none
проблемы с подключением клиентов Outlook после создания DAG

    Вопрос

  • Перед созданием кластера была миграция на новый сервер. После переноса всех БД и создания кластера сервер удалили.
    После создания кластера DAG проблемы с подключением клиентов. У некоторых клиентов не отрабатывает Autodiscover. Выскакивает окно с требованием логин/пароль. Вводишь пароль - не подходит. Надо настраивать подключение вручную. Причем получится подключиться не сразу. также несколько раз может выскакивать окно логин/пароль, нажимаешь отмену, вводишь параметры подключения вручную. Не проходит. Удаляешь, пробуешь заново. Через некоторое время может подключиться.

    На некоторых клиентах подхватывает правильные настройки, выходишь из Outlooka, заходишь - снова логин/пароль. Смотришь настройки учетной записи в конфигурации почты - там понялись настройки проверки подлинности - у нас NTLM, а там почему-то обычная. Т.е клиент забрал какие-то не те настройки.

    Получается как-то криво настроен Autodiscover или клиенты подключаются куда-то не туда?
    Вот наши настройки Autodiscover и проверки подлинности.

    [PS] C:\Program Files\Microsoft\Exchange Server\V15\scripts>Get-ClientAccessServer | fl auto*

    AutoDiscoverServiceCN          : serv-exch-cl1
    AutoDiscoverServiceClassName   : ms-Exchange-AutoDiscover-Service
    AutoDiscoverServiceInternalUri : https://autodiscover.constr.kbp/autodiscover/autodiscover.xml
    AutoDiscoverServiceGuid        : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
    AutoDiscoverSiteScope          : {Default-First-Site-Name}

    AutoDiscoverServiceCN          : serv-exch-cl2
    AutoDiscoverServiceClassName   : ms-Exchange-AutoDiscover-Service
    AutoDiscoverServiceInternalUri : https://autodiscover.constr.kbp/autodiscover/autodiscover.xml
    AutoDiscoverServiceGuid        : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
    AutoDiscoverSiteScope          : {Default-First-Site-Name}


    [PS] C:\Program Files\Microsoft\Exchange Server\V15\scripts>Get-OutlookAnywhere | fl internalHostname, internalClientsR
    quireSSl, 


    InternalHostname          : serv-mail.constr.kbp
    InternalClientsRequireSsl : True

    InternalHostname          : serv-mail.constr.kbp
    InternalClientsRequireSsl : True



    [PS] C:\Program Files\Microsoft\Exchange Server\V15\scripts>Get-OutlookAnywhere | fl *auth*


    ExternalClientAuthenticationMethod : Basic
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Ntlm}

    ExternalClientAuthenticationMethod : Basic
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Ntlm}


    [PS] C:\Program Files\Microsoft\Exchange Server\V15\scripts>Resolve-DnsName serv-mail

    Name                                           Type   TTL   Section    IPAddress
    ----                                           ----   ---   -------    ---------
    serv-mail.constr.kbp                           A      3600  Answer     10.0.150.22
    serv-mail.constr.kbp                           A      3600  Answer     10.0.146.22

    [PS] C:\Program Files\Microsoft\Exchange Server\V15\scripts>Resolve-DnsName autodiscover

    Name                                           Type   TTL   Section    IPAddress
    ----                                           ----   ---   -------    ---------
    autodiscover.constr.kbp                        A      3600  Answer     10.0.150.22
    autodiscover.constr.kbp                        A      3600  Answer     10.0.146.22
    12 января 2018 г. 7:39

Ответы

  • Но некоторые клиенты все равно требуют пароль, особенно часто на ПК не в домене. Все пароли прописаны в Панели управления - учетные записи - и общая у/з и  у/з autodiscover и каждый сервер в отдельности И все равно при подключении выскакивает окно логин /пароль. На некоторых клиентах, которые подключаются нормально при попытке проверки автоконфигурации Outlook также выскакивает окно пароля и тест не проходит. Хотя клиент Outlook запускается нормально.

    Я уже третьему человеку сегодня пишу одно и тоже, кучно пошло что-то.

    Устанавливаем фиддлер, снимаем сессию и видим, почему и на каком этапе возникает запрос пароля.

    Сперва разберитесь с доменными машинами. На недоменных (внезапно) запрос пароля обычное дело. А вот сохранение его- плохая практика.

    18 января 2018 г. 11:45

Все ответы

  • Похоже у нас действительно какие-то проблемы с Autodiscover тест запущенный на одноv из серверов вернул ошибку. 

     Test-OutlookWebServices -Identity:155seyu@constr.kbp -MailboxCredential (Get-Credential dconstr

    \155seyu) | fl


    RunspaceId          : ceeb59fa-f511-4f75-a386-3c793e34e562
    Source              : serv-exch-cl1.constr.kbp
    ServiceEndpoint     : autodiscover.constr.kbp
    Scenario            : AutoDiscoverOutlookProvider
    ScenarioDescription : Автообнаружение: поставщик Outlook
    Result              : Failure
    Latency             : 24
    Error               : System.Net.WebException: Удаленный сервер возвратил ошибку: (401) Несанкционированный. ---> Syste
                          m.ComponentModel.Win32Exception: Главное конечное имя неверно
                             в System.Net.NTAuthentication.GetOutgoingBlob(Byte[] incomingBlob, Boolean throwOnError, Secur
                          ityStatus& statusCode)
                             в System.Net.NTAuthentication.GetOutgoingBlob(String incomingBlob)
                             в System.Net.NegotiateClient.DoAuthenticate(String challenge, WebRequest webRequest, ICredenti
                          als credentials, Boolean preAuthenticate)
                             в System.Net.NegotiateClient.Authenticate(String challenge, WebRequest webRequest, ICredential
                          s credentials)
                             в System.Net.AuthenticationManagerDefault.Authenticate(String challenge, WebRequest request, I
                          Credentials credentials)
                             в System.Net.AuthenticationState.AttemptAuthenticate(HttpWebRequest httpWebRequest, ICredentia
                          ls authInfo)
                             в System.Net.HttpWebRequest.CheckResubmitForAuth()
                             в System.Net.HttpWebRequest.CheckResubmit(Exception& e, Boolean& disableUpload)
                             --- Конец трассировки внутреннего стека исключений ---
                             в System.Net.HttpWebRequest.GetResponse()
                             в Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.InternalInvoke()
                             в Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.Invoke()
    Verbose             : [2018-01-12 09:09:39Z] Подключение Автообнаружение к "https://autodiscover.constr.kbp/autodiscove
                          r/autodiscover.xml".
                          [2018-01-12 09:09:39Z] Тестовая учетная запись: 155seyu Пароль: ******
                          [2018-01-12 09:09:39Z] Запрос Автообнаружение:
                          User-Agent: SERV-EXCH-CL1/Test-OutlookWebServices/155seyu@constr.kbp
                          Content-Type: text/xml; charset=utf-8
                          Authorization: Negotiate oYIGoDCCBpygAwoBAaKCBpMEggaPYIIGiwYJKoZIhvcSAQICAQBuggZ6MIIGdqADAgEFoQMC
                          AQ6iBwMFACAAAACjggVpYYIFZTCCBWGgAwIBBaEMGwpDT05TVFIuS0JQoiowKKADAgECoSEwHxsESFRUUBsXYXV0b2Rpc2Nvd
                          mVyLmNvbnN0ci5rYnCjggUeMIIFGqADAgEXoQMCAQKiggUMBIIFCI5NusboralVhjPVAQ0q1RggwFZ0CCdcGXNJieZJcC/m0X
                          nF07eo08PDcGAbt5EeJ4dwpUxET0gB3U/+McjGEY+Z5bevEg9Nm7SZpCWIP829SQRIYoN3BYaLd77aiAr4er8a1P+uq070m27
                          2GLicWe94ux4SGNvsuvGMCgyrVNtlyN8TgssOypjtGL7zAotdq1AY3u85lyGRjJYnRV2PmlvSn4qbAZ0unk3VzB1341zHQ0mY
                          wb2WuVNi1FZhhatVdo5tJ3HzgWxzVol/eSHk1elgqNl8GWI/TeRga1P6AdsNd2gnVGY0Of25KJlUaj+LaLIep67D027gEMhvK
                          T5bTmVnx45ubf/38/4PmgkxHz5wp0H4XHnmU0O7N0nbEGUdLLIPQjScDVnXxMg3hSHb5yXwOFKNEQMdtjkew8d0LDfJnxFlDA
                          +WtyB1s/+k2a60tPswaFvgKhzNqYCJIkDd68IYgsqbeCTxhn/UsjC5DemhfiGd+7ETR6a1IoGM2I2EA49x8TV+/tJM3qZ5KsV
                          KT7Neo7TAato7CrCGOydaQzlhAIGbR1cY6SqL9rHLyT0Yl/R0KyMvSTWBJ3M54rKjS4CFTAEdbMB2hOIyM2/eSQJ7tfxqMEmv
                          jo0txuutc2pLLSbvJe5jF/LMjlYWibn0hgCkCOP+gy8PtAh6hcowN+FAESswtIo1B9UNJSrbxlxDzOxCdruCUzJb46TCH9KOv
                          YjWMyth6VX1Cl0BGMc+CsQF9U5zGNm3xt/6EId3LwLVuD+wgZ1Jq+Kp312d/2q3/joJTuIbTgMyK0cwjZ1M69qWz2I0isNPr1
                          Y+BIeW8+f/QPVAeayHEh3FjGIhAdjCAY8nUNLZQq9wpLWgvAKHV+rrcv2G+rmIG6p2LG3P3ETOoEKmzTo2w9oiwY9UJ+a8GDf
                          I69TmtzDHr/ZKrIZftoSo4wtJWoWJgFhlKpdifa7I74RGx2J6AbkDgIsGuTu26LqXvAuBNVXC+4108/T+8SZkLHtqsuhTEgaT
                          5btgyxwCKiYAj1orok9Ca3WrZCS7PJtTJdpJVrCRVDpBQw9H0JYk6Ehp5OLoDJuBhda18+D3XPZhinYZp2JfjFC0Wa5msZfFs
                          cebG5faW+yumBJWHOdeJvK2uV7efAmDnjbyfDZdrqLIVFalQpOTRTEfyf0/BYUiO8BonfrUDlmqe1TWkGjHh/ea6/8uvpO2d4
                          eE6tbYrH/g32LHJzS5n3SrC+zXZLXJIRnlxcaJahnpqKL6Xon0B6rTZ01QB6l2BS7+NDFkRzkwukO3CD/WE0DiAPjHQYlx/ok
                          2Zw6OIj+iYDjoGh3PKqhYn+5pMJlI4IUO8DhnALs90YJQxoCy2LuEcCL5f88aEWIDvrF1qKspGE+Mh3Ta5SsKuRpEGc3/yOSg
                          o3rWllVDhFXS/yO+lGBC18e56IEy+lcvQ4kmfLl0xlzeZTXw0yrUAdY8wbOS1vH4IZ5LkBgLrYKt2g242m77ulJTppf9hGpjS
                          b2xS60jp09GXRdEasVvrjSEamWa2rEdN3qmZ+qQqzFl410iOq81kd96nna1hFjE/cTGfZ7wJ5MMcQLg/RIzsk6qn2Eg5CcEly
                          ZWiPSy5h9l41Wro3Tqh7mUEpAlmUlozYSv9iBayw1cLw6cPZfYAClTMoCx8BCwg5J5gsvoVFZCGBVkyP6S7kFLY7ncK0VTVW5
                          yYuMdE9Y0dWNT6HrXu914b2ukgfMwgfCgAwIBF6KB6ASB5V7264RuMHf2X/hgGNaQRwVQJCNS4j3vn3GcHYtEtIu/jpCF//gy
                          WrCd5o3bMsuYLVCxGp5ZVEg4u4Pq+an4oyoI3yQlKZrbwizqX7bSQfsosKj6Z3J9CGv6pWgfL5VxziK1lyJb95LSKNC4M6vYp
                          nkJD/aSFLTObChZNu561HnbfEzFGRsTZI3CLySPYClAf3hiNNtfkztCy+Xe7I5P0d/+ewclbVJ39t0GCAhjqSSSKV3SIuYqi0
                          6Nxw/ZOb40e5uBIJeHJsLbgY1Co3KqFzB6+0PTtzJa8ffCRnUX2X/vyIGbmuM=
                          Host: autodiscover.constr.kbp
                          Cookie: ClientId=VOYUFWWOUYOTAYKBZWQ
                          Content-Length: 457
                          Expect: 100-continue
                          [2018-01-12 09:09:39Z] Запрос Автообнаружение:
                          <?xml version="1.0"?>
                          <Autodiscover xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLS
                          chema-instance" xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/requestschema/2
                          006">
                            <Request>
                              <EMailAddress>155seyu@constr.kbp</EMailAddress>
                              <AcceptableResponseSchema>http://schemas.microsoft.com/exchange/autodiscover/outlook/response
                          schema/2006a</AcceptableResponseSchema>
                            </Request>
                          </Autodiscover>
                          [2018-01-12 09:09:39Z] Ответ Автообнаружение:
                          request-id: fb68cb54-1cc5-4d8d-b1a1-a530496642af
                          Server: Microsoft-IIS/8.5
                          WWW-Authenticate: Negotiate oXIwcKADCgEBomkEZ2BlBgkqhkiG9xIBAgIDAH5WMFSgAwIBBaEDAgEepBEYDzIwMTgwM
                          TEyMDkwOTM5WqUFAgMLRIOmAwIBKakMGwpDT05TVFIuS0JQqhswGaADAgEBoRIwEBsOc2Vydi1leGNoLWNsMSQ=,Basic rea
                          lm="autodiscover.constr.kbp",NTLM
                          X-Powered-By: ASP.NET
                          X-FEServer: SERV-EXCH-CL1
                          Date: Fri, 12 Jan 2018 09:09:39 GMT
                          Content-Length: 0
                          [2018-01-12 09:09:39Z] Ответ Автообнаружение:
                          System.Net.WebException: Удаленный сервер возвратил ошибку: (401) Несанкционированный. ---> Syste
                          m.ComponentModel.Win32Exception: Главное конечное имя неверно
                             в System.Net.NTAuthentication.GetOutgoingBlob(Byte[] incomingBlob, Boolean throwOnError, Secur
                          ityStatus& statusCode)
                             в System.Net.NTAuthentication.GetOutgoingBlob(String incomingBlob)
                             в System.Net.NegotiateClient.DoAuthenticate(String challenge, WebRequest webRequest, ICredenti
                          als credentials, Boolean preAuthenticate)
                             в System.Net.NegotiateClient.Authenticate(String challenge, WebRequest webRequest, ICredential
                          s credentials)
                             в System.Net.AuthenticationManagerDefault.Authenticate(String challenge, WebRequest request, I
                          Credentials credentials)
                             в System.Net.AuthenticationState.AttemptAuthenticate(HttpWebRequest httpWebRequest, ICredentia
                          ls authInfo)
                             в System.Net.HttpWebRequest.CheckResubmitForAuth()
                             в System.Net.HttpWebRequest.CheckResubmit(Exception& e, Boolean& disableUpload)
                             --- Конец трассировки внутреннего стека исключений ---
                             в System.Net.HttpWebRequest.GetResponse()
                             в Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.InternalInvoke()
                             в Microsoft.Exchange.Management.SystemConfigurationTasks.ServiceValidatorBase.Invoke()
    MonitoringEventId   : 6001

    RunspaceId          : ceeb59fa-f511-4f75-a386-3c793e34e562
    Source              : serv-exch-cl1.constr.kbp
    ServiceEndpoint     :
    Scenario            : ExchangeWebServices
    ScenarioDescription : Веб-службы Exchange
    Result              : Skipped
    Latency             : 0
    Error               : Пропущено тестирование веб-служб Exchange из-за ошибки на шаге автообнаружения.
    Verbose             :
    MonitoringEventId   : 5002

    12 января 2018 г. 9:29
  • У вас внутренний и внешний URL для Outlook Anywhere одинаковый при различных параметрах аутентификации ? Это может быть причиной переключения клиентов на базовую аутентификацию.

    В IISAuthenticationMethods стоит только NTLM, хотя для внешних задана базовая - это для чего сделано ?

    12 января 2018 г. 15:22
  • У нас сервер только для внутренней почты, выхода наружу нет. ExternalClientAuthenticationMethod : Basic осталось по умолчанию, решили, что раз у нас все равно нет выхода наружу, то это параметр ни на что влиять не должен. ExternalHostname  у нас не задан - пустой.
    12 января 2018 г. 18:43
  • Попробуйте задать внешний URL и режим аутентификации такой же, как для внутренних подключений. Если при этом в автообнаружении продолжит всплывать базовая аутентификация - значит вы старый сервер удалили как-то не до конца.

    15 января 2018 г. 16:14
  • Сервер удаляли через Панель управления - Программы и компоненты. Допустим, что-то прошло не так. Где искать "хвосты"? Через ADSI в контексте по умолчанию ссылки только на новые сервера. Может поиск какой-то можно запустить по старому имени или IP?
    15 января 2018 г. 16:38
  • Почитайте про автообнаружение: http://www.alexxhost.ru/2013/12/autodiscover-service-connection-point.html

    В статье написано и про то, где искать, и что искать.

    16 января 2018 г. 8:22
  • Статью читали,  настройки все прописаны на новые сервера. Но некоторые клиенты все равно требуют пароль, особенно часто на ПК не в домене. Все пароли прописаны в Панели управления - учетные записи - и общая у/з и  у/з autodiscover и каждый сервер в отдельности И все равно при подключении выскакивает окно логин /пароль. На некоторых клиентах, которые подключаются нормально при попытке проверки автоконфигурации Outlook также выскакивает окно пароля и тест не проходит. Хотя клиент Outlook запускается нормально.
    16 января 2018 г. 8:37
  • Но некоторые клиенты все равно требуют пароль, особенно часто на ПК не в домене. Все пароли прописаны в Панели управления - учетные записи - и общая у/з и  у/з autodiscover и каждый сервер в отдельности И все равно при подключении выскакивает окно логин /пароль. На некоторых клиентах, которые подключаются нормально при попытке проверки автоконфигурации Outlook также выскакивает окно пароля и тест не проходит. Хотя клиент Outlook запускается нормально.

    Я уже третьему человеку сегодня пишу одно и тоже, кучно пошло что-то.

    Устанавливаем фиддлер, снимаем сессию и видим, почему и на каком этапе возникает запрос пароля.

    Сперва разберитесь с доменными машинами. На недоменных (внезапно) запрос пароля обычное дело. А вот сохранение его- плохая практика.

    18 января 2018 г. 11:45