none
Exchange 2016, Outlook 2016, режим кэширования RRS feed

  • Вопрос

  • При включении в Outlook режима кэширования, при запуске Outlook появляется запрос ввода пользователя и пароля,

    подскажите пожалуйста, куда смотреть?

    еще добавлю что Exchange мигрировал с 2010 на 2016

    + сейчас есть два Exchange2016 сервера в одном сайте, с одинаковыми адресами виртуальных каталогов.


    • Изменено tyua 8 июня 2016 г. 9:37

Ответы

Все ответы

  • 1) Сертификат

    2) Сертификат

    3) Установить последние обновления


    • Изменено Guznin KA 8 июня 2016 г. 8:15
  • 1) Сертификат

    2) Сертификат

    3) Установить последние обновления


    Обновления последние,

    с сертификатами так же проблемы быть не должно, для локальных (company.local) подключений используется сертификат локального CA, для внешних (company.com) используется выданный глобальным CA.

    еще добавлю что Exchange мигрировал с 2010 на 2016

    + сейчас есть два Exchange2016 сервера в одном сайте, с одинаковыми адресами виртуальных каталогов.

  • Это внутри сети происходит или снаружи?

    scientia potentia est
    My blog

  • 1) Сертификат

    2) Сертификат

    3) Установить последние обновления


    Обновления последние,

    с сертификатами так же проблемы быть не должно, для локальных (company.local) подключений используется сертификат локального CA, для внешних (company.com) используется выданный глобальным CA.

    еще добавлю что Exchange мигрировал с 2010 на 2016

    + сейчас есть два Exchange2016 сервера в одном сайте, с одинаковыми адресами виртуальных каталогов.

    Надо такие вещи сразу писать https://support.microsoft.com/en-us/kb/2990117
  • Добавлю:

    "На текущий момент имеются следующие известные проблемы, которые могут попортить кровь в процессе миграции и которых можно избежать в процессе предварительной подготовки:

    • Имеется известная бага/фича в работе приложения Autodiscover в Exchange 2016. Приложение кеширует данные в течение двух часов. Сразу после миграции ящика Autodiscover продолжит отдавать клиенту закэшированные данные со старыми настройками клиента. Это приводит к тому, что клиент Outlook в течение жизни кэша перенаправляется на старый сервер. Обходных путей решения проблемы ровно два:

    – делаем вручную или автоматически recycle пула Autodiscover, это приведёт к сбросу кэша и клиент получит новые данные при следующем обращении
    – пересоздаём локальный почтовый профиль пользователя

    • В старых версиях Exchange 2010 в инструкциях по планированию очень невнятно описаны рекомендации по планированию пространства имен для разных типов клиентов. В частности, сильно вскользь затронут момент с совпадением fqdn массива серверов CAS (CAS-Array) и точек подключения веб-клиентов (OA). В общем, это не рекомендуется делать. То есть RPC-клиенты будут обращаться к CAS-Array по одному доменному имени, а веб-сервисы должны быть доступны по другому. Если этого не придерживаться, то при миграции мы получим неработающих клиентов на новых серверах, как это описано тут. Связано это с тем, что Exchange 2016 про RPC-клиентов не знает вообще ничего. Всех клиентов он по умолчанию считает веб-клиентами. Сразу после миграции клиент попытается подключиться к CAS-Array (точка подключения для RPC-клиентов) на новом сервере, который про CAS-Array не знает ничего. На этом в общем то всё для клиента и закончится.

    Самым правильным в данной ситуации, с моей точки зрения, будет поменять fqdn точки подключения веб-клиентов. Процедура эта проходит прозрачно для клиентов и не требует перезапуска, в отличие от смены fqdn точки подключения RPC-клиентов. По ссылке выше так же указан вариант с принудительным переключением всех клиентов на OA. Мне он нравится меньше, так как требует предварительных подготовительных работ."  Автор

    • Предложено в качестве ответа Guznin KA 9 июня 2016 г. 10:23
    • Отменено предложение в качестве ответа tyua 9 июня 2016 г. 11:35
  • Привет.

    В новосозданной лабе получил такую же ситуацию.

    DC - Windows Server 2012 R2, все доступные обновления.

    Exchange Server 2016 CU1 - Windows Server 2012 R2, все доступные обновления.

    CS - Windows Server 2012 R2, все доступные обновления.

