Hallo,
hab hier ein Problem was mich schon seit längerem bei mehreren Installation beschäftigt, komm aber irgendwie auf keinen grünen Zweig.
Ausgangssituation:
Domain Controller, Forest & Domain-Function auf 2016
Exchange 2016 CU15 auf Server 2016, 443 direkt mit Forwarding
Outlook 2016 & 2019, UPN der User stimmt mit Mail Adresse überein
Urls Intern und Extern ident per Split-Brain DNS, in beiden Zonen A-Records für Autodiscover & Zugrifffsurl
SPN-Eintrag & Script für Kerberos anhand der Anleitung von MS eingerichtet, Kerberos Delegation für den Service Account aktiviert
Standardmäßig wird ja bei den Outlook relevanten Virtual Directories (Autodiscover, Mapi, RPC, OAB, EWS) & in der Outlook Anywhere Config Negotiate Authentifizierung mit zweiter Option NTLM hinterlegt. Die gleiche Einstellung direkt im IIS. Sämtliche Deployment-Guides richten sich auch danach.
Nach meinem Verständnis bedeutet ja Negotiate benutze Kerberos, wenn es fehlschlägt mache einen Fallback auf NTLM.
Intern funktioniert das auch Problemlos mit Kerberos, extern bekommen die Clients jedoch natürlich kein Ticket, Outlook macht allerdings keinen Fallback sondern fragt nach dem Passwort & verbindet sich nach Eingabe auch korrekt. Wenn ich mit Fiddler den Header ansehe sind beide Authentifizierungsmethoden vorhanden. Wird das Passwort gespeichert verbindet er sich auch bis zum nächsten Wechsel ohne Popup.
Die einzige Lösung die ich bisher hatte war direkt am IIS aus sämtlichen Verzeichnissen Negotiate zu löschen um nur NTLM zu benutzen & die Einstellungen nach jedem CU zu wiederholen. Ist natürlich Sicherheitstechnisch nicht optimal und verursacht bei jedem Update extra Aufwand.
Konnte leider in Netz & Literatur nichts Aussagekräftiges finden ob dieses Verhalten so per Design ist oder ich etwas in der Config übersehe.
Vielleicht hat ja einer von euch eine Antwort.