none
Outlook2007连接Exchange2007反复要求输入密码 RRS feed

  • 问题

  • 我的环境是一台新DC,上面装有DNS;一台新Exchange,计算机名MAIL,上面装有CA,刚刚做完迁移;

    原来的环境是一台旧DC,计算机名MAIL,上面装有DC、exchange、CA、DNS,由于服务器很不稳定而且很旧了,我找来一台新服务器做BDC并将FSMO传递过去,然后将DNS复制到新的DC上,再将旧DC上的CA删掉(里面只有邮件的证书和几个用户的证书,都没在使用了),然后退出域并关机,在新DC上重置这个计算机帐号MAIL,再找来一台新服务器改名为MAIL并设置为旧DC的IP然后加入域,使用Setup.com /m: RecoverServer恢复了Exchange并装入数据库,然后在这台Exchange的服务器上新装了一个CA,申请了一个多主机名称证书,开始正式投入使用,之所以这样做是因为我想能让Exchange服务器用回原来的计算机名。现在运行了一个星期,这两天发现客户机使用新帐号登陆系统并启动Outlook后会不停要求输入密码,怎么输入都没用,连接不到服务器,不能初始化邮箱。但服务器地址和用户名都已经解析出来,DNS应该也没有问题,可以找到服务器的。用管理员帐号登陆这些客户机也不行。客户机系统错误日志出现以下信息:

    事件类型: 错误
    事件来源: Kerberos
    事件种类: 无
    事件 ID: 4
    日期:  2011-9-28
    事件:  18:47:37
    用户:  N/A
    计算机: USER-01
    描述:
    The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/dc.mydomain.com.  This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named  machine accounts in the target realm (mydomain.COM), and the client realm.   Please contact your system administrator.

     

    另外Exchange服务器经常有以下警告:

    事件类型: 警告
    事件来源: MSExchange ActiveSync
    事件种类: 请求
    事件 ID: 1040
    日期:  2011-9-28
    事件:  2:43:58
    用户:  N/A
    计算机: MAIL
    描述:
    客户端最近使用的 [539] 个检测间隔的平均值小于或等于 [540]。
    请确保将防火墙配置设置为与 Exchange ActiveSync 和直推技术一起正确使用。具体而言,确保防火墙经过配置,能使发送给 Exchange ActiveSync 的请求在到期之前有机会得到处理。

    有关如何在使用 Exchange ActiveSync 时配置防火墙设置的详细信息,请参阅 Microsoft 知识库文章 905013“Enterprise Firewall Configuration for Exchange ActiveSync Direct Push Technology (Exchange ActiveSync 直推技术的企业防火墙配置)”(http://go.microsoft.com/fwlink/?linkid=3052&kbid=905013)。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

     

    还会每天都有以下警告:

    事件类型: 警告
    事件来源: DnsApi
    事件种类: 无
    事件 ID: 11166
    日期:  2011-9-28
    事件:  6:24:23
    用户:  N/A
    计算机: MAIL
    描述:
    系统为网卡
     注册主机 (A) 资源记录 (RR) 失败,注册使用的设置为:

       网卡名 : {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
       主机名 : mail
       主域后缀 : mydomain.com
       DNS 服务器列表 :
          x.x.x.x
       发送更新到服务器 : x.x.x.x
       IP 地址 :
         y.y.y.y

     由于与安全相关的问题,系统不能注册 这些 RR。可能的原因有 (a) 您的计算机 没有权限为此网卡注册并更新指定的 DNS 域名,或 (b) 可能在处理更新的 过程中与 DNS 服务器协商有效凭据 有问题。

     您可以手动重试此网卡的 DNS 注册和设置, 这可以通过在命令提示符下键入 "ipconfig /registerdns"  来完成。 如果 问题依然存在,请与您的 DNS 服务器或网络系统管理员 联系。有关特定的错误代码信息,请查看下面的记录数据。

    有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

    请问我的这两个服务器可能是哪里出了问题呢?非常感谢你的关注和帮助!

