none
Не работает Windows Authentication на новом CAS сервере RRS feed

  • Вопрос

  • Предыстория, в организации был один Exchange 2013 CU9 (CAS,MB) и держал более 5000 ящиков, было принято решение разделить роли и нагрузку. Сейчас есть два сайта (А,В), в сайте А  Exchange 2013 CU9 cas + Exchange 2013 CU9 mb все работает, сайт В с ним есть проблемы.

    Сайт В представляет из себя:

    Exchange 2013 CU9 (CAS,MB) - mail10-cof

     Exchange 2013 CU9 cas - cas01-cof

     Exchange 2013 CU9 mb -mb01-cof

     Exchange 2013 CU9 mb - mb02-cof

     Когда во внутренне зоне перекидываю dns запись mail.bbbb.com на cas01-cof, что бы вывести из эксплуатации mail10-cof, перестает работать windows authentication, на следующих сервисах owa,ecp,ews. Подскажите куда копать, и вчем может быть причина. 

    Конфигурация виртуальных каталогов cas серверов:

    Get-OwaVirtualDirectory -Server mail10-cof 

    BasicAuthentication                                 : False
    WindowsAuthentication                               : True
    DigestAuthentication                                : False
    FormsAuthentication                                 : False
    LiveIdAuthentication                                : False
    AdfsAuthentication                                  : False
    OAuthAuthentication                                 : False

    InternalUrl                                         : https://mail.bbbb.com/owa
    ExternalUrl                                         : https://mail.bbbb.com/owa

     Get-OwaVirtualDirectory -Server cas01-cof 

    BasicAuthentication                                 : False
    WindowsAuthentication                               : True
    DigestAuthentication                                : False
    FormsAuthentication                                 : False
    LiveIdAuthentication                                : False
    AdfsAuthentication                                  : False
    OAuthAuthentication                                 : False

    InternalUrl                                         : https://mail.bbbb.com/owa
    ExternalUrl                                         : https://mail.bbbb.com/owa

    Get-OutlookAnywhere -Server cas01-cof

    ServerName                         : CAS01-COF
    SSLOffloading                      : True
    ExternalHostname                   : mail.bbbb.com
    InternalHostname                   : mail.bbbb.com
    ExternalClientAuthenticationMethod : Ntlm
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Basic, Ntlm, Negotiate}
    XropUrl                            :
    ExternalClientsRequireSsl          : True
    InternalClientsRequireSsl          : True

    Get-OutlookAnywhere -Server mail10-cof

    ServerName                         : MAIL10-COF
    SSLOffloading                      : True
    ExternalHostname                   : mail.bbbb.com
    InternalHostname                   : mail.bbbb.com
    ExternalClientAuthenticationMethod : Ntlm
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Ntlm}
    XropUrl                            :
    ExternalClientsRequireSsl          : True
    InternalClientsRequireSsl          : True


    • Изменено Didenko.g 30 мая 2016 г. 13:01

Ответы

  • Нашел решение, проблема бы на IIS c windows authentication, не работал (negotiate), в приоритетах поставил первым NTLM вторым negotiate, и все заработало. 
    • Помечено в качестве ответа Didenko.g 8 июня 2016 г. 14:53
    8 июня 2016 г. 14:53
  • Докопался до сути, случай уникальны, как не странно виновата миграция с  Exchange 2010, для него создавались SPNs записи, так вот старый cas сервер mail10-cof имел такие записи по имени mail.bbbb.com их необходимо было удалить. Ниже ссылка на статью которая помогла в решении 

    https://social.technet.microsoft.com/Forums/en-US/2a30d5ed-98aa-43b7-9d8a-eb566e4bb882/cannot-make-autodiscovery-work-internally-401-the-target-principal-name-is-incorrect?forum=exchangesvrgeneral

     
    • Помечено в качестве ответа Didenko.g 10 июня 2016 г. 18:28
    • Изменено Didenko.g 10 июня 2016 г. 18:29
    10 июня 2016 г. 18:28

Все ответы

  • Добрый

    По моему нужно еще BasicAuthentication включить. И IIS проверить и рестартануть.

  • Какие имена в сертификате?

    з.ы. странный у вас конфиг, там должно быть минимум 4 сервера на 5000 ящиков-то. 

