none
Exchange 内网工作组Outlook自动发现缓慢 RRS feed

  • 问题

  • Dear all:

            目前有遇到一个这样的问题,内网环境(Exchange 2010和AD 2012 R2),当我开启域控防火墙时,内部未加域的客户端(DNS配置为域控DNS)在配置OUtlook时非常缓慢。目前排查的情况是自动发现是在https://contoso.com/autodiscover/autodiscover.xml时会耗费很多时间(有4台域控,所以contoso.com的解析有4条记录),大概要4-6分钟。但如果我把AD防火墙关闭,自动发现很快就可以完成。

            目前测试过的情况是:

            1、在测试客户端host把contoso.com指向单台域控,配置明显变快,大约1-2分钟。

            2、在测试客户端host把contoso.com指向一台邮件前端服务器,很快就可以完成配置,约10-20秒。

            3、把域控防火墙关闭,配置很快完成,约10-20秒。

            根据测试情况,很明显和域控防火墙有关系。在域控安全日志中,发现有拒绝443的日志 Microsoft-Windows-Security-Auditing 5152安全筛选日志,任务类型:筛选平台数据包丢弃。有做过以下尝试,在防火墙入站规则中配置拒绝443端口的规则,或者是配置允许443入站及出站的规则,都没有效果。在不关闭域控防火墙的前提下,应当如何处理,才能解决配置发现缓慢的问题(不能修改域名contoso.com解析记录,因为这样会造成AD有问题)?


    Stefan


    2020年7月17日 7:35

全部回复

  • 您好,

    请问您在DNS中设置的MX记录,A记录,CNAME记录分别指向什么?不是很明白为什么您的环境中“有四台域控,所以有四条解析记录”。

    在方法2中您说的邮件前端服务器是指客户端访问服务器(CAS Server)吗?

    对于内部未加域的客户端,我认为可以将他视为“可以跳过防火墙的外部用户”,理论上不会收到防火墙的影响。

    您可以尝试在客户端上打开注册表,(做好备份)找到 HKEY_CURRENT_USER\Software\Microsoft\Office\1x.0\Outlook\AutoDiscover,添加一条值为1的DWORD,重启Outlook。 这样做可以跳过Autodiscover对于https://<domain>/autodiscover/autodiscover.xml这个初始域名的检查,节省配置时间。

    如果仍没有效果,请按住ctrl右键右下角的Outlook图标,选择测试电子邮件测试自动配置,勾选自动发现并输入密码,测试您的自动发现过程,并将日志一页的内容上传(注意遮挡个人信息)。

    此致, 

    Eric Yin



    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2020年7月20日 9:35
  • 您好,

    请问您的问题有最新进展吗?如果您对此问题有任何疑问或需要进一步的帮助,请随时回复。

    此致, 

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年7月24日 8:17
  • 如我前文所述,假设我的域名是contoso.com,那我有4台域控,那么解析contoso.com的时候会有4条记录(指向域控),那么内网工作组配置outlook的时候,它就会优先去查找https://contoso.com/autodiscover/autodiscover.xml去进行自动发现。在开启域控防火墙的情况下,这个会耗费很长的时间。当https://contoso.com/autodiscover/autodiscover.xml发现失败后,会进行https://mail.contoso.com/autodiscover/autodiscover.xml发现,mail.contoso.com指向的是客户端访问服务器,自动发现很快就成功完成。我尝试的两个测试(第二种方法指的就是CAS Server)主要是确认了确实是在https://contoso.com/autodiscover/autodiscover.xml这一阶段受域控防火墙的影响导致它耗费很长时间,但具体的原因我这边确实不清楚,也不知道如何排查解决,有什么建议吗。

    修改客户端注册表跳过https://contoso.com/autodiscover/autodiscover.xml这阶段因休假暂时没有测试,但根据前面的测试情况,这个应该是很快可以完成的。


    Stefan

    2020年7月29日 4:11
  • 如我前文所述,假设我的域名是contoso.com,那我有4台域控,那么解析contoso.com的时候会有4条记录(指向域控),那么内网工作组配置outlook的时候,它就会优先去查找https://contoso.com/autodiscover/autodiscover.xml去进行自动发现。在开启域控防火墙的情况下,这个会耗费很长的时间。当https://contoso.com/autodiscover/autodiscover.xml发现失败后,会进行https://mail.contoso.com/autodiscover/autodiscover.xml发现,mail.contoso.com指向的是客户端访问服务器,自动发现很快就成功完成。我尝试的两个测试(第二种方法指的就是CAS Server)主要是确认了确实是在https://contoso.com/autodiscover/autodiscover.xml这一阶段受域控防火墙的影响导致它耗费很长时间,但具体的原因我这边确实不清楚,也不知道如何排查解决,有什么建议吗。

    修改客户端注册表跳过https://contoso.com/autodiscover/autodiscover.xml这阶段因休假暂时没有测试,但根据前面的测试情况,这个应该是很快可以完成的。


    Stefan

    2020年7月30日 9:53
  • 您好,

    首先,内网用户在配置Outlook时,会先尝试SCP提供的serviceBindingInformation,该值指向CAS 服务器的FQDN,一般内网用户会在这一步成功配置Autodiscover, 请检查您的日志中是否有这一步:

    您可以在以下路径找到SCP:

    打开ADSI Edit,CN=Configuration, CN=Services, CN=Microsoft Exchange, CN=First Organization, CN=Administrative Groups, CN=Exchange Administrative Group, CN=Servers, CN=<server Name>, CN=Protocols, CN=AutoDiscover, CN=<server Name>,右键<server Name>查看Service binding information的值。

    关于您说的多个DC导致解析contoso.com速度很慢,我认为这是正常现象,相比之下我倾向于排查上述的问题。

    此致, 

    Eric Yin


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2020年7月31日 9:35