     

    2011年9月29日 11:16

答案

全部回复

  • 所有的电脑只要换一个新的帐号启动Outlook,都会出现连接不到服务器的情况,不停弹出密码提示框,我把[登录网络安全性]那一栏由[协商身份验证]改为[密码验证(NTLM)]就基本都可以初始化邮箱和收发邮件了,关掉outlook再启动,也不会再弹出密码输入框了,我再到客户机看事件记录,有以下错误提示:
    The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/dc.Mydomain.com.  This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named  machine accounts in the target realm (Mydomain.COM), and the client realm.   Please contact your system administrator.
    2011年9月30日 9:54
  • 您好!

           1.请您使用AD users and computers删除不再使用的原始计算机账号。您可以按照以下步骤进行删除:

    a.登录到域控制器或另外一台装有远程服务器管理工具的计算机。

    b.点击开始,选择管理工具,选择AD users and computers

    c.AD  DS中选择这台计算机账户

         d.右击该账号,选择删除。

    另外,您可以通过以下方式鉴别Kerberos client配置是否正确,您应该确认来自Key distribution center的一个 Kerberos ticket被本地计算机接受和缓存。您可以使用Klist命令行工具查看本地计算机上cached Kerberos tickets

    注意:在您使用Klist.exe之前您必须下载及安装Windows Server Resource Kit才行。

    您可以通过以下步骤查看cached Kerberos tickets

    a.登录到Kerberos 客户计算机。

    b.点击开始,选择command prompt.

    c.键入klist  tickets,按enter键。

    d.鉴别一个cached Kerberos ticket是可获取的。

    确认客户端显示了运行Klist的客户。

    确认服务器端显示了您所连接的域。

    2011年9月30日 11:13
  • 你好,非常感谢你的回复,我这没有不再使用的原始计算机帐号啊,原来的DC和Mail所在的计算机的帐号“Mail”被我重置之后又用一台新计算机重新使用此计算机名“Mail”重新加入了域并在此新计算机上使用Setup.com /m: RecoverServer将Exchange恢复了。

    在客户机上使用Klist命令返回的结果如下:

     C:\Program Files\Windows Resource Kits\Tools>klist tickets

    Cached Tickets: (6)

       Server: krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:43:42
          Renew Time: 10/13/2011 13:43:42


       Server: krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:43:42
          Renew Time: 10/13/2011 13:43:42


       Server: exchangeAB/dc.MYDOMAIN.com@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:43:42
          Renew Time: 10/13/2011 13:43:42


       Server: HTTP/mail.MYDOMAIN.com@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:43:42
          Renew Time: 10/13/2011 13:43:42


       Server: ldap/dc.MYDOMAIN.com/MYDOMAIN.com@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:43:42
          Renew Time: 10/13/2011 13:43:42


       Server: host/user01.MYDOMAIN.com@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:43:42
          Renew Time: 10/13/2011 13:43:42

    顺便问一下这个exchangeAB是什么身份呢?为什么域控制器有这个身份,而不是Exchange服务器呢?

    在域控制器上使用Klist命令返回的结果如下:

    C:\Program Files\Windows Resource Kits\Tools>klist tickets

    Cached Tickets: (3)

       Server: krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:53:28
          Renew Time: 10/13/2011 13:53:28


       Server: cifs/user01.MYDOMAIN.com@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:53:28
          Renew Time: 10/13/2011 13:53:28


       Server: host/dc.MYDOMAIN.com@MYDOMAIN.COM
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 10/6/2011 23:53:28
          Renew Time: 10/13/2011 13:53:28

     

    现在所有客户端使用新帐号建立Outlook配置文件,都会弹出密码输入框而不能完成初始化,要将“登录网络安全性”更改为“密码验证(NTLM)”才能登陆并使用新邮箱。不能使用默认的kerberos密码验证,这样,新员工使用自己的域帐号登陆系统后再打开Outlook,就不能简单地进行配置并收发邮件了,并且也不知道这个问题还带有多少隐患。。还请各位多发表一下意见。非常感谢!

    2011年10月6日 6:39
  • 问题还是没解决。。问题就是不知道到底是哪里出了问题。。
    2011年10月6日 16:13
  • 问题已经解决了,是错误的SPN导致的。

    2011年10月7日 1:54