none
Richiesta continua password exchange 2007 SP3 Update rollup 4 RRS feed

  • Domanda

  • Buongionro a  tutti,

    in ambiente sbs 2008 con exchenge 2007, tutti i client, sia 2007 che 2010 da un po di tempo mi richedono la password di accesso in continuazione, prima funzinava tutto correttamante dopo installazione sp3.

    Internamante la cosa non crea grossi problemi, solo una fastidiosa richiesta ripetuta nel tempo ma successivamante il clinet di si connette.

    Dall'esterno al contrario dopo la richesta di password, che continua a non venire accettata, outlook rimane disconnesso.

    Ho recentemente installato Update rollup 4 ma niente.

    Potrebbero esserci problemi con IIS? Le pagine web di owa funzionano tutte corrrettamante sia dall'esterno che all'interno.

    aspetto vostri suggerimenti,

    Grazie,

     

     

    venerdì 23 settembre 2011 09:56

Tutte le risposte

  • Hai verificato che il certificato non sia scaduto? Il certificato come l'hai fatto? Ti richiede le credenziali anche mentre lavori?
    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx
    venerdì 23 settembre 2011 11:43
    Moderatore
  • hai verificato se internamente durante la richiesta della password hai problemi di autenticazione con un file server, per escludere una problematica legata ad active directory (ticket kerberos scaduti)?

     

    venerdì 23 settembre 2011 12:26
  • Il certificato scade nel 2012 ed è quello generato direttamante da SBS 2008 duranta la fase di installazione, con il medesimo certificato in precedenza funzionava. Da rete interna se inserico la password mi viene richiesta all'infinito, nel caso contrario, annulando la richiesta outllok funziona ma dopo alcuni minuti, di nuvo inserire password.

    Ho verifiacto anche la presena di credenziali errate ma non ce ne sono di memorizzate, ho provato ad inserirele manualmente ma non cambia nulla.

    Ho ricreato l'account exhenge su outlook e verificato le impostazioni di base di outlook web access da console di Exchange, mi risulta attivo(infatti la pagina e raggiungibile), ho verificato anche le impostazioni di autenticazione da Configurazione server -> Cassetta Postale -> WebDav. Nella scheda propietà autenticazione sono impostate l'autenticazione integrata di windows e l'autenticazione di base(quella che utilizziamo).

    potrebbe essere un problem di autenticazione legato ad iis?

    venerdì 23 settembre 2011 12:49
  • Nessun problema di accesso con file server( il file server è sempre lo stesso server), non credo sia un problema di ticket vedile modalita con sui si presente sopradescritte.
    venerdì 23 settembre 2011 12:55
  • da iis controlla le seguenti autorizzazioni

    Default Web Site                            Anonymous Authentication                                                                  SSL       Client Certificate: Ignore ok

    Autodiscover                                    Anonymous Authentication  Basic Authentication & Windows Authentication      SSL       Client Certificate: Ignore

    EWS                                                      Windows Authentication & Anonymous Authentication                          SSL      Client Certificate: Ignore Anonymous Authentication

    Exadmin                                              Basic Authentication & Windows Authentication                                          SSL       Client Certificate: Ignore

    Exchange                                            Basic Authentication & Windows Authentication                                   SSL       Client Certificate: Ignore

    Exchweb                                             Basic Authentication & Windows Authentication                                    SSL       Client Certificate: Ignore

    Microsoft-Server-ActiveSync      Basic Authentication                                                                                SSL       Client Certificate: Ignore

    OAB                                                       Windows Authentication                                                                             SSL       Client Certificate: Ignore

    OWA                                                    Basic Authentication                                                                                  SSL       Client Certificate: Ignore

    Public                                                   Basic Authentication & Windows Authentication                                       SSL       Client Certificate: Ignore non configurate Exchange 2010

    ECP                              Basic Authentication & Anonymous Authentication                                     SSL       Client Certificate: Ignore

    RPC                              Basic Authentication                                                                                                         SSL       Client Certificate: Ignore


    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx
    venerdì 23 settembre 2011 13:26
    Moderatore
  • Default Website ok

    Autodiscover Autentication ok ma nelle impostazioni SSL ci sono Flaggati Richiedi SSL e Richiedi SSL a 128 bit Certificati Ignora, tolgo?

