none
Outlook 2010 просит пароль для подключения к Exchange 2013 RRS feed

  • Вопрос

  • Развернул в тестовой среде Exchange 2013 + Lync 2013. Все под Server 2012.

    Для проверки совместимости клиентских приложений для начала развернул Outlook 2010 под XP SP3 и Office 2013 под Windows 7 

    Outlook 2013 подключился вообще без вопросов. А вот Outlook 2010 дважды затребовал пароль первый раз при подключении к серверу на этапе автоконфигурации учетной записи, второй раз при подключении к почтовому ящику.

    При переподключении Outlook 2010 так же запрашивает пароль. Настройки профиля пользователя в 2010-м и 2013-м Outlook полностью идентичны.

    Есть какие либо мысли?

    *Updated

    Windows 7 + Office 2010 проблемы не возникает.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 14 ноября 2012 г. 12:28
    14 ноября 2012 г. 10:44

Ответы

  • Очередной workaround (для наглядности сервер все тот же server1.contoso.com):

    1. На CAS включаем Outlook Anywhere (даже если не будет использоваться)
    2. Убеждаемся, что у сертификата основное имя server1.contoso.com
    3. Выполняем команду на сервере: Set-OutlookProvider EXPR -CertPrincipalName "msstd:server1.contoso.com"
    4. Перезапускаем IIS: iisreset /noforce /timeout:180
    5. немного ждем

    Все, клиенты с Windows XP подключаются без запроса учетных данных.

    Следующим шагом нужно будет проверять, как при таких настройках будут подключаться клиенты с Windows XP снаружи. Скорее всего пока не ясно, т.к. снаружи будет совсем другой адрес (тот, что мы прописали в пункте 1, а сравниваться будет с пунктом 3).


    Blog - Pechkin.pro

    • Предложено в качестве ответа Vlasov_SV 27 декабря 2012 г. 6:35
    • Помечено в качестве ответа Dmitry.I 27 декабря 2012 г. 8:44
    19 ноября 2012 г. 15:29
    Отвечающий

Все ответы

  • Добрый день.

    Попробуйте:

    Set-OutlookProvider EXPR -CertPrincipalName:"msstd:domain.com"

    14 ноября 2012 г. 13:47
    Отвечающий
  • Для работы с Exchange 2013 версия Outlook 2010 требует установки как минимум апрельского кумулятивного обновления Office. Но и этого может оказаться недостаточно - ждем очередных обновлений.

    Сазонов Илья http://isazonov.wordpress.com/

    14 ноября 2012 г. 13:55
    Модератор
  • Илья, я же дополнил свое сообщение. Под Windows 7 Outlook 2010 работает нормально, без запроса пароля. Впрочем сейчас накачу все апдейты на 10-й офис под ХР и проверю еще раз.

    Do not multiply entities beyond what is necessary

    15 ноября 2012 г. 4:24
  • Добрый день.

    Попробуйте:

    Set-OutlookProvider EXPR -CertPrincipalName:"msstd:domain.com"

    Это попробовали?
    15 ноября 2012 г. 5:53
    Отвечающий
  • Максим, а для чего именно этот коммандлет пробовать? Проблема существует только на одной из трех клиентских конфигураций, а именно XP SP3 + Outlook 2010. Попробовал и чуда не произошло :) Кстати, проверка автоподключения на клиенте Outlook 2010 под Windows XP выдает интересный результат:

    То есть первый запрос к службе автообнаружения заканчивается получением ответа со статусом "Доступ запрещен"


    Do not multiply entities beyond what is necessary

    15 ноября 2012 г. 10:39
  • У XP несколько иное отношение к проверке сертификатов. Тем более в Outlook 2010 на XP наблюдались проблемы с подключениями через Outlook Anywhere (собственно как и работает сейчас Exchange 2013).

    Первый запрос видимо пытается аутентифицироваться и не получается, второй запрос уже идет с другим протоколом.

    Посмотреть можно, используя Outlook 2010 diagnostic logging (Troubleshooting Outlook 2010 connections)

    Но сначала попробуйте отключить Basic Authentication для виртуального каталога Autodiscover. И повторить автоконфигурацию.

