none
Impossibile accedere ad OWA da una rete esterna tramite Internet Explorer RRS feed

  • Domanda

  • Ciao a tutti,

    sto riscontrando problemi di accesso ad OWA tramite macchine di dominio che sono all'esterno della LAN.

    Nello specifico, se un client di dominio si trova fuori dalla rete aziendale e prova ad accedere ad OWA da Internet con Internet Explorer, riesco a vedere la prima pagina di caricamento di OWA, poi viene effettuato un redirect verso la pagina "https://hostname/owa/?bO=1" e si riceve l'errore "This page can't be displayed".

    Usando un altro browser o disabilitando l'autenticazione integrata in IE, si riceve regolarmente la richiesta di login e tutto funziona regolarmente.

    Nella LAN non c'è alcun problema, e l'autenticazione integrata funziona regolarmente.

    Avete qualche suggerimento?

    Grazie

    giovedì 20 ottobre 2016 10:48

Tutte le risposte

  • Prima di tutto devi verificare come sono configurate le URL dell'OWA:

    1) La External URL a che nome punta? E' quello giusto?

    2) Com'è configurata l'autenticazione di OWA?

    3) Il certificato contiene il nome corretto?

    4) Come hai pubblicato il servizio in Internet? (reverse proxy, nat, ecc..)

    5) Che versione di Outlook usi e che sistema operativo hanno i client?

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community

    giovedì 20 ottobre 2016 11:35
    Moderatore
  • SE da altri browser funziona correttamente mi viene da pensare più ad un problema di IE. io proverei un bel resettone di IE. E' anche vero che

    https://support.microsoft.com/it-it/kb/923737

    seguito da un ipconfig /flushdns da prompt con comandi elevati e poi riproverei a connettermi.

    Magari ha solo in cache qualcosa che non riesce a ricaricare uscendo dalla struttura. E' vero che comunque se punti all'indirizzo ip pubblico\owa del tuo server al massimo puoi ricevere un errore di certificato ma bypassandolo deve darti l'accesso comunque con relativa pagina di login.

    Ciao.

    A.

    giovedì 20 ottobre 2016 11:48
    Moderatore
  • Rispondo in ordine:

    Il parametro External URL è corretto
    1) L'autenticazione è impostata su "Integrated Windows authentication" + "Basic authentication"
    2) Il certificato contiene il nome corretto
    3) Il servizio è dietro NAT 1:1
    4) Non è un problema di Outlook ma di IE. Il problema si presenta accedendo da qualsiasi versione di IE tramite macchina di dominio all'esterno della LAN con un utente di dominio loggato (quindi in cache). Sempre da una macchina di dominio, ma con un utente locale, IE chiede correttamente le credenziali (perchè ovviamente non può autenticare l'utente locale automaticamente).
    Il problema a mio avviso risiede nel tentativo di autenticazione automatica dell'utente di dominio che non è realmente autenticato su AD (utente in cache).

    giovedì 20 ottobre 2016 12:21
  • Anche da IE funziona, disabilitando l'autenticazione integrata.

    Ovviamente nella LAN funziona sempre, autenticando automaticamente l'utente.

    Il problema si presenta su tutte le macchine di dominio che si collegano dall'esterno della LAN con un utente di dominio loggato sulla macchina.

    giovedì 20 ottobre 2016 12:22
  • Ok, ma scusa se lasci l'autenticazione integrata quando è fuori dal dominio come farà mai a loggarsi automaticamente ad OWA? non sei mica interno alla struttura a meno che non usi una VPN. Cioè quello che vorresti fare tu è aprire il browser e non avere il prompt di login dello user ed entrare diretto? A parte che a mio avviso non richiedere le credenziali per entrare nella mail è un buco di sicurezza grande come una casa..però come fa a funzionare? 

    A.

    venerdì 21 ottobre 2016 09:08
    Moderatore
  • Ok, ma scusa se lasci l'autenticazione integrata quando è fuori dal dominio come farà mai a loggarsi automaticamente ad OWA? non sei mica interno alla struttura a meno che non usi una VPN. Cioè quello che vorresti fare tu è aprire il browser e non avere il prompt di login dello user ed entrare diretto? A parte che a mio avviso non richiedere le credenziali per entrare nella mail è un buco di sicurezza grande come una casa..però come fa a funzionare? 