    После установки Exchange Server настроил виртуальные каталоги, установил сертификат на службы IIS, SMTP. Сертификат выдан внутренним CS:

    Subject: CN=mail.demo.lab

    Provider = Microsoft RSA SChannel Cryptographic Provider

    EKU = Server Authentication

    SAN = 

    DNS Name=mail.demo.lab
    DNS Name=AutoDiscover.demo.lab
    DNS Name=demo.lab

    CRL доступны, опубликованы через HTTP.

    Клиент - Windows 10 Enterprise 1511 x64 RU, Office 2016 ProPlus x86 RU, установлены все доступные обновления.

    Теперь симптомы. При запуске Outlook, НЕ всегда, происходит запрос логина-пароля. Нажимаю Отмена, в статус баре висит сообщение "Требуется пароль". Создаю и отправляю письмо, или просто нажимаю на "Требуется пароль" - все становится ок, в статус баре - "Подключено к Microsoft Exchange". Пока не понял, в тему или нет - в момент запроса учетных данных в логе Application появляется событие с кодом 63, источник Outlook, сообщение - "

    Не удалось выполнить запрос веб-службы Exchange GetAppManifests. Код ошибки: 0.
    Код ответа HTTP: 401

    Дополнительное сообщение об ошибке: 
    Произошла неизвестная внутренняя ошибка. Код ошибки: 80004005".

    Пока нашел в логах HttpProxy\Ews такое:

    2016-06-07T13:01:23.297Z,e535e429-e3ac-48a2-a5ad-19dee2eb93f3,15,1,396,30,{F0A716A8-E1DA-420E-956B-538CED39B0D6},Ews,mail.demo.lab,/ews/exchange.asmx,,Bearer,false,,,,Microsoft Office/16.0 (Windows NT 6.2; Microsoft Outlook 16.0.4366; Pro),10.32.20.9,EXCH,401,,,POST,,,,,,,,,427,,,,,,,,,,,,,,,13,,,,,,,,,,,,,,13,,13,13,,,,BeginRequest=2016-06-07T13:01:23.281Z;CorrelationID=<empty>;SharedCacheGuard=0;EndRequest=2016-06-07T13:01:23.297Z;S:ServiceLatencyMetadata.AuthModuleLatency=13;'S:ServiceCommonMetadata.OAuthError=Flighting is not enabled for domain ''rybin@demo.lab''.';S:ServiceCommonMetadata.OAuthErrorCategory=OAuthNotAvailable;S:ServiceCommonMetadata.OAuthExtraInfo=OAuthLatencies:AfterTHRPA_0#|;I32:ATE.C[dc.demo.lab]=2;F:ATE.AL[dc.demo.lab]=0;I32:ADS.C[dc]=1;F:ADS.AL[dc]=2.4615;I32:ADR.C[dc]=1;F:ADR.AL[dc]=1.9592,,2016-06-07T13:01:23.297Z,e535e429-e3ac-48a2-a5ad-19dee2eb93f3,15,1,396,30,{F0A716A8-E1DA-420E-956B-538CED39B0D6},Ews,mail.demo.lab,/ews/exchange.asmx,,Bearer,false,,,,Microsoft Office/16.0 (Windows NT 6.2; Microsoft Outlook 16.0.4366; Pro),10.32.20.9,EXCH,401,,,POST,,,,,,,,,427,,,,,,,,,,,,,,,13,,,,,,,,,,,,,,13,,13,13,,,,BeginRequest=2016-06-07T13:01:23.281Z;CorrelationID=<empty>;SharedCacheGuard=0;EndRequest=2016-06-07T13:01:23.297Z;S:ServiceLatencyMetadata.AuthModuleLatency=13;'S:ServiceCommonMetadata.OAuthError=Flighting is not enabled for domain ''rybin@demo.lab''.';S:ServiceCommonMetadata.OAuthErrorCategory=OAuthNotAvailable;S:ServiceCommonMetadata.OAuthExtraInfo=OAuthLatencies:AfterTHRPA_0#|;I32:ATE.C[dc.demo.lab]=2;F:ATE.AL[dc.demo.lab]=0;I32:ADS.C[dc]=1;F:ADS.AL[dc]=2.4615;I32:ADR.C[dc]=1;F:ADR.AL[dc]=1.9592,,

    И действительно, если отключить режим кеширования - запроса учетных данных не происходит.

    Собственно ковыряю дальше.


