none
NTLM аутентификация в Outlook Anywhere RRS feed

  • Вопрос

  • Коротко опишу ситуацию: У нас проект, мы внедряем Exchange Server 2007 sp1 на базе Windows Server 2008 в организации, как дополнительную и независимую почтовую систему. Использоваться будут следующие службы: OWA, ActiveSync, Outlook Anywhere. Система будет полностью независима, имеется ввиду, что рабочие станции пользователей не будут введены в домен и к системе будет только внешний доступ через Интернет.
    При внедрении мы столькнулись с рядом проблем (IPv.6, Autodiscovery и сертификаты), но всё было решено, кроме: проблемы с NTLM аутентификацией в Outlook Anywhere. Точнее сказать, у нас заработала, как Basic, так и NTLM аутентификация, но:
     
    При использовании NTLM аутентификации, Outlook 2007 при каждом запуске снова спрашивает пароль, даже если при предыдущем запуске была поставлена галка "сохранить пароль"! Причём сам логин и пароль сохраняются в сетевых паролях пользователя, но при следующем запуске Outlook снова спрашивает пароль.
    Если работать с Exchange Server 2007 напрямую через локальную сеть (или VPN), без использования RPC over HTTP, то логин и пароль достаточно указать и запомнить один раз, при дальнейших подключениях Outlook учётные данные не переспрашивает, а использует данные, схранённые в сетевых паролях пользователя.

    Коротко о системе: 1 домен, 2 контроллера домена на базе Windows Server 2008 со всеми обновлениями, 1 Exchange Server 2007 SP1 Rollup 6 установлен на Windows Server 2008 (IPv6 отключен), используем Outlook 2007 на Windows Vista Business (На XP таже проблема). Чтобы исключить фактор влияния правил публикации, Exchange просто опубликован по 443 порту (без WEB-листенеров и пр.), сертификат CA добавлен в коревые доверенные ЦС на клиенте.

    Что пытались сделать и не помогло:
    1) Отключить Kernel Mode Authentication в IIS, причём как командой %systemroot%\system32\inetsrv\AppCmd.exe set config /section:system.webServer/security/authentication/windowsAuthentication /useKernelMode:false, так и снятием галок в свойствах Windows Authentication в Default Web Site, директориях \Rpc и \Autodiscover.
    2) Изменение ключа реестра на клиенте  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa lmcompatibilitylevel=3 и 2.
    3) В правилах безопасности в Outlook ставили "Проверка пароля NTLM" вместо подлинности с согласованием.
    4) Пробовали сделать сервер Exchange контроллером домена и сервером глобального каталога.


    Как сделать, чтобы Outlook 2007 автоматически авторизовался при использовании Outlook Anyhwere? Пользователи и их компьютеры - не в домене!

    • Перемещено Hengzhe Li 12 марта 2012 г. 11:06 forum merge (От:Exchange Server 2007)
    19 февраля 2009 г. 21:05

Ответы

  •  Проблему удалось решить так:
    На клиенте прописать 2 сетевых пароля:
    1) Для внутреннего домена:
    *.my_domain.loc
    my_domain\user
    password
    2) Для внешнего домена:
    *.external_domain.ru
    my_domain\user
    password
    3) Изменение ключа тоже понадобилось: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    lmcompatibilitylevel=3
    • Помечено в качестве ответа Sergey Erin 7 марта 2009 г. 19:31
    7 марта 2009 г. 19:31

Все ответы

  • С ходу не нашёл для 2007 версий outlook/exchange, но вот для 2003 - может поможет.
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    20 февраля 2009 г. 6:16
  •  
    cognize_ Я это уже пробовал и не помогло! (п.2 моего вопроса).
    20 февраля 2009 г. 6:52
  • Sergey Erin написал:

     

    cognize_ Я это уже пробовал и не помогло! (п.2 моего вопроса).


    Какие опции заданы в EMS - Server Configuration - Client Access - сво-ва сервера - закладка Outlook Anywhere ?

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    20 февраля 2009 г. 7:59
  •  Аутентификация NTLM, и адрес сервера mail.my_domain.ru (внутреннее имя сервера srvexch.net.local).
    get-OutlookAnywhere:

    ServerName                 : SRVEXCH2
    SSLOffloading              : False
    ExternalHostname           : mail.my_domain.ru
    ClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods   : {Ntlm}
    MetabasePath               : IIS://srvexch2.net.local/W3SVC/1/ROOT/Rpc
    Path                       : C:\Windows\System32\RpcProxy
    Server                     : SRVEXCH2
    AdminDisplayName           :
    ExchangeVersion            : 0.1 (8.0.535.0)
    Name                       : srvexch2
    DistinguishedName          : CN=srvexch2,CN=HTTP,CN=Protocols,CN=SRVEXCH2,CN=Servers,CN=Exchange Administrative Group (
                                 FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=S
                                 ervices,CN=Configuration,DC=net,DC=local
    Identity                   : SRVEXCH2\srvexch2
    Guid                       : 2c24f11b-852c-4948-b236-3f37d071d500
    ObjectCategory             : net.local/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
    ObjectClass                : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
    WhenChanged                : 18.02.2009 14:17:55
    WhenCreated                : 17.02.2009 14:53:36
    OriginatingServer          : dc1.net.local
    IsValid                    : True

    20 февраля 2009 г. 9:02
  • Добовлять логин\пароль в панель управления -  Учетные записи пользователей - управление паролями пробовали ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    20 февраля 2009 г. 9:29
  • Да. Причем, сам Outlook при вводе учётных данных, добаляет туда логин и пароль, но при следующем запуске опять спрашивает учётные данные.
    Мне интересно, это хотябы у кого-нибудь заработало, так, чтобы неспрашивался пароль? Я перерыл весь технет и не увидел, что оно хоть у кого-нибудь работает, хотя тем, посвящённых данной проблеме достаточно много. В некоторых блогах вообще пишут, что NTLM не работает, и советуют использовать только Basic.

    20 февраля 2009 г. 9:40
  •  Проблему удалось решить так:
    На клиенте прописать 2 сетевых пароля:
    1) Для внутреннего домена:
    *.my_domain.loc
    my_domain\user
    password
    2) Для внешнего домена:
    *.external_domain.ru
    my_domain\user
    password
    3) Изменение ключа тоже понадобилось: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    lmcompatibilitylevel=3
    • Помечено в качестве ответа Sergey Erin 7 марта 2009 г. 19:31
    7 марта 2009 г. 19:31
  •  Проблему удалось решить так:
    На клиенте прописать 2 сетевых пароля:
    1) Для внутреннего домена:
    *.my_domain.loc
    my_domain\user
    password
    2) Для внешнего домена:
    *.external_domain.ru
    my_domain\user
    password
    3) Изменение ключа тоже понадобилось: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    lmcompatibilitylevel=3
    Та же проблема только с Exchange 2010 и Outlook 2010? только у меня Basic аутентификация, подскажите решение
    1 апреля 2013 г. 14:57