none
Проблемы с подключением к Exchange 2013 через Outlook 2007/2010 на Windows XP RRS feed

  • Вопрос

  • Добрый день!

    В организации есть почтовый сервер на Ex2013 SP1, который работал себе и работал пока не возникла необходимость опубликовать CAS. Опубликовал ActiveSync, OWA - все прекрасно. Дошел до Outlook Anywhere. Прописал внешний адрес для доступа к серверу, поменял метод аутентификации на "обычная". Опять вроде все хорошо. На следующий день началась проблемы с подключением клиентов. Outlook пользователей не может подключиться к серверу. Вернул аутентификацию на "согласование", убрал внешний адрес. Outlook вроде начал оживать у пользователей, но не у всех. У некоторых пользователях на Windows XP Outlook или не может подключиться, или без конца просит пароль. Вводишь верные имя пользователя/пароль, снова запрос и так до бесконечности. Начал разбираться в чем дело. В EventViewer-е ничего интересного не нашел, ни на сервере, ни на клиентах. Зато в настройках почты у клиентов обратил внимание на следующие моменты: у некоторых пользователей отсутствуют настройки мобильного аутлука на вкладке "подключение", у некоторых пользователей там откуда-то взялся внешний адрес для доступа к серверу. При этом, если вручную создать конфигурацию и настроить учетную запись Exchange, вроде все работает, но до первой перезагрузки клиента. После перезагрузки без конца запрашивает пароль. При этом если запустить аутлук под проблемным пользователем на Windows 7/10, проблем нет. Аутлук подхватывает настройки и работает без замечаний. Опять же, есть пользователи, у которых аутлук работает прекрасно и на Windows XP без всяких манипуляций. У кого-нибудь есть идеи почему такое происходит? Или хотя бы в какую сторону копать? Спасибо!

    19 февраля 2016 г. 9:56

Ответы

  • Проблему решил следующим образом: убрал имя внешнего узла в настройках CAS, потом Delete-AutodiscoverVirtualDirectory, New-AutodiscoverVirtualDirectory... После этого autodiscover начал правильные настройки раздавать клиентам. Но Outlook 2007 на WinXP ни в какую настройки по-прежнему брать не хочет, бесконечный запрос пользователя/пароля. Перевыпустил сертификат для Ex, в CN указал внутреннее имя сервера CAS, а не внешнее как было раньше, ну и в списках SAN указал первым именем внутреннее имя сервера. Назначил сертификат службам Ex и все прекрасно заработало.

    • Изменено nameless19 25 февраля 2016 г. 7:12
    • Предложено в качестве ответа Ivan.Basov 25 февраля 2016 г. 7:17
    • Помечено в качестве ответа nameless19 25 февраля 2016 г. 7:21
    25 февраля 2016 г. 7:12

Все ответы

  • В данном случае первый и основной совет - выкорчевывать WinXP каленым железом. Понимаю, что не всегда возможно, но именно на этой ОС возникает примерно 95% всех проблем с подключением Outlook к серверу.

    В качестве быстрого метода лечения выполните iisreset на всех CAS-серверах.

    Еще одна возможная причина данной проблемы может крыться в несогласованности методов LAN Manager authentication. Вот лечение:

    В реестре в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\ установить в 2 или 3 значение ключа lmcompatibilitylevel.

    Альтернатива: установить данный параметр с помощью групповой политики:


    Раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options
    Параметр Network security: LAN Manager authentication level
    Допустимые значения:
    * Send LM & NTLM - use NTLMv2 session security if negotiated
    * Send NTLM response only

    Перезагрузить ПК.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    19 февраля 2016 г. 11:25
  • Увы, от XP пока не избавиться, т. к. железо - хлам. iisreset /noforce не помогает, как и полная перезагрузка Ex. lmcompatibilitylevel на XP равен 3. Вообще, есть подозрение, что проблема каким-то образом завязана на пользователях, т. к. у одних пользователей аутлук работает прекрасно на любых машинах, хоть с XP, хоть Win7/10, а у других только на Win7/10, на машинах с XP только через бубен, да и то до первой перезагрузки. И такое наблюдается у ~20% пользователей, которые сидят на XP. Остальные не жалуются.


    • Изменено nameless19 19 февраля 2016 г. 12:15
    19 февраля 2016 г. 12:03
  • У меня есть опыт недавнего обновления Экса до CU11 на полигоне. WinXP с Outlook 2007 после этого перестала работать с теми же симптомами, что и ваша. После недели плясок с бубном все внезапно заработало как часы без каких-либо значимых коррекций. Что-то где-то кэшируется, но вот что и где...

    Посмотрите этот тред, люди там много чего советовали. Может, что-то вам поможет: https://social.technet.microsoft.com/Forums/en-US/cd8a00bf-aa2a-4012-97ff-287000cdae16/exchange-2013-cu11-has-broken-the-entire-exchange-test-farm-cas-cant-connect-to-mbx-anymore?forum=exchangesvrgeneral


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    19 февраля 2016 г. 12:15
  • Еще такой момент: сразу когда начались проблемы с аутлуком на клиентах, журнал "Система" начал фиксировать такое событие с разной периодичностью:

    Имя журнала:   System
    Источник:      Schannel
    Дата:          20.02.2016 7:55:25
    Код события:   36888
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:
    Пользователь:  СИСТЕМА
    Компьютер:    
    Описание:
    Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 10. Состояние ошибки Windows SChannel: 1203.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Schannel" Guid="{1F678132-5938-4686-9FDC-C8FF68F15C85}" />
        <EventID>36888</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2016-02-20T00:55:25.719481400Z" />
        <EventRecordID>23988</EventRecordID>
        <Correlation />
        <Execution ProcessID="572" ThreadID="10044" />
        <Channel>System</Channel>
        <Computer>mail.domain.com</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="AlertDesc">10</Data>
        <Data Name="ErrorState">1203</Data>
      </EventData>
    </Event>


    • Изменено nameless19 20 февраля 2016 г. 2:21
    20 февраля 2016 г. 1:05
  • Выполнил Set-OutlookProvider -Identity EXCH -CertPrincipalName msstd:mail.domain.com, теперь аутлук на WinXP вообще перестал работать, даже у тех, у кого раньше работал...
    20 февраля 2016 г. 4:54
  • Ошибку с SChannel можете пока игнорировать, обычно она связана со службами удаленного рабочего стола.