  • что еще заметил, при проверке autodiscover, иногда в журнале видно две строки

    getlasterror=0 httpstatus=401
    getlasterror=0 httpstatus=200
    иногда только одна 
    getlasterror=0 httpstatus=200

    9 июня 2016 г. 13:18
  • что еще заметил, при проверке autodiscover, иногда в журнале видно две строки

    getlasterror=0 httpstatus=401
    getlasterror=0 httpstatus=200
    иногда только одна 
    getlasterror=0 httpstatus=200

    Это нормально, стсатус 200 все ОК
    9 июня 2016 г. 13:34
  • Это нормально, стсатус 200 все ОК

    200 да, но вот почему иногда появляется строка с ответом 401?
    9 июня 2016 г. 14:27
  • Это нормально, стсатус 200 все ОК

    200 да, но вот почему иногда появляется строка с ответом 401?

    Это тоже нормально 

    401 Unauthorized — для доступа к запрашиваемому ресурсу требуется аутентификация. В заголовке ответ должен содержать поле WWW-Authenticate с перечнем условий аутентификации. Клиент может повторить запрос, включив в заголовок сообщения поле Authorization с требуемыми для аутентификации данными.

    9 июня 2016 г. 14:32
  • Fiddler запустите и посмотрите им обращение покакме U|RL идет (которое провоцирует запрос логина и пароля)

    Сазонов Илья

    https://isazonov.wordpress.com/

    9 июня 2016 г. 15:38
    Модератор
  • Fiddler запустите и посмотрите им обращение покакме U|RL идет (которое провоцирует запрос логина и пароля)

    Сазонов Илья

    https://isazonov.wordpress.com/

    дело в том, что при запросе логина/пароля запуск outlook не прекращается, в итоге в Fiddler я вижу разные URL, как понять какой из них запрашивает пароль?

    #	Result	Protocol	Host	URL	Body	Caching	Content-Type	Process	Comments	Custom	
    
    27	401	HTTPS	autodiscover.company.local	/Autodiscover/Autodiscover.xml	0			outlook:1904			
    35	200	HTTPS	autodiscover.company.local	/Autodiscover/Autodiscover.xml	4 089	private	text/xml; charset=utf-8	outlook:1904			
    
    268	401	HTTPS	autodiscover.company.local	/Autodiscover/user..company.com/Autodiscover.xml	0			outlook:1904			
    274	200	HTTPS	autodiscover.company.local	/Autodiscover/user..company.com/Autodiscover.xml	4 649	private	text/xml; charset=utf-8	outlook:1904			
    
    13	401	HTTPS	mail.company.local	/EWS/Exchange.asmx	0			outlook:1904			
    16	200	HTTPS	mail.company.local	/EWS/Exchange.asmx	62 903	private	text/xml; charset=utf-8	outlook:1904			
    
    104	401	HTTPS	mail.company.local	/mapi/emsmdb/?MailboxId=078a3fac-5658-4517-9f35-e17076dea17e@company.com	0			outlook:1904			
    106	200	HTTPS	mail.company.local	/mapi/emsmdb/?MailboxId=078a3fac-5658-4517-9f35-e17076dea17e@company.com	431	private	application/mapi-http	outlook:1904			
    

    10 июня 2016 г. 9:47
  • Предполагаю что инициирует запрос логина/пароля - EWS
    т.к. сразу после ввода пароля, в Fiddler появляются строки /EWS/Exchange.asmx

    но почему EWS может запрашивать пароль, в настройках каталога установлено "Встроенная проверка подлинности Windows"


    10 июня 2016 г. 12:00
  • в логах \Logging\HttpProxy\Ews вижу такое

    2016-06-10T12:55:59.705Z,d178dd5f-2a5a-4465-861e-bcbd4ce7d977,15,1,396,30,{D8FCE18A-2755-48AE-914E-6D60579E9EF5},Ews,mail.company.local,/EWS/Exchange.asmx,,Bearer,false,,,,Microsoft Office/16.0 (Windows NT 6.1; Microsoft Outlook 16.0.6925; 
    Pro),10.0.1.36,EX01,401,,,POST,,,,,,,,,729,,,,,,,,,,,,,,,7,,,,,,,,,,,,,,7,,7,7,,,,BeginRequest=2016-06-10T12:55:59.705Z;
    CorrelationID=<empty>;
    SharedCacheGuard=0;
    EndRequest=2016-06-10T12:55:59.705Z;S:ServiceLatencyMetadata.AuthModuleLatency=7;
    'S:ServiceCommonMetadata.OAuthError=Flighting is not enabled for domain ''user@company.com''.';S:ServiceCommonMetadata.OAuthErrorCategory=OAuthNotAvailable;
    S:ServiceCommonMetadata.OAuthExtraInfo=OAuthLatencies:AfterTHRPA_0#|;
    I32:ADS.C[DC2]=1;
    F:ADS.AL[DC2]=2.0661;
    I32:ADR.C[DC2]=1;
    F:ADR.AL[DC2]=1.26;
    I32:ATE.C[DC2.company.local]=2;
    F:ATE.AL[DC2.company.local]=0,,

