Frage zu Authentifi...
 
Notifications
Clear all

Frage zu Authentifizierung (externer NTLM Fallback)

1 Posts
1 Users
0 Reactions
3,885 Views
(@railroadfighter)
New Member
Joined: 5 years ago
Posts: 4
Topic starter  

Hallo,

 

hab hier ein Problem was mich schon seit längerem bei mehreren Installation beschäftigt, komm aber irgendwie auf keinen grünen Zweig.

Ausgangssituation:

Domain Controller, Forest & Domain-Function auf 2016

Exchange 2016 CU15 auf Server 2016, 443 direkt mit Forwarding

Outlook 2016 & 2019, UPN der User stimmt mit Mail Adresse überein

Urls Intern und Extern ident per Split-Brain DNS, in beiden Zonen A-Records für Autodiscover & Zugrifffsurl

SPN-Eintrag & Script für Kerberos anhand der Anleitung von MS eingerichtet, Kerberos Delegation für den Service Account aktiviert

Standardmäßig wird ja bei den Outlook relevanten Virtual Directories (Autodiscover, Mapi, RPC, OAB, EWS) & in der Outlook Anywhere Config Negotiate Authentifizierung mit zweiter Option NTLM hinterlegt. Die gleiche Einstellung direkt im IIS. Sämtliche Deployment-Guides richten sich auch danach.

Nach meinem Verständnis bedeutet ja Negotiate benutze Kerberos, wenn es fehlschlägt mache einen Fallback auf NTLM.

Intern funktioniert das auch Problemlos mit Kerberos, extern bekommen die Clients jedoch natürlich kein Ticket, Outlook macht allerdings keinen Fallback sondern fragt nach dem Passwort & verbindet sich nach Eingabe auch korrekt. Wenn ich mit Fiddler den Header ansehe sind beide Authentifizierungsmethoden vorhanden. Wird das Passwort gespeichert verbindet er sich auch bis zum nächsten Wechsel ohne Popup.

Die einzige Lösung die ich bisher hatte war direkt am IIS aus sämtlichen Verzeichnissen Negotiate zu löschen um nur NTLM zu benutzen & die Einstellungen nach jedem CU zu wiederholen. Ist natürlich Sicherheitstechnisch nicht optimal und verursacht bei jedem Update extra Aufwand.

Konnte leider in Netz & Literatur nichts Aussagekräftiges finden ob dieses Verhalten so per Design ist oder ich etwas in der Config übersehe.

Vielleicht hat ja einer von euch eine Antwort.


   
Quote
Share: