none
OutlookからExchange Serverへ認証を行う仕組みについて

    質問

  • Outlook2010(オンラインモード)を使用していますが、Exchange Server2010の認証の仕組みについてご教示ください。

    下記のサイトを見ると「クライアント アクセス サーバーはユーザーの資格情報を利用するためにドメイン コントローラーへユーザーの TGT の発行要求を行います。」と記載があります。
    https://support.microsoft.com/ja-jp/help/2985859

    仕組みとしては、下記に記載した図のフローであると認識していますが、現在起きている事象と照らし合わせると理解できないところがあり、ご教示を頂きたいと考えております。

    現行システムから新システムへの入れ替えによりクライアント端末はWindows7パソコンからWindows10パソコンに置き換え中です。
    完全移行前のため、Windows7パソコン、Windows10パソコンとも現在 平行で使用できる状況です。

    【現行システム】

    【新システム(平行稼働中)】・・・現在

    【新システム】

    Windows7パソコンでパスワードを変更後、変更したパスワードでドメインにログインするとファイルサーバーへアクセスは問題ありませんので、TGTは取得できていると解釈しています。

    しかし、Windows7パソコンでOutlookを起動すると「Windowsセキュリティ」のダイアログが表示され、変更前のパスワード、変更後のパスワードを入力してもExchange Serverへの認証は通らず、「Windowsセキュリティ」のダイアログが表示された状態になります。

    「クライアント アクセス サーバーはユーザーの資格情報を利用するためにドメイン コントローラーへユーザーの TGT の発行要求を行います。」とありますので、ユーザーの資格情報を使用してクライアント アクセス サーバーはドメインコントローラーにTGTの発行要求をしますが、そのドメインコントローラーには変更したパスワードが反映されていないため、ユーザーの資格情報をクライアント アクセス サーバーが使用してもドメインコントローラーが認証できないため「Windowsセキュリティ」のダイアログが表示されるのではと思っております。

    1時間経過するとWindows7パソコンからOutlookを起動しても「Windowsセキュリティ」のダイアログが表示されなくなるため、全ドメインコントローラーには変更したパスワードが反映され、ユーザーの資格情報を使用してクライアント アクセス サーバーはドメインコントローラーからTGTが取得できていると思っております。

    ただ、下記の事象が起きており、なぜ、メールボックスにアクセスできるのかということに疑問を持っております。

    OutlookからExchange Serverへ認証する仕組みから「Windowsセキュリティ」のダイアログが表示されている状態のとき、メールボックスサーバーにアクセスできないため、ユーザーはメールボックスを見ることができないと思っております。

    ユーザーから「Windowsセキュリティ」のダイアログが表示されている状態のとき、受信トレイにメールが届いていることが確認できているという話を頂いていますので、メールボックスにはアクセスできているということになります。

    「Windowsセキュリティ」のダイアログが表示されている状態でメールが送信できるかはユーザーには確認していません。





    2018年1月11日 15:09

回答

  • OutlookからのExchangeへの接続は、MAPIやOutlook Anywhereの他に単純なHTTPS(OABダウンロードや不在通知などへのEWSへの接続、Autodiscover)なども存在します。

    認証のポップアップが出るものの、メールボックスにアクセスできているという状況から推測すると、こちらがおそらくシングルサインオンできる構成になっていない(個別に資格情報を保存する必要がある)のではないかと思います。

    2018年1月15日 3:40
  • genki_w さんからの回答をふまえ補足すると、Exchange が正しく構成されていれば、本事象は発生しない認識です。

    (正しくという書き方が適切かわかりませんが、Windows でドメイン認証していれば資格情報は出てこない構成)

    PW変えたけど、Windows の認証を求められるって話ですよね?

