום שלישי 22 ינואר 2013 06:59

כל התגובות

  • שלום רב,

    ישנם מספר פרסומים על הסוגיה, כדוגמת:

    http://social.technet.microsoft.com/Forums/en-US/exchangesvradmin/thread/4f8f7976-847b-4bc5-903c-bdf58b9c878b

    לדעתי יש קשר בין שיטת העבודה ב KERBEORS ל XP. משום מה הדברים לא עובדים כמו שצריך בגישה ל 2013.

    כמו כן, נסה לאפס את ה VIRTUAL DIRECTORIES. יתכן שזה יעזור + וודא שה CERT מכיל את השמות של השרת במלואם.

    תוכל לעזר במספר מאמרים מ:

    http://michaelvh.wordpress.com/category/exchange-2013/

    https://hosting.intermedia.net/support/kb/default.asp?id=2353

    כמו כן, תבדוק האם הגישה ל DB מחייבת הצפנה או לא. ב 2010 זה גרם לעיתים בעיה, ויתכן שגם ב 2013 הסוגיה קיימת.

    בהצלחה


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14


    • נערך על-ידי Yuval Sinay יום ראשון 20 ינואר 2013 18:06
    יום ראשון 20 ינואר 2013 18:06
  • הי,

    בגלל תצורת העבודה החדשה ה-Outlook ניגש אחרת אל ה-Exchange על גבי Https ללא Mapi.

    מה שקורה במצב כזה ה-Outlook אינו מקבל את ה-SAN של העבודה בצורה תקינה

    נוסף לכך ישנה הגדרה של  LMHash שמשפיע על האופן שבו ה-Outlook מתנהג, שים לב שאם אתה מוגדר עם LM Compatibility Level עם ערך פחות מ-2 אתה תקבל פרומפטים של סיסמא בכל פעם שתתחבר עם Outlook.

    אלי.


    מפגש יוזר גרופ על Exchange 2013 DAG בתאריך 14.1.2013. פרטים והרשמה, http://ucug9.eventbrite.co.uk/

    • סומן כתשובה על-ידי Yizhar Hurwitz יום רביעי 23 ינואר 2013 01:09
    יום שני 21 ינואר 2013 05:16
  • אלי שלום.

    תחדד בבקשה את הנושא של LMHASH .

    האם יש צורך לבדוק ולשנות בתחנה או בשרת?

    האם יש לך מאמר או קישור שמתייחס לנקודה הזו?

    תודה רבה

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שני 21 ינואר 2013 07:31
  • הי,

    נתקלתי בתופעה דומה היום והפתרון לבעיה הוא Set-OutlookProvider EXPR -CertPrincipalName:domain.com

    הסיבה שזה עובד ב-WIndows 7 היא בגלל שהוא פחות מחמיר מ-Windows XP ולכן אינו מקפיץ הודעה.

    אלי.

     


    מפגש יוזר גרופ על Exchange 2013 DAG בתאריך 14.1.2013. פרטים והרשמה, http://ucug9.eventbrite.co.uk/

    יום שני 21 ינואר 2013 20:36
  • אלי שלום.

    אני ניסיתי להיעזר ב set-outlookprovider וגם לבדוק הגדרות שונות של ה authentication של outlook anywhere בשרת, אבל התוצאה במקרה שלי הייתה יותר גרועה -

    הוא לא מקבל בכלל את הסיסמא ולא מצליח להתחבר, לעומת מצב שהוא דורש סיסמא פעם אחת ואחר כך מתחבר באופן תקין.

    בכל אופן תחדד בבקשה את הנושא של lmhash שהזכרת קודם, זה משהו שעוד לא בדקתי ואני מעוניין לנסות.

    תודה

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שני 21 ינואר 2013 21:24
  • שלום רב,

    מדובר בהגדרה שאפשר להגדיר ב GPO ברמת הדומיין:

    http://computer-forensics.sans.org/blog/2012/02/29/protecting-privileged-domain-accounts-lm-hashes-the-good-the-bad-and-the-ugly

    אני מצ"ב צילום מסך מרשת 2012 "נקיה" (לדעתי ההגדרות גם נכונות ל 2008 R2). יתכן ששינוי להגדרות תאימות לדומיין ישן יותר יפתור את הבעיה הנ"ל (“Send NTLMv2 response only”   או "Send LM & NTLM responses" אם אני לא טועה).

    http://msdn.microsoft.com/en-us/library/ms814176.aspx


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14







    • נערך על-ידי Yuval Sinay יום שלישי 22 ינואר 2013 07:20
    • סומן כתשובה על-ידי Yizhar Hurwitz יום רביעי 23 ינואר 2013 01:09
    יום שלישי 22 ינואר 2013 06:59
  • ליובל.

    תודה רבה - אני אבדוק.

    לאלי -

    האם יש לך מערכת בסביבת מעבדה או פעילה של exchange 2012 עם לקוחות windows xp + office 2010 ?

    האם הצלחת להגיע למצב שזה עובד תקין ללא בקשת סיסמא?

    האם אתה יכול לתאר את ה"בעיה הדומה" שפתרת בעזרת set-outlookprovider ? מול איזו גרסה של exchange זה נפתר?

    האם מדובר אצלך ברשת מקומית בתוך ה ad domain או גישה מבחוץ?

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שלישי 22 ינואר 2013 17:19
  • שלום יזהר,

    נסה לעיין ב:

    http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx

    בהצלחה


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14

    יום שלישי 22 ינואר 2013 17:52
  • לאלי ויובל.

    תודה רבה - שיחקתם אותה בגדול.

    הגדרתי lm authentication level על שרת ה DC שיהיה במצב של:
    send ntlm response only
    זה במקום ברירת המחדל שהיא send ntlmv2 response only
    באמצעות GPO שמוגדר על ה domain controllers OU .

    אחרי אתחול של ה DC העסק הסתדר.

    בנוסף לזה בדקתי שיש תאימות בין ה certificate וה outlookprovider אבל זו לא הייתה הבעיה כנראה אלא ה ntlm .

    שוב תודה
    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום רביעי 23 ינואר 2013 01:08
  • שלום.

    לצערי הבעיה לא נפתרה - אלא זה עובד משום מה רק עם המשתמש administrator , אבל לא עם משתמשים אחרים.

    אני עדיין בודק את הנושא, ואשמח להמלצות נוספות.

    כמו כן אני שוב שואל - האם מישהו בדק תאימות של windows xp מול exchange 2013 ויכול לאשר שזה עובד חלק אצלו?

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שני 28 ינואר 2013 01:54
  • תוכל לדבר איתי בנייד, אני אעביר לך את מה שבדקתי.

    אלי.


    מפגש יוזר גרופ בנושא Office 365 החדש ועדכון שעון 2013בתאריך 11.2.2013. הירשם עכשיו, http://ucug10.eventbrite.co.uk/

    יום שלישי 29 ינואר 2013 20:52