    EWS disabilito autenticazione di base Cerificati ignorati ma sempre fleg per richiedi ssl

     

    Exadmin  autenticazione ok sempre richiedi SSL a 128 flaggato e Cerificati ignorati

    Exchenge stesse impostazioni di Exadmin

    Exweb uguale ai due precedenti

    Microsoft-Server-ActiveSync      ok ma sempre richiedi ssl a 128 bit

    OAB disabilito Autenticazione di base certificati solito discorso

    OWA autenticazione ok ma certificati 128

    PUBLIC autenticazione ok ma certificati 128

    ECP NON è PRESENTE UNA VOCE ECP

    RPC disabilito autenticazione windows questa volta richiedi ssl e richiedi ssl 128 non sono flaggati Ceritificati client ignorati

    Dopo aver reimpostato come da tuo suggerimento, internamante ho sempre lo stesso problema, sto aspettando che eseguano il test anche dall'eterno ma credo che arriveremo a lunedi grazie per il momento.

    Lunedi aggiorno con il risultato.

    venerdì 23 settembre 2011 14:28
  • I log di un client qualsiasi della rete che cosa riportano, parlando del caso della richiesta di password lan side? I DC sono separati da Exchange? Quanti sono? Il GC e' ok e se possibile ridondato? 

    A me sembra tanto un problema di  autenticazione tra exchange ed AD, tendo ad escludere il certificato digitale per via della corrispondenza temporale del guaio interno ed esterno, dato che si usano protocolli differenti. 

     

    ps: il più delle volte puoi verificare il funzionamento di Owa anche dalla lan, quindi il test di autenticazione, in teoria puoi farlo da solo, soprattutto se mi dici che hai una installazione monolitica di Exchange senza il Client Access in dmz.


    venerdì 23 settembre 2011 15:56
  • Confermo, il problema si ri-presenta anche esternamente.

     

    lunedì 26 settembre 2011 07:15
  • Ok ecco il log che mi hai richiesto:

    2011/09/26 10:04:33.988: Request to URL: https://server.com/EWS/Exchange.asmx

    2011/09/26 10:04:33.988: Request action: http://schemas.microsoft.com/exchange/services/2006/messages/GetUserOofSettings

    2011/09/26 10:04:33.988: Request XML: <?xml version="1.0"?>

    <q:Envelope xmlns:q="http://schemas.xmlsoap.org/soap/envelope/"><q:Body><ex12m:GetUserOofSettingsRequest xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages"><ex12t:Mailbox xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types"><ex12t:Address>indirizzo@dominio.com</ex12t:Address><ex12t:RoutingType>SMTP</ex12t:RoutingType></ex12t:Mailbox></ex12m:GetUserOofSettingsRequest></q:Body></q:Envelope>

    2011/09/26 10:04:33.988: Sending request

    2011/09/26 10:04:36.312: Request sent

    2011/09/26 10:04:36.312: Response error code: 80004005

    2011/09/26 10:04:36.312: HTTP status code: 403

    2011/09/26 10:04:36.312: -------------------------------

    2011/09/26 10:04:36.312: There is an error in request/response.

    2011/09/26 10:04:36.312: XML response:

    2011/09/26 10:04:36.312: -------------------------------

     ogni volta che mirichiede la password genera un log di questo tipo.

    Il DC è uno ed è sulla stessa macchina, scusa la mia ingoranza ma non so cosa intendi per GC.

    il primo test che ho fatto era quello del funzionamanto di OWA, non ci sono problemi,

    Volevo agghiungere che dopo la modifica consgiliatami da Peppacci non riesco piu al lavorare con l'account in cash outlook si blocca sempre all'invio di una mail. se toglo il flag funziona corettmante.

    Grazie,

     

     

    lunedì 26 settembre 2011 08:33
  • il GC e' u ruolo cruciale di AD per il funzionameto di echange

    io proverei a ridondare il ruolo settandolo su entrambi i DC, come suggerito da MS.

     

    prova a leggere questo:

    http://technet.microsoft.com/it-it/library/cc794934(WS.10).aspx

    lunedì 26 settembre 2011 08:58
  • ok grazie, ma il dc è uno solo,

     

    lunedì 26 settembre 2011 09:18
  • per i dc, scusa, avevo letto che erano 2. 

     

    dalla shell prova:

    Get-ClientAccessServer | fl

     

     e vedi se restituisce errori.