    これは、認証の仕組みを理解したところで改善できるものだとは思えないので、事象を調査するほかないと思いますが、

    他のスレッドから権限をお持ちでない気がしますので、別チームに調査依頼すればよいのではないでしょうか。


    2018年1月16日 1:27

すべての返信

  • OutlookからのExchangeへの接続は、MAPIやOutlook Anywhereの他に単純なHTTPS(OABダウンロードや不在通知などへのEWSへの接続、Autodiscover)なども存在します。

    認証のポップアップが出るものの、メールボックスにアクセスできているという状況から推測すると、こちらがおそらくシングルサインオンできる構成になっていない(個別に資格情報を保存する必要がある)のではないかと思います。

    2018年1月15日 3:40
  • ありがとうございます。

    Outlook2010からExchange Server2010への接続は、「RPC(MAPI)」のようです。

    Outlook2010の「ログオン ネットワークセキュリティ」は「ネゴシエート認証」になっています。

    SSOの構成になっておらず、都度、ドメインコントローラーに認証要求を行うが接続したドメインコントローラでは変更したパスワードが反映されていないので、全ドメインコントローラーでパスワードが反映されるまで1時間待つか、それよりも早くパスワード変更されたドメインコントローラに認証要求を行うことが必要な可能性があることはご教示いただいたことによりわかりましたが、認証成功していなくてもメールボックスにはアクセス可能になるのでしょうか。

    2018年1月15日 12:57
  • genki_w さんからの回答をふまえ補足すると、Exchange が正しく構成されていれば、本事象は発生しない認識です。

    (正しくという書き方が適切かわかりませんが、Windows でドメイン認証していれば資格情報は出てこない構成)

    PW変えたけど、Windows の認証を求められるって話ですよね?

    これは、認証の仕組みを理解したところで改善できるものだとは思えないので、事象を調査するほかないと思いますが、

    他のスレッドから権限をお持ちでない気がしますので、別チームに調査依頼すればよいのではないでしょうか。


    2018年1月16日 1:27
  • ありがとうございます。

    システムの切り替えに伴う平行稼働の影響としてもパスワード変更後、1時間もOutlookを使用することができないと言う事象について、他の会社が別の客先で同様の対応を行った場合に同様の事象になることが当たり前と捉えているのかとなぜ、メールボックスにアクセスできているんだろうと疑問に思って質問させていただきました。

    ご回答をいただいて、何かしらの問題が起きており、他のエンジニアから見ても致し方がない状況ではないということが分かりました。

    構築したエンジニアからはユーザーにはパスワード変更したら、メールの使用は1時間待ってもらうように話すように指示を受けているので、調査は行わないようです。

    現行システムではドメインコントローラは6台くらいでしたが、新システムではドメインコントローラが16台になっていますので、台数が増えた分、同期に時間がかかっているのかなと思っています。サイトは東京、大阪の2サイトで、サイト毎のドメインコントローラの台数の内訳は不明です。

    ユーザーがパスワードを忘れた場合、新システムのエンジニアがドメインコントローラでパスワードの初期化を行うと、現行システムを使用しているユーザーが初期パスワードを入力しても初期パスワードが受け付けられず、パスワード変更が行えなくなるという事象も起きています。恐らく、現行システム側にあるドメインコントローラに初期化したパスワードが同期される必要があるのですが、同期に時間がかかっているためと考えています。新システムのエンジニアがドメインコントローラでパスワードの初期化した場合、ユーザーには現行システムのWindows7パソコンで初期パスワードを入力してからパスワード変更してくださいと案内をしているようですが、現行システムのWindows7パソコンで初期パスワードを入力しても認証要求が受け付けられません。

    そのため、現行システムを使用するユーザーがパスワードを忘れた場合、新システムエンジニアにパスワードの初期化依頼ではなく、現行システムのエンジニアにパスワードの初期化依頼をする必要があるようです。

    このような影響があることはエンジニアから全く話が上がってこなくて、ユーザーから問い合わせがあって状況を伺って推測して、恐らくはこれが原因ではと判明した次第です。

    そのユーザーには再度 現行システムのドメインコントローラでパスワードを初期化した後、初期パスワードでログインできなければ、連絡をくださいと話して連絡が来ないのでログイン出来ていると思われます。







    2018年1月16日 13:51
  • 現在 ユーザーに影響があるのはOutlook2010だけでなく、Lync2010,CACHATTOでも影響があることが判明しました。