    A.

    Infatti, voglio che mi chieda le credenziali quando non sono in LAN (come avviene con tutti gli altri sistemi Microsoft attualmente).

    Ho diversi ambienti Microsoft con SSO abilitato (vedi SharePoint, TFS, ecc.), e quando un client di dominio si trova fuori dalla LAN, se accede con Internet Explorer, viene richiesta l'autenticazione HTTP.

    Il concetto di SSO è valido anche in altri sistemi, non voglio mica aprire al mondo i sistemi senza che vengano chieste le credenziali, ovvio.

    A parte il fatto che avere abilitato il SSO non significa non avere l'autenticazione, ma significa abilitare l'autenticazione integrata per i client che la supportano.

    venerdì 21 ottobre 2016 10:11
  • allora non ho capito. Quando dici "disabilitando l'autenticazione integrata" dove intendi?? a livello server od a livello client? Cosa c'è di differenza tra IE e gli altri browser sui client? questa è la mia domanda. C'entra poco la configurazione a livello server se con 2 browser va e con 1 no. Ma forse non ho capito.
    venerdì 21 ottobre 2016 14:12
    Moderatore
  • allora non ho capito. Quando dici "disabilitando l'autenticazione integrata" dove intendi?? a livello server od a livello client? Cosa c'è di differenza tra IE e gli altri browser sui client? questa è la mia domanda. C'entra poco la configurazione a livello server se con 2 browser va e con 1 no. Ma forse non ho capito.
    "disabilitando l'autenticazione integrata in IE"
    venerdì 21 ottobre 2016 15:04
  • Forse sono io che sono di coccio..ma SE LA LASCI ABILITATA è normale che non ti chieda le credenziali mostrandoti il login...la mia domanda è: ma perchè la devi lasciare abilitata!??! è chiaro che se hai un single signon quando sei sotto dominio funziona ma quando sei fuori non va...gli altri browser di default non ce l'hanno...toglila da IE ed hai risolto no??

    non arrivo a capire la problematica...scusa. :-)

    A.

    venerdì 21 ottobre 2016 16:04
    Moderatore
  • Non hai detto come hai pubblicato OWA, se con un NAT o se con un reverse proxy, questo sicuramente può incidere sul comportamento.

    Hai detto che internamente tutto funziona con l'autenticazione integrata, la internal URL e la Extarnal sono uguali?

    Nella configurazione di Internet Explorer hai impostato il dominio corrispondente alla URL come "trusted", questo è un requisito per il funzionamento della windows integrated authentication.

    Per farlo devi andare nei security settengs di IE e aggiungere il dominio nella "local intranet"

    Roberto


    Roberto Ferazzi
    Microsoft® MVP Office Server & Services (Exchange Server)
    Moderator in the Microsoft TechNet Italy Forums
    My MVP Profile

    MSExchange.Community


    sabato 22 ottobre 2016 06:29
    Moderatore
  • Ho modificato il mio precedente post in risposta alle tue domande (l'editor web aveva incasinato il testo).

    Internal URL ed Extarnal sono corretti

    Il dominio è trusted e nella Local Intranet.

    lunedì 24 ottobre 2016 11:00
  • Faccio un esempio concreto.

    L'utente Pippo lavora su una macchina di dominio nella LAN.

    Riesce correttamente ad autenticarsi via SSO con IE su diversi sistemi Microsoft (SharePoint, TFS, OWA, ecc.).

    Pippo porta a casa il suo laptop e cerca di lavorare su tutti i Sistemi Microsoft su cui lavora abitualmente; non essendo nella LAN, tutti i sistemi Microsoft richiedono le credenziali per autenticarsi (SSO non funzionante).

    Pippo inserisce le credenziali e lavora felice e contento.

    OWA al contrario, pur avendo lo stesso schema di autenticazione in IIS degli altri sistemi MS, non chiede (erroneamente) le credenziali e si schianta.

    Adesso dovrebbe essere chiaro?


    lunedì 24 ottobre 2016 11:03