    10 июня 2016 г. 13:12
  • Сначала подождите пока отработаются все обращения.Потом введите неправильный пароль и по ошибке увидите, куда было обращение.

    Сазонов Илья

    https://isazonov.wordpress.com/

    10 июня 2016 г. 13:36
    Модератор
  • Сначала подождите пока отработаются все обращения.Потом введите неправильный пароль и по ошибке увидите, куда было обращение.

    Сазонов Илья

    https://isazonov.wordpress.com/

    да, действительно запрос пароля инициирет EWS,

    но что с этим делать дальше? 

    10 июня 2016 г. 13:41
  • Но у вас выше было

    13 401 HTTPS mail.company.local /EWS/Exchange.asmx 0 outlook:1904
    16 200 HTTPS mail.company.local /EWS/Exchange.asmx 62 903 private text/xml; charset=utf-8 outlook:1904  

    т.е. прокатывает EWS


    Сазонов Илья

    https://isazonov.wordpress.com/

    10 июня 2016 г. 13:46
    Модератор
  • так и есть, прокатывает, и как уже выше говорил Павел, если я при запросе пароля нажимаю отмена, в статус баре висит "Требуется пароль", если по этой надпись кликнуть, в статус баре появляется "Подключено к Microsoft Exchange" и Outlook работает нормально.

    хотя так происходит не всегда, иногда все же 

    200 HTTPS mail.company.local /EWS/Exchange.asmx

    не появляется

    • Изменено tyua 10 июня 2016 г. 14:12
    10 июня 2016 г. 13:58
  • Это на одном компьютере проблема или на всех?

    Сазонов Илья

    https://isazonov.wordpress.com/

    10 июня 2016 г. 14:14
    Модератор
  • на всех что я включал режим "режима кэширования" такая проблема появлялась. 

    10 июня 2016 г. 14:19
  • А версия Office какая? 2016? 2013 пробовали?

    Сазонов Илья

    https://isazonov.wordpress.com/

    14 июня 2016 г. 3:36
    Модератор
  • А версия Office какая? 2016? 2013 пробовали?



    Да, Office 2016.

    Попробывал установить 2013, похоже там такой проблемы нет.

    17 июня 2016 г. 13:56
  • Вот нашел статью в блоге, похоже тот самый баг обсуждаем:

    https://ingogegenwarth.wordpress.com/2016/04/19/outlook-2016-prompt-for-credentials/

    Комментарий от 23 июня:

    "I’ll update the post as soon as the issue is fixed".


    24 июня 2016 г. 4:17
  • Просто отключить поддержку  ADAL в реестре, поставив ноль в значение EnableADAL. Как временное решение.

    "Да, Office 2016.

    Попробывал установить 2013, похоже там такой проблемы нет."

    Он по дефолту не включен в 2013, но можно включить.

    5 июля 2016 г. 11:39
  • К сожалению данное решение не всегда работает. Оно согласно статье опробовано автором на Office 365.

    Проверено на Win 10 Ent 1511/1607 и Win 7 Ent + все фиксы

    Office 2016 Pro Plus x86 RU 16.0.4405.10, Office 2016 Pro Plus x86 RU 16.0.4266.1001

    Итого

    Win 10 Ent 1511 + 16.0.4266.1001 - отключение ADAL не помогает или не работает указанным методом

    Win 10 Ent 1511 + 16.0.4405.10 - отключение ADAL помогает

    Win 10 Ent 1607 + 16.0.4405.10 - отключение ADAL помогает

    Win 7 Ent + все фиксы + Office 2016 Pro Plus x86 RU 16.0.4405.10 - отключение ADAL не помогает, включение то же. Установил Office 2013 Pro Plus x86 15.0.4569.1506, работает.