    対応プロトコルの仕組みについて意識しなくてもいいと思っていましたが、Outlook Web App、Outlook それぞれ使用するユーザーから問い合わせがあり、事象が違うので説明する上でも少し必要になりました。

    Outlookでは「Windowsセキュリティ」が表示されて、Outlook Web Appでは「ユーザー名またはパスワードが違います」が表示されるということ、ファイルサーバーへのアクセス、プロキシーサーバー、RemoteAppはパスワード変更直後、ログインしても問題なく使用できるため,ユーザーとしてはなぜ、という疑問があるようです。

    ユーザーとしては疑問を持っているようですが、新システムを構築したシステムエンジニアからのアクションは全くないので、推測ながらとしながらも疑問を持っているユーザーには原因と思われることを回答している状況です。

    【Outlook Web Appの場合】

    ① 仕組み

    ② 事象

    Outlook Web Appの対応プロトコルはHTTP/HTTPSで、クライアントアクセスサーバー経由でメールボックスサーバーにアクセスするので、パソコンでパスワード変更した直後にOutlook Web Appにユーザー名と変更したパスワードを入力してサインインしようとすると、「ユーザー名またはパスワードが違います」のメッセージが表示されて、サインインできないことを確認しています。

    【Outlookの場合】

    ① 仕組み

    ② 事象

    Outlook Web Appの対応プロトコルはRPC(MAPI)で、クライアントアクセスサーバーを経由せずにメールボックスサーバーにアクセスします。タイミングによって、メールボックスサーバーに接続してメールボックスを見られるユーザーもいるようですが、メールボックスサーバーに接続出来ないユーザーもいることを確認しています。サーバーに接続できないユーザーの場合は、「サーバーに接続できません」のメッセージが表示されるようです。

    以下、その情報が記載されているサイトになります。

    第4回 クライアント/サーバ間のプロトコルと暗号化通信を知る

    MAPIクライアントであるOutlookだけは、Exchange Server 2007のメールボックスサーバの役割とMAPI/RPCで直接接続します。






    2018年1月18日 12:43
  • 結局のところ、何を確認されたいのですか?

    2018年1月18日 13:36
  • 本来であれば、構築したシステムエンジニアからユーザーに説明および回答すべきなのですが、エスカレーションしても全く動いて頂けない状況です。

    しかも、ユーザーに対して周知連絡をしていないため、ユーザーからの問い合わせで下記のような質問をいただき、どういった仕組みで構成されていて、どういう原因で事象が起きるのかということも合わせて質問をいただきます。

    原因を聞かれているユーザーにどういう回答をするのかと構築したシステムエンジニアに聞いても音沙汰なしでこちら側で何かしらの理由をつけて回答するように指示を受けているため、辻褄があい、納得していただけそうな理由を話すことができるように技術的なことを調べています。

    不具合の情報開示されておらず、調べた結果、恐らくということで不具合の原因を推測して回答している状況です。むろん、ユーザーには推測ですがと断りを入れてから回答しています。

    ・ログインできているが、「Windowsセキュリティ」が表示されて、変更前のパスワード/変更後のパスワードを入力しても「Windowsセキュリティ」が表示され続けているがどのようにしたらよいのか。

    ・Outlookを起動すると「Windowsセキュリティ」が表示されて変更前のパスワード/変更後のパスワードを入力しても「Windowsセキュリティ」が表示される。メールボックスは見れているので、Windowsセキュリティ」には何を入力したらよいのか。

    ・「Windowsセキュリティ」変更前のパスワード/変更後のパスワードのパスワードを試していたら、ほかのサービスが利用できなくなった。← 何度もパスワード入力を試すのでアカウントロックされていました。

    ・パスワード変更したら、Outlook Web Appにサインインできなくなった。変更前のパスワード/変更後のパスワードでもサインインできない。

    ・次期システムエンジニアにパスワードを初期化してもらって、現行システムで初期パスワードを入力しても、パスワードを変更が要求されない。


    2018年1月18日 13:58