  • Включил, но к сожаления проблема осталась, изменений не произошло, запрос авторизации не проходит  

    get-OwaVirtualDirectory -Server cas01-cof | fl

    InstantMessagingType                                : Ocs
    Exchange2003Url                                     :
    FailbackUrl                                         :
    Name                                                : owa (Default Web Site)
    InternalAuthenticationMethods                       : {Basic, Ntlm, WindowsIntegrated}
    MetabasePath                                        : IIS://cas01-cof.bbbb.com/W3SVC/1/ROOT/owa
    BasicAuthentication                                 : True
    WindowsAuthentication                               : True
    DigestAuthentication                                : False
    FormsAuthentication                                 : False
    LiveIdAuthentication                                : False
    AdfsAuthentication                                  : False
    OAuthAuthentication                                 : False
    DefaultDomain                                       :
    GzipLevel                                           : High
    WebSite                                             : Default Web Site
    DisplayName                                         : owa

  • сертификат wild card *.bbbb.com

    з.ы. странный у вас конфиг, там должно быть минимум 4 сервера на 5000 ящиков-то.  - Это наследие от прошлого админа, которое хочу искоренить.

    Возможно подскажете где искать ошибку в логах, перерыл журнал IIS и событий, зацепок нет, стоит ли искать на MB серверах? Спасибо :)

  • Службу IIS перезапускали после изменений?

    Проверьте в самом IIS что бы был нужный сертификат выбран для 443, Edit Bindings и Authentication для Exchange Back End и Default Web Site поставте Анонимус

  • IIS перезапускал.

    Биндинги проверил Exchange Back End и Default Web Site на всех где задействован SSL стоит верный сертификат wild card *.bbbb.com. Анонимус уже стоял на обеих сайтах.

  • А чем вам FBA не нравится? 

    Вот рабочий конфиг:

    BasicAuthentication                                 : True
    WindowsAuthentication                               : False
    DigestAuthentication                                : False
    FormsAuthentication                                 : True
    LiveIdAuthentication                                : False
    AdfsAuthentication                                  : False
    OAuthAuthentication                                 : False

    

  • В организации на всех сервисах  применяется модель SSO, и FBA к сожалению как то не вписывается в эту модель. Тем более на сервере mail10-cof все работает с такими настройками. Хочу что бы все так же работало на cas01-cof.

    InstantMessagingType                                : Ocs
    Exchange2003Url                                     :
    FailbackUrl                                         :
    Name                                                : owa (Default Web Site)
    InternalAuthenticationMethods                       : {Ntlm, WindowsIntegrated}
    MetabasePath                                        : IIS://MAIL10-COF.bbbb.com/W3SVC/1/ROOT/owa
    BasicAuthentication                                 : False
    WindowsAuthentication                               : True
    DigestAuthentication                                : False
    FormsAuthentication                                 : False
    LiveIdAuthentication                                : False
    AdfsAuthentication                                  : False
    OAuthAuthentication                                 : False
    DefaultDomain                                       : \
    GzipLevel                                           : Low
    WebSite                                             : Default Web Site

     
  • А SSO каким функционалом реализован?
  • Можно с начала? Как ведет себя IE браузер когда Вы пытаетесь подключится к ecp и owa?

    И вот еще интересный момент -FormsAuthentication $true

  • в конфигурации Fba заработало, но к сожалению она не подходит, необходимо что бы работало через Ntlm, WindowsIntegrated

    InternalAuthenticationMethods                       : {Basic, Fba}
    MetabasePath                                        : IIS://cas01-cof.bbbb.com/W3SVC/1/ROOT/owa
    BasicAuthentication                                 : True
    WindowsAuthentication                               : False
    DigestAuthentication                                : False
    FormsAuthentication                                 : True
    LiveIdAuthentication                                : False
    AdfsAuthentication                                  : False
    OAuthAuthentication                                 : False


    • Изменено Didenko.g 30 мая 2016 г. 14:47
  • в конфигурации Fba заработало, но к сожалению она не подходит, необходимо что бы работало через Ntlm, WindowsIntegrated

    InternalAuthenticationMethods                       : {Basic, Fba}
    MetabasePath                                        : IIS://cas01-cof.bbbb.com/W3SVC/1/ROOT/owa
    BasicAuthentication                                 : True
    WindowsAuthentication                               : False
    DigestAuthentication                                : False
    FormsAuthentication                                 : True
    LiveIdAuthentication                                : False
    AdfsAuthentication                                  : False
    OAuthAuthentication                                 : False


    Как реализовано SSO?
  • Когда во внутренне зоне перекидываю dns запись mail.bbbb.com  с mail10-cof на cas01-cof, начинается проблема.