     

    quindi prova a seguire questo e riconfigurare autodiscover:

    http://technet.microsoft.com/en-us/library/bb125157.aspx

     

     

     

     


    lunedì 26 settembre 2011 10:45
  • ho eeguito il comandfo che mi hai suggerito e vedendo la configurazione dell'autodiscover sembrerebbe essere ok:

    Name: SERVER

    OutlookAnywhereEnebled: True

    AutodiscoverServiceCN: SERVER

    AutodiscoverServiceClassName: ms-exchange-autodiscover-service

    AutodiscoverServiceInternalUri: https://indirizzo.dominio.com/autodiscover/autodiscover.xml

    AutodiscoverServiceGuid: 77378f446-2c664aa9-a6a6-3e7a48b19596

    AutodiscoverSiteScope: (Default-first-site-name)

    IsValid: True

    OriginatingServer: SERVER.dominio.local

    ExchangeVerision: 0.1(8.0.535.0)

    DistinguishedName: CN= SERVER, CN=Servers, CN=Exchange, Administrative Group (FYDIBOHF23SPDLT), CN=Administrative Groups, CN=First Organization, CN=Microsoft Exchange, CN=Services, CN=Configurations, DC=dominio, DC=Local

    Identity: SERVER

    Guid: feb69294-3bc7-41b5-9c8a-2e8905b73850

    ObjectCategory: dominio.local/Configuration/Schema/ms-Exchange-Server

    ObjectClass: {top, server, msExchExchangeServer}

    WhenChanged

    WhenCreated

    l'unica informazione che mi sembra errata è l'AutodiscoverSiteScope, non dovrebbe contenere il sito https://indirizzo.dominio.com?

    lunedì 26 settembre 2011 11:40
  • l'unica informazione che mi sembra errata è l'AutodiscoverSiteScope, non dovrebbe contenere il sito https://indirizzo.dominio.com?

     

    e' esatto.

    prova questo (ovviamente parametrizzadolo con i tuoi dati):

     

    Set-ClientAccessServer -Identity "NOMESERVER" -AutoDiscoverServiceInternalUri "https://indirizzo.dominio.com/autodiscover/autodiscover.xml" -AutoDiscoverSiteScope "Mail" (tratto dal link di cui sopra)



     

    lunedì 26 settembre 2011 12:19
  • ok internamente abbiamo risolto i client non richiedono piu la password.

    Per quanto rigurada OWA invece solito provblema la paggina web è raggiungibile, ma il client non si connette,  allego log del client:

    Store File Name: indirizzo@domino.com

    Date|Time|Action|Search Owner|NID|Change Action|Change Semantics|URL|Count Of DocIDs|Next NID Index to add to All Msg folder|Next NID Index to push to FTE|Folder Path|Folder Path ID|HRESULT|Result Status

    2011/09/26|16:01:07:126|Processed Catalog State: CatalogGuid={70BE69F3-5A83-4003-A615-1CFF161DC842} CheckpointGuid={28DC9D5F-5C1F-4D34-9C46-2CE4F58C7192} CheckpointNum=1 Source=2 Timestamp={High 0x01cc7c54, Low 0x36b6f482}|||||OK

    2011/09/26|16:01:30:628|OnIndexStatusChange - Gatherer|3|2099204|Add||mapi://{S-1-5-21-1297004762-3917695592-2354535265-1176}/indirizzo@dominion.com($d47c66bb)/0/Posta in arrivo/곯가가가갯갼걏겱걖걚겑걁겗겠갤겑걖겵공겁간갈갠가||||||0x80040d54|FAIL

    2011/09/26|16:01:30:628|Won't retry for this error|3|2099204|||||||||0x80040d54|FAIL

    2011/09/26|16:01:37:871|Flushing completed doc|3|2099204|Add||mapi://{S-1-5-21-1297004762-3917695592-2354535265-1176}/indirizzo@dominion.com($d47c66bb)/0/Posta in arrivo/곯가가가갯갼걏겱걖걚겑걁겗겠갤겑걖겵공겁간갈갠가||||||0x80040d54|FAIL

    2011/09/26|16:03:34:916|Processed Catalog State: CatalogGuid={70BE69F3-5A83-4003-A615-1CFF161DC842} CheckpointGuid={28DC9D5F-5C1F-4D34-9C46-2CE4F58C7192} CheckpointNum=1 Source=2 Timestamp={High 0x01cc7c54, Low 0x36b6f482}|||||OK

    2011/09/26|16:04:01:306|OnIndexStatusChange - Gatherer|7|2110340|Add||mapi://{S-1-5-21-1297004762-3917695592-2354535265-1176}/indirizzo@dominion.com($d47c66bb)/0/Posta in arrivo/곯가가가갯갼걏겱걖걚겑걁겗겠갤겑걖겵공겁겄갳갠가/at=곅곃가가:ST-PBS089 SynBalance LH_EN_v1.0.doc||||||0x80040d54|FAIL