    Возиться с Set-OutlookProvider вы начали совершенно зря. По моему опыту (полигонному, к счастью), это как раз и обрушивает всю работу с XP. Посмотрите эту статью, там описаны похожие симптомы и вторая команда, которую нужно выполнить. Но имейте в виду, что потенциально эти действия способны заблокировать и все остальные клиенты. Поэтому сначала зафиксируйте текущие команды с помощью Get-OutlookProvider.

    Да, и про iisreset не забывайте. И никаких /noforce, только форсированная перезагрузка.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    20 февраля 2016 г. 5:36
  • Ошибка SChannel появилась аккурат на следующий день, после того как я настроил Outlook Anywhere для внешних пользователей. Серверу три месяца, до этого таких ошибок не фиксировал. Возможно, конечно, совпадение, а может быть и нет. Устанавливая CertPrincipalName с помощью Set-OutlookProvider я рукодствовался как раз этой статьей, а вообще похожих статей в инете масса, но увы, положительных измненений нет, зато те клиенты на XP с которыми не было проблем, благополучно перестали работать. 7/8/10 работают стабильно.
    20 февраля 2016 г. 8:02
  • http://ficility.net/2013/10/21/exchange-2013-exchange-2010-windows-server-2012-schannel-event-id36888-1203-tlsssl-error-the-root-cause/

    Ссылки пока вставлять не могу. Статья, на которую указывает ссылка выше, объясняет причину этих ошибок:

    Reason is simple. Not standard or corrupted behavior of web browsers or users. The problem behind SChannel and Exchange 2012 is, that sometimes users use HTTP protocol, but on port 443, which expects certificates exchange rather than GET command.

    Возможно, аутлук по какиим то причинам не может использовать протокол https, и поэтому пытается использовать http? Ну или кто-то сканить пытается.


    • Изменено nameless19 20 февраля 2016 г. 11:07
    20 февраля 2016 г. 8:11
  • Кстати, навеяло - нужно внимательно посмотреть, какие именно сертификаты используются в IIS на всех веб-сайтах. Те ли, что нужно?

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    20 февраля 2016 г. 14:00
  • Есть идея получше... Выпустить новый сертификат, CN которого, а также первый адрес в списке SAN будет FQDN внутреннего сервера, а не внешнего, как сейчас. Назначить его службам EX и посмотреть, что из этого получится.
    21 февраля 2016 г. 10:28
  • Эта идея не "получше", а паралльная. Выпуск нового сертификата никак не избавляет от необходимости проверить, какой именно используется сейчас.

    Вреда от нового сертификата, вероятно, не будет, но у меня, например, порядок следования имен в сертификате никогда никакого влияния не оказывал. В том числе - на WinXP + Office 2007.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 февраля 2016 г. 12:19
  • В интернете полно информации, что в отличие от более поздних версий Windows, Windows XP не умеет работать с SAN сертификатами, т. е. она "видит" только первое имя. Хотя... Работало ведь все и с текущим сертификатом. И да, я обязательно проверю, какой сертификат использует IIS.

    • Изменено nameless19 21 февраля 2016 г. 12:57
    21 февраля 2016 г. 12:50
  • По поводу сертификатов... Default Web Site использовал правильный сертификат, сгенерированный доменным ЦС, Exchange Back End использовал самоподписанный сертификат Exchange. Пробовал менять на доменный сертификат, результата 0.
    22 февраля 2016 г. 7:04
  • Так, проблема похоже где-то в autodiscover... Если создать следующие ключи:

    [HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\AutoDiscover]
    "ExcludeScpLookup"=dword:00000001
    "ExcludeHttpRedirect"=dword:00000001
    "ExcludeHttpsAutoDiscoverDomain"=dword:00000001
    "ExcludeHttpsRootDomain"=dword:00000001
    "PreferLocalXML"=dword:00000001
    "ExcludeSrvRecord"=dword:00000001

    и настроить профиль вручную, аутлук прекрасно работает с Ex. Эти ключи отключают все фичи autodiscover и заставляют аутлук использовать локальные настройки. У кого-нибудь есть идеи почему такое может происходить? И в какую сторону дальше смотреть?

    • Изменено nameless19 22 февраля 2016 г. 13:49
    22 февраля 2016 г. 8:28
  • Проблему решил следующим образом: убрал имя внешнего узла в настройках CAS, потом Delete-AutodiscoverVirtualDirectory, New-AutodiscoverVirtualDirectory... После этого autodiscover начал правильные настройки раздавать клиентам. Но Outlook 2007 на WinXP ни в какую настройки по-прежнему брать не хочет, бесконечный запрос пользователя/пароля. Перевыпустил сертификат для Ex, в CN указал внутреннее имя сервера CAS, а не внешнее как было раньше, ну и в списках SAN указал первым именем внутреннее имя сервера. Назначил сертификат службам Ex и все прекрасно заработало.

    • Изменено nameless19 25 февраля 2016 г. 7:12
    • Предложено в качестве ответа Ivan.Basov 25 февраля 2016 г. 7:17
    • Помечено в качестве ответа nameless19 25 февраля 2016 г. 7:21
    25 февраля 2016 г. 7:12