    • Изменено Панов Денис 30 августа 2016 г. 6:54 не указан номер сборки офиса 2013
    30 августа 2016 г. 6:44
  • К сожалению данное решение не всегда работает. Оно согласно статье опробовано автором на Office 365.


    Ну конечно, оно опробовано на Office 365, поскольку чтобы использовать ADAL локально на своих серверах на площадке, необходимо развернуть и настроить его. В облаке-то оно есть давно и работает, аутлук просто использует возможности МА. Проблема в том, как я писал выше, версия 2013 не использует современную аутентификацию первым методом проверки подлинности, а версия 2016 использует как раз его. И здесь скорее всего, есть какой-то досадный баг. Посему- либо пользуем воркэраунд, либо открываем кейс в поддержку, либо возносим молитвы и ждём, что настанет день, когда этот баг закроют. В любом случае, спасибо вам за развернутый ответ с билдами, кому-нибудь, думаю обязательно пригодится.
    30 августа 2016 г. 9:00
  • Есть предположение, что это связано с MAPIoHTTP - можете отключить для проверки.

    Сазонов Илья

    https://isazonov.wordpress.com/

    30 августа 2016 г. 10:23
    Модератор
  • так вроде 2016 Exchange только его и использует? как клиенты Outlook 2016 будут подключаться к серверу?

    разобрался, проверю. MAPI я так понял нужно отключить на клиенте. На сервере отключать не надо?

    • Изменено Панов Денис 30 августа 2016 г. 17:17 плохое знание предмета
    30 августа 2016 г. 16:54
  • В 2016 это стало возможным делать на уровне ящика, а не полностью на организацию. Так что не до конца разобрались.

    https://technet.microsoft.com/ru-ru/library/dn635177%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396

    30 августа 2016 г. 18:45
  • Спасибо за ссылку. Про отключение на уровне ящика в курсе. Просто есть возможность на клиенте отключить MAPI через реестр. https://technet.microsoft.com/ru-ru/library/dn610984.aspx

    Временное отключение MAPI по протоколу HTTP для проверки или устранения неполадок

    Если вы успешно подключили MAPI по протоколу HTTP на обоих ваших клиентах Exchange Server 2013 и Outlook, но в последствии вам необходимо временно отключить его для проверки или устранения неполадок, измените следующее значение в регистре для клиента Outlook:

    HKEY_CURRENT_USER/Software/Microsoft/Exchange

    Имя значения: MapiHttpDisabled

    Тип: DWORD

    Значение: 1

    Это простое изменение значения в реестре клиента убережет Outlook от демонстрирования его возможности подключения MAPI по протоколу HTTP в запросах автообнаружения, которые отсылаются Exchange Server.


    31 августа 2016 г. 4:01
  • Илья, попался мне особенный клиент

    Win 10 Ent 1511 + 16.0.4405.10, ранее в 100% случаев отключение ADAL помогало, на этом нет (моноблок HP 7320), все обновы стоят, но стабильно был запрос пароля. Восспользовался вашей наводкой, отключил MAPIoHTTP на клиенте. Заметил, что даже после перезапуска клиент не сразу переходит на RPC/HTTP, хотя тест autodiscover показывает что используется Exchange RPC протокол. Через минут 5-10 начинает и клиент при запуске использовать RPC/HTTP и проблема с запросом пароля уходит. Спасибо. MAPI отключал через реестр на самом клиенте.

    5 сентября 2016 г. 2:51
  • Решение проблемы с запросом пароля клиентом Outlook при подключении к Exchange по протоколу MAPI.

    На уровне леса через оснастку домены и доверие добавляем новый UPN-суффикс, соответствующий вашему почтовому домену, например contoso.com (https://support.microsoft.com/en-us/kb/243629). В настройках учетной записи в AD в имени входа пользователя в выпадающем списке меняем домен contoso.local на contoso.com. Если имя юзера до @ не совпадает с е-майлом на Exchange, то похоже нужно поменять и его, т.е. привести в полное соответствие с е-майлом.

    !!!! Имя входа пользователя (пред-Windows 2000) не трогаем, оставляем как есть. !!!

    Эта проблема связана с тем, что Outlook при автоопределении настроек через Autodiscover использует имя входа в формате UPN. При этом User Principal Name в AD должно соответствовать е-майлу пользователя.