    15 ноября 2012 г. 11:17
    Отвечающий
  • отключение аутентификации Basic не помогло. По-прежнему при проверке автоконфигурации Outlook 2010 (под XP) выходит то, что отражено постом выше.  Дальнейшие исследования к сожалению прерываются на неделю :(


    Do not multiply entities beyond what is necessary

    16 ноября 2012 г. 6:44
  • Итак, судя по моим тестам проблему можно идентифицировать как некорректную работу Windows XP при доступе к IIS с включенной Windiws Authentication. 

    Blog - Pechkin.pro

    18 ноября 2012 г. 9:15
    Отвечающий
  • и резюмируя все вышесказанное?

    Do not multiply entities beyond what is necessary

    19 ноября 2012 г. 4:18
  • Сейчас буду искать подходящие хотфиксы. Аналогичные при проблеме RD RemoteApp + SSO + Windows XP.

    Пока, мне кажется, для всех пользователей Windows XP будет появляться запрос учетных данных.


    Blog - Pechkin.pro

    19 ноября 2012 г. 5:44
    Отвечающий
  • Проблема оказалась в другом. Аналогично проблеме в работе Outlook Anywhere на Windows XP.

    Если в двух словах, то Windows XP при проверке существования в сертификате имени, к которому подключается Outlook, проверяет только основное имя в сертификате, и не смотрит на SAN. Windows 7 делает такую проверку по всем именам.

    Пока нашел такой способ это обойти (имя Exchange сервера например server1.contoso.com):

    • убедиться, что сертификат для IIS в Exchange имеет основное имя server1.contoso.com
    • в свойствах учетной записи outlook, на вкладке "Connections" зайти в "Exchange Proxy Settings"
    • убедиться, что в первом поле указан сервер "server1.contoso.com"
    • выбрать "connect using SSL only"
    • выбрать "Only connect to proxy servers..." и вписать "msstd:server1.contoso.com"
    • перезапустить Outlook

    Настройки хватает на 1 перезапуск Outlook. Далее эти параметры сбрасывает Autodiscover.

    К сожалению, сейчас не хватает времени "добить" эту проблему.


    Blog - Pechkin.pro

    19 ноября 2012 г. 10:47
    Отвечающий
  • Этот метод я еще на той неделе испытал, но в промышленной среде это, к сожалению, не выход из положения :(

    Do not multiply entities beyond what is necessary

    • Предложено в качестве ответа Sergey.zhukov 28 января 2014 г. 6:04
    19 ноября 2012 г. 11:45
  • Очередной workaround (для наглядности сервер все тот же server1.contoso.com):

    1. На CAS включаем Outlook Anywhere (даже если не будет использоваться)
    2. Убеждаемся, что у сертификата основное имя server1.contoso.com
    3. Выполняем команду на сервере: Set-OutlookProvider EXPR -CertPrincipalName "msstd:server1.contoso.com"
    4. Перезапускаем IIS: iisreset /noforce /timeout:180
    5. немного ждем

    Все, клиенты с Windows XP подключаются без запроса учетных данных.

    Следующим шагом нужно будет проверять, как при таких настройках будут подключаться клиенты с Windows XP снаружи. Скорее всего пока не ясно, т.к. снаружи будет совсем другой адрес (тот, что мы прописали в пункте 1, а сравниваться будет с пунктом 3).


    Blog - Pechkin.pro

    • Предложено в качестве ответа Vlasov_SV 27 декабря 2012 г. 6:35
    • Помечено в качестве ответа Dmitry.I 27 декабря 2012 г. 8:44
    19 ноября 2012 г. 15:29
    Отвечающий
  • Я уже неделю бьюсь с этой проблемой , получилось решить? win xpsp3 = outlook 2010, windows 2012=exchange2013


    у меня к стате на сервере iss 2 сайта создалось, это нормально? default и ms exchange, при отключении второго OWA продолжает работать , так должно быть?
    • Изменено OO.L 6 декабря 2012 г. 14:41
    6 декабря 2012 г. 14:37
  • Да. Так и должно быть (IIS).

    Пока нету времени грамотно подойти к созданию тестовой среды для поиска подходящего решения для клиентов на WinXP.


    Blog - Pechkin.pro

    6 декабря 2012 г. 16:26
    Отвечающий
  • Сделал все как описано в статье, при подключении outlook постоянно запрашивает пароль (win7 outlook 2007 sp3(c последними обновлениями от 2012)), при отмене ввода пароля грит (невозможно открыть почтовые папки используемые по умолчанию. Необходимо подключение к серверу ME с текущей конфигурацией для синхронизации папок с файлом автономных папок)

    Можете чтонить подсказать? 