    Поведение IE, в открываю ссылку https://mail.bbbb.com/owa появляется окно для ввода логина и пароля, после го ввода окно возникает снова, и так по кругу. Окно не должно появляться если включено Ntlm, WindowsIntegrated, все должно быть прозрачно 

  • в конфигурации Fba заработало, но к сожалению она не подходит, необходимо что бы работало через Ntlm, WindowsIntegrated

    InternalAuthenticationMethods                       : {Basic, Fba}
    MetabasePath                                        : IIS://cas01-cof.bbbb.com/W3SVC/1/ROOT/owa
    BasicAuthentication                                 : True
    WindowsAuthentication                               : False
    DigestAuthentication                                : False
    FormsAuthentication                                 : True
    LiveIdAuthentication                                : False
    AdfsAuthentication                                  : False
    OAuthAuthentication                                 : False


    Как реализовано SSO?
    Через групповую политику для RDP подключений, 1с использует доменную аутентификацию, еще есть ряд внутреннего сам описного по которое тоже использует AD. пользователь один раз проходит аутентификацию на своем ПК, дальше для работы с ПО ввод логина и пароля не требуется. 
  • У меня есть подозрение что проблема в связке cas + mb, и возможно на самом mb где работает Exchange Back End, пока не знаю как проверить. 
  • У меня есть подозрение что проблема в связке cas + mb, и возможно на самом mb где работает Exchange Back End, пока не знаю как проверить. 

    set-Owavirtualdirectory -identity "E15MBX\owa (Exchange Back End)" -WindowsAuthentication $True -Basicauthentication $false -Formsauthentication $false

    iisreset /noforce

    Set-EcpVirtualDirectory -Identity "E15MBX\ecp (Exchange Back End)" -WindowsAuthentication $true -FormsAuthentication $false

    iisreset /noforce



  • У меня есть подозрение что проблема в связке cas + mb, и возможно на самом mb где работает Exchange Back End, пока не знаю как проверить. 

    set-Owavirtualdirectory -identity "E15MBX\owa (Exchange Back End)" -WindowsAuthentication $True -Basicauthentication $false -Formsauthentication $false

    iisreset /noforce

    Set-EcpVirtualDirectory -Identity "E15MBX\ecp (Exchange Back End)" -WindowsAuthentication $true -FormsAuthentication $false

    iisreset /noforce



    Спасибо попробовал, говорит что нет объекта свойства которого нужно изменить.

    The operation couldn't be performed because object 'CAS01-COF\owa (Exchange Back End)' couldn't be found on 'dc04-cof

     
  • Надо MBX сервер указывать
  • Можно сравнить owa Backend на MBX Серверах, для начала.
  • Как успехи?
  • Сегодня не смотрел, ходил на конференцию по azure stack, спасибо за советы завтра обязательно проверю и отпишусь. 
  • Как успехи?

    Дело точно не в   Exchange Back End. Проверил следующие если создать DNS запись с именем mail1.bbbb.com и присвоить ей адрес cas01-cof тогда аутентификация работает, или любое другое имя, кроме mail.bbbb.com, это означает что дело не в сертификате. 

    Попробую на выходных накатить CU12 возможно поможет, так же есть подозрение на интеграцию с Office 365, у меня поднят гибрид, возможно там задействовано имя mail.bbbb.com.

  • Как успехи?
    Установил последнее кумулятивное обновление CU12, это не помогло в решении проблемы. Еще нашел в списке сертификатов  exchange самозавереный сертификат mail.bbbb.com в списке имен которого нет сервера cas01-cof, так же этот сертификат не используется для IIS, при попытке его удалить удаление проходит без ошибок, но после перезагрузки cas01-cof он появляется снова, возможно в нем проблема.
  • Как успехи?

    Нашел явную ошибку в логе IIS на CAS сервере

     https://mail.bbbb.com/owa/ 401 2 5 0

    https://mail.bbbb.com/owa/ 401 1 2148074254 0

    7 июня 2016 г. 11:06
  • Нашел решение, проблема бы на IIS c windows authentication, не работал (negotiate), в приоритетах поставил первым NTLM вторым negotiate, и все заработало. 
    • Помечено в качестве ответа Didenko.g 8 июня 2016 г. 14:53
    8 июня 2016 г. 14:53
  • Докопался до сути, случай уникальны, как не странно виновата миграция с  Exchange 2010, для него создавались SPNs записи, так вот старый cas сервер mail10-cof имел такие записи по имени mail.bbbb.com их необходимо было удалить. Ниже ссылка на статью которая помогла в решении 

    https://social.technet.microsoft.com/Forums/en-US/2a30d5ed-98aa-43b7-9d8a-eb566e4bb882/cannot-make-autodiscovery-work-internally-401-the-target-principal-name-is-incorrect?forum=exchangesvrgeneral

     
    • Помечено в качестве ответа Didenko.g 10 июня 2016 г. 18:28
    • Изменено Didenko.g 10 июня 2016 г. 18:29
    10 июня 2016 г. 18:28