none
NTLM авторизация OWA на различных серверах CAS RRS feed

  • Общие обсуждения

  • Коллеги, всем добрый день.

    Столкнулся с непонятным поведением CAS на Exchange 2013 (CU11)

    Есть два сервера, на которых настройки VirtualDirectory для OWA и ECP идентичны:

    OWA:

    Get-OwaVirtualDirectory | fl Server,*auth*
    
    
    Server                        : cas-server-1
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
    BasicAuthentication           : True
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}
    
    Server                        : cas-server-2
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
    BasicAuthentication           : True
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}

    ECP:

    Get-EcpVirtualDirectory | fl Server,*auth*
    
    
    Server                        : cas-server-1
    InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
    BasicAuthentication           : True
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}
    
    Server                        : cas-server-2
    InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
    BasicAuthentication           : True
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}

    Странность заключается в том, что если открывать https://cas-server-1/owa отрабатывает NTLM-авторизация, а если открыть https://cas-server-2/owa попадаем на FBA.

    При этом, https://cas-server-1/ecp и https://cas-server-2/ecp отдаёт NTLM

    Ещё странность - после перезагрузки обоих серверов этот баг перешёл на другой сервер, то есть если на первом https://cas-server-1/owa стала открываться веб-форма авторизации, то на https://cas-server-2/owa стала работать NTLM. Это чудеса какие-то! Куда копать, подскажите, пожалуйста.



    3 марта 2016 г. 8:39

Все ответы

  • Посмотрите, что в IIS прописано на этих директориях.

    scientia potentia est
    My blog

    3 марта 2016 г. 8:41
  • Естественно проверил - на обоих серверах всё идентично. И это не объясняет почему проблема "переползла" на другой сервер после перезагрузки.
    3 марта 2016 г. 8:55
  • 1. Попробуйте сопоставить расположение вашего ящика с сервером, где отрабатывает FBA.

    2. Покажите, пожалуйста, вывод следующих команд:

    Get-OwaVirtualDirectory -Server server.name -ShowMailboxVirtualDirectories | fl Server, Name, identity, *auth*, *url*

    3. CAS у вас находятся в одном сайте?

    4. На серверах установлен один и тот же сертификат?


    Blog - Smtp25.ru
    Полезные ссылки - Links

    3 марта 2016 г. 9:14
    Отвечающий
  • 1. Такая ситуация возникает у всех пользователей в принципе, все мейлбоксы входят в DAG, изменение активного сервера ситуацию не меняет, да и не должно.

    2. Вот вывод команд:

    Сервер cas-server-1

    Get-OwaVirtualDirectory -Server cas-server-1 -ShowMailboxVirtualDirectories | fl Server, Name, identity, *auth*, *url*
    
    
    Server                        : cas-server-1
    Name                          : owa (Exchange Back End)
    Identity                      : cas-server-1\owa (Exchange Back End)
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Ntlm, WindowsIntegrated}
    BasicAuthentication           : False
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}
    Url                           : {}
    SetPhotoURL                   :
    Exchange2003Url               :
    FailbackUrl                   :
    InternalUrl                   :
    ExternalUrl                   :
    
    Server                        : cas-server-1
    Name                          : owa (Default Web Site)
    Identity                      : cas-server-1\owa (Default Web Site)
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
    BasicAuthentication           : True
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}
    Url                           : {}
    SetPhotoURL                   :
    Exchange2003Url               :
    FailbackUrl                   :
    InternalUrl                   : https://cas.company.local/owa
    ExternalUrl                   : https://cas.company.com/owa

    Сервер cas-server-2

    Get-OwaVirtualDirectory -Server cas-server-2 -ShowMailboxVirtualDirectories | fl Server, Name, identity, *auth*, *url*
    
    Server                        : сas-server-2
    Name                          : owa (Exchange Back End)
    Identity                      : сas-server-2\owa (Exchange Back End)
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Ntlm, WindowsIntegrated}
    BasicAuthentication           : False
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}
    Url                           : {}
    SetPhotoURL                   :
    Exchange2003Url               :
    FailbackUrl                   :
    InternalUrl                   :
    ExternalUrl                   :
    
    Server                        : сas-server-2
    Name                          : owa (Default Web Site)
    Identity                      : сas-server-2\owa (Default Web Site)
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
    BasicAuthentication           : True
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}
    Url                           : {}
    SetPhotoURL                   :
    Exchange2003Url               :
    FailbackUrl                   :
    InternalUrl                   : https://cas.company.local/owa
    ExternalUrl                   : https://cas.company.com/owa

    3. Да, как видно из пункта 2, в одном

    4. Сертификат один и тот же

    3 марта 2016 г. 11:04
  • Кстати, речь идёт только о внутренних пользователях, которые подключаются по адресу https://cas.company.local/owa и по RRDNS попадают либо на первый, либо на второй сервер напрямую.

    При этом наружу CAS опубликован через TMG2010 как https://cas.company.com/owa, где прослушиватель настроен на кластер из обоих серверов, и при подключении через внешку всё нормально. По логам видно, что пользователи попадают как на первый, так и на второй - двойной авторизации не происходит, как было бы если на одном из серверов включен FBA.



    • Изменено Kuklin 3 марта 2016 г. 11:11
    3 марта 2016 г. 11:09
  • Коллеги, есть мысли?
    4 марта 2016 г. 9:51
  • InternalUrl                   : https://cas.company.local/owa
    ExternalUrl                   : https://cas.company.com/owa

    А зачем вы подключаетесь по короткому имени сервера, если у вас вот эти имена законные?

    Да и вместо короткого имени полное используйте.


    Сазонов Илья

    https://isazonov.wordpress.com/

    4 марта 2016 г. 19:13
    Модератор
  • Коллеги, неужели вы думаете, что пользователи подключаются иначе?) Но если по RRDNS они попадают на один сервер - NTLM отрабатывает. Ежели на второй - не отрабатывает.
    • Изменено Kuklin 11 марта 2016 г. 21:48
    11 марта 2016 г. 21:48