    2011/09/26|16:04:01:306|Won't retry for this error|7|2110340|||||||||0x80040d54|FAIL

    2011/09/26|16:05:22:317|Processed Catalog State: CatalogGuid={70BE69F3-5A83-4003-A615-1CFF161DC842} CheckpointGuid={28DC9D5F-5C1F-4D34-9C46-2CE4F58C7192} CheckpointNum=1 Source=2 Timestamp={High 0x01cc7c54, Low 0x36b6f482}|||||OK

    2011/09/26|16:09:58:112|OnIndexStatusChange - Gatherer|3|2122660|Add||mapi://{S-1-5-21-1297004762-3917695592-2354535265-1176}/cindirizzo@dominion.com($d47c66bb)/0/Posta in arrivo/곯가가가갯갼걏겱걖걚겑걁겗겠갤겑걖겵공겁겤걣갠가||||||0x80040d54|FAIL

    2011/09/26|16:09:58:113|Won't retry for this error|3|2122660|||||||||0x80040d54|FAIL

    2011/09/26|16:14:10:376|Flushing completed doc|3|2122660|Add||mapi://{S-1-5-21-1297004762-3917695592-2354535265-1176}/indirizzo@dominion.com($d47c66bb)/0/Posta in arrivo/곯가가가갯갼걏겱걖걚겑걁겗겠갤겑걖겵공겁겤걣갠가||||||0x80040d54|FAIL

    le credenziali mi sono state richieste solo alla prima connessione, ma comunque il client rimane disconnesso, potrebbe essere un problema nello step successivo all'autneticazione?

    lunedì 26 settembre 2011 14:24
  • hai un backup delle cofigurazioni di iis risalente a prima dell'installazione degli update?

    se non lo hai qui c'e' la procedura per ricreare le vdir di owa. 

    http://technet.microsoft.com/en-us/library/ff629372.aspx

    io proverei a fare cosi ancor prima di recuperare il backup!


    lunedì 26 settembre 2011 14:48
  • ok ho fatto il reset come mi hai suggerito, il problema è che la cartella originaria er in SBS Web Aplications non in Default web site, quando l'ho ricreato nononstanate io abbia specificato di ricrearla in sbs web applictaions è stat inserita on Default web site, con  conseguente errore all'apertura di owa.

    Sti cercando di psostarla suggerimenti?

    mercoledì 28 settembre 2011 08:30
  • ok. 

    ci siamo quasi....

    prova dall'interno della lan ad usare l'hostname del server/owa o ip e verifica il funzionamento della webmail.

     

    comunque, leggendo il technet che ti ho postato, dovevi rifare la procedura specificando websitename  'Applications'

    Remove -OwaVirtualDirectory -Identity 'Server01\owa (Default Web Site)'


    New-OwaVirtualDirectory -InternalUrl 'https://<Server01><DomainName>/owa' -WebSiteName 'Default Web Site'

    mercoledì 28 settembre 2011 09:01
  • ok avevi ragione ho fatto un po si confuzsione, web mail ok ma outlook rimane disconnesso, suggerimenti?

    mercoledì 28 settembre 2011 14:06
  •  

    ieri non ti funzionava outlook in lan? 

    rifai questo:

    Set-ClientAccessServer -Identity "CAS-01" -AutoDiscoverServiceInternalUri "https://cas01.contoso.com/autodiscover/autodiscover.xml" -AutoDiscoverSiteScope "Mail"
    mi raccomando: i parametri!!!!

    mercoledì 28 settembre 2011 14:20
  • in lan è tutto ok ad esclusione del fatto che se accedo con un client con cash memorizzata devo togliere fleg e rimetterlo....altrimenti outlook non risponde..... il problema della connessione di outlook che mi rimane è dall'esterno.
    mercoledì 28 settembre 2011 15:30
  • get-outlookanywhere | fl 
    cerca l'identita del server
    quindi
    Set-OutlookAnywhere -Name:identity -DefaultAuthenticationMethod:NTLM

    venerdì 30 settembre 2011 11:23
  • ho inserito il comando che mi hai suggerito, ma il paramatro identity ha assunto un valore erreato SERVER\SERVER\Rpc

    riprovando ad eseguire il comando ho sempre errore, posso in altro modo variari il parametro identity per variare l'indirizzo?

     

    venerdì 21 ottobre 2011 07:44
  • qualcuno sa dirmi come modificare l'identity?
    mercoledì 2 novembre 2011 10:12