    установил новый офис 2013 на win 7 - такаяже ситуация... либопостоянно пароль запрашивает , при отмене ввода пароля выдает ошибку выше... я же мозг сломал .. вчем проблема может быть? через owa все ок. и из вне по https:// можно зайти на owa , а через outlook не пускает,

    надо ли устанавливать офис на сервак?? для работы клиентов с outlook?

    • Изменено OO.L 7 декабря 2012 г. 12:32
    7 декабря 2012 г. 2:51
  • Сегодня воспроизвел ошибку с запросом пароля при первом подключении к серверу Exchange 2013, клиент WindowsXP.

    Решением для данной траблы было добавление адреса CAS сервера в IE в локальную интрасеть. После этого на других учетках autodiscover прошел успешно. При тестировании переключения базы между серверами майлбокс никакие окна аутентификации не выскакивали.


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    25 декабря 2012 г. 7:14
  • Воспроизвести почему-то не удалось. Все так же запрашивает пароль.

    Blog - Smtp25.ru

    25 декабря 2012 г. 7:58
    Отвечающий
  • Проблема не может быть связана с отсутствием по умолчанию CredSSP в XP?


    Сазонов Илья http://isazonov.wordpress.com/

    25 декабря 2012 г. 8:31
    Модератор
  • Пробовал включать через реестр - не помогло.

    http://support.microsoft.com/kb/951608/en-us

    1. Click Start, click Run, type regedit, and then press ENTER.
    2. In the navigation pane, locate and then click the following registry subkey:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    3. In the details pane, right-click Security Packages, and then click Modify.
    4. In the Value data box, type tspkg. Leave any data that is specific to other SSPs, and then click OK.
    5. In the navigation pane, locate and then click the following registry subkey:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
    6. In the details pane, right-click
      SecurityProviders
      , and then click Modify.
    7. In the Value data box, type credssp.dll. Leave any data that is specific to other SSPs, and then click OK.
    8. Exit Registry Editor.
    9. Restart the computer.


    Blog - Smtp25.ru

    25 декабря 2012 г. 8:55
    Отвечающий
  • В моей конфигурации 1 CAS + 2 MBX, основное имя сертификата - имя сервера CAS. WinXP - все обновления + office 2010 - все обновления на MS Outlook включая последнее ноябрьское (скачивал через catalog update вручную). С CredSSP не игрался.


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    25 декабря 2012 г. 9:30
  • Мне помогло конфигурирование параметра "Only connect to proxy servers that have this principal name in their certificate" через реестр (именно так, а не через GUI)

    сделать это можно следующим образом:

    - с помощью adm шаблона http://support.microsoft.com/kb/2426686

    или

    - с помощью правки реестра

    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Outlook\RPC]
    "ProxyServerPrincipalName"="msstd:*.mydomain.ru"

    (т.е. все как тут сказано -

    http://blogs.technet.com/b/kabans/archive/2011/06/07/outlook-anywhere-windows-xp.aspx
    , но через правку реестра, и правку только одного параметра)

    если кто-то проблему до сих пор не решил, то, пожалуйста, проверьте сработает ли данный способ у вас
    21 января 2013 г. 10:23
  • Наблюдается такая же проблема. 

    Работают следующие конфигурации

    Windows7+Office 2007SP3 (12.0.6662.5000) заработал только после (Set-OutlookProvider EXPR -CertPrincipalName "msstd:server1.contoso.com") и настройки [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\RPC]
    "ProxyServerPrincipalName"="msstd:server1.contoso.com"

     Windows7+Office 2010SP1(14.0.6131.5000) работал и без (Set-OutlookProvider EXPR -CertPrincipalName "msstd:server1.contoso.com")  

     Windows2008R2+Office 2007SP3 (12.0.6662.5000) заработал только после (Set-OutlookProvider EXPR -CertPrincipalName "msstd:server1.contoso.com")  и настройки [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\RPC]
    "ProxyServerPrincipalName"="msstd:server1.contoso.com"

    Windows2008R2+Office 2010SP1(14.0.6131.5000)  работал и без (Set-OutlookProvider EXPR -CertPrincipalName "msstd:server1.contoso.com") 

    Не удается настроить на Windows xp и Windows 2008 server c версией офиса 2007 и 2010, постоянный запрос пароля. Пересоздавал сертификат - не помогло. На данный момент создан самоподписанный сертификат сервера server.domain.ru, SAN имена   server.domain.ru и server. (пробовал оставлять только  server.domain.ru не помогло) Сертификат добавлен в доверенные корневые центры сертификации. Сам  server.domain.ru добавлен в узлы интрасети в IE. 

    4 февраля 2013 г. 3:54
  • Во время внедрения exch2013 заметил у клиента вот такую особенность. При неправильно выставленном ключе в политике "Конфигурация компьютера-конфигурация Windows-Параметры безопасности-Локальные политики-Параметры безопасности-Сетевая безопасность: уровень проверки подлинности LAN Manager. При первом подключении учётки exchange так же выскакивает запрос пароля.

    Опытным путем выявил рабочие параметры:

    Отправлять LM и NTLM - использовать сеансовую безопасность NTLMv2 при согласовании

    Отправлять только NTLMv2-ответ: клиенты используют только проверку подлинности NTLMv2

    Отправлять только NTLMv2-ответ и отказывать LM

    Отправлять только NTLMv2-ответ и отказывать LM и NTLM

    Значение по умолчанию:

    Windows 2000 и Windows XP: отправлять ответы LM и NTLM на сервер

    Windows Server 2003: отправлять только ответ NTLM

    Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2: отправлять только ответ NTLMv2


    MCP,MCTS
    Если вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    4 февраля 2013 г. 5:04
  • Решил свою проблему. Поставил в настройках сервера Outlook Anywhere метод проверки подлинности "NTLM" вместо "Согласование" и все заработало.
    4 февраля 2013 г. 5:40
  • Есть такая проблема.

    Оутлук на XP не проверяет дополнительные имена в сертификате.

    Смотрите как обозвали сервер екченжа в автодискавери. На это имя сертификат, остальные имена дополнительными. Сертификат назначить службе IIS.


    21 марта 2013 г. 12:17
  • РЕШЕНИЕ:

    войти в панель управления сервером (ecp)>вкладка серверы>свойства своего сервера>Outlook Anywhere

    в раскрывающемся списке "укажите метод проверки подлинности для использования внешними клиентами организации при подключении.." выбрать вместо согласования > NTLM.

    P.S.: Найти внятный ответ в интернете не удалось - натолкнули сообщения про Outlook Anywhere и Autodiscover сбрасывает метод проверки пароля.


    26 апреля 2013 г. 12:39
  • Такая же проблема была и у меня на машине с Outlook 2010 на Windows XP при подключении к Exchange 2016. Логин и пароль пользователя запрашивался бесконечно, не давая запустить Outlook.

    Решение было такое:

    1. На Exchange сервере с ролью CAS замените используемый сертификат на новый (не групповой wildcard).

    В запросе нового сертификата для Exchange CAS имя основного узла должно совпадать с именем узла, который вы прописали в параметре ExternalURL (имя внешнего узла) в настройках сервера для Outlook Anywhere (Мобильный Outlook), например, mail.company.com. В качестве альтернативных (дополнительных) узлов в сертификате добавьте внутренние имена узлов Exchange CAS, узел autodiscover.company.com и другие узлы, которые вы используете для доступа к Exchange CAS, например owa.company.com.

    Полученный сертификат скачивайте в формате "Base64-шифрование". http://blog.bissquit.com/mail-servers/exchange-server/lokalnyj-cs-zapros-sertifikata-exchange-2013/

    2. Оставьте в настройках CAS сервера для Outlook Anywhere метод проверки подлинности "Согласование" и "разрешить разгрузку SSL" как было по-умолчанию.

    3. Для виртуального каталога Autodiscover проверьте, что опция "Обычная проверка подлинности" включена.

    4. Установите на клиентской машине обновление KB2965295 для Outlook 2010.

    5. Импортируйте корневой сертификат центра сертификации, который выпустил сертификат для вашего Exchange сервера в доверенные корневые центры сертификации на клиентской машине. Если сертификат самоподписанный, то тогда импортируйте самоподписанный сертификат в доверенные корневые ЦС.

    Этих пунктов мне было достаточно, чтобы Outlook 2010 на Windows XP начал нормально работать с Exchange 2016.

    15 июня 2016 г. 15:15