Mahlzeit zusammen,
Ich brauche mal wieder Euer wissen.
Hab gestern die CU 14 und das Hotfix CU14 HU2 (April 2024) auf unserem Server eingespielt. Lief auch ohne Probleme durch.
Danach von zushause per OWA gecheckt ob alles klappt... sah gut aus.
Heute früh in der Firma dann die Ernüchterung.
Alle Clients die mit Outlook 2016 oder Outlook 2019 arbeiten können Ihr Profil nicht mehr öffnen.
Bekommen alle nur noch einen Nutzername / PW prompt.
OWA und auch Mobile Clients klappen ohne Probleme.
Scheint also irgendwas an der Autodiscover in die Hose zu gehen??
Hab mal mein eigenes Profil gelöscht auf meinem PC und versucht neu anzulegen.
Geht nicht mehr.
NSLookup liefert korrekte Werte.
Outlook mal auf meinen privaten Account angelegt und dann mit der Email-Autokonfiguration die Firmen-Email gecheckt.
Test wird durchgeführt, aber unter "Protokoll" wird als GetLasterror eine 401 angezeigt.
Kann auch keine Email(Profil) mehr neu anlegen. Es wird immer nach Username und PW gefragt.
Hab den RegEintrag für Office365 schon gesetzt weil wir einen Standallone Server haben.
Auch HealthCheck brachte keine Besonderheiten.
Kann da was am IIS schief sein?
Oder in welcher Reihenfolge sollte ich etwas prüfen?
Gruß Sascha
Scheint also irgendwas an der Autodiscover in die Hose zu gehen??
Nö, das scheint es nicht zu sein. Ich würd ja eher mal schauen, ob Extended Protection sauber aktiviert ist (was bei Installation von CU14 automatisch durchgeführt wird, wenn man nicht eingreift) und falls es an EP liegt, dann ist es vermutlich eher das hier:
If you experience password prompts on your clients once Extended Protection is enabled, you should check the following registry key and value on your client and on the Exchange Server side:
Registry key:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LsaRegistry value:
LmCompatibilityLevelIt's recommended to set it to a value of
5, which isSend NTLMv2 response only. Refuse LM & NTLM. It must be set at least to a value of3which isSend NTLMv2 response only.If you delete the value, the operating system enforces the system default. On Windows Server 2008 R2 and later, we treat it as if it's set to
3.If you want to manage the setting centrally, you can do so by using Group Policy:
Policy location:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Bye
Norbert
PS: Eine Frage wird durch die mehrfache Verwendung von ?-Zeichen nicht fragiger. ;)
Hallo Norbert,
vielen dank für die Antwort.
Ich hab es mal gecheckt.
Unter Outlook Anywhere ist die SSL-Abladung ausgeschaltet.
Den RegSchlüssel hab ich jetzt mal in die GPO eingefügt und per GPupdate/force bei mir lokal & Server neu gelesen.
Bekomme aber immer noch keine Verbindung hin. Kommt immer noch ein PW Promt.
Muss der Server ggf. nochmal neu gestartet werden nach dem die Registry geändert wurde?
Hast du denn mal geschaut, ob die EP aktiviert ist? Falls ja, dann schalt sie testweise ab, dann weißt du, ob es damit zusammenhängt. Falls es dann geht, dann weißt du, dass du in dem Zusammenhang (EP) das Problem suchen musst. Falls es dann immer noch nicht geht, liegts nicht an EP und man kann an anderen Stellen suchen.
Unter Outlook Anywhere ist die SSL-Abladung ausgeschaltet.
Ja und? Outlook Anywhere wird vermutlich sowieso nicht mehr genutzt. Und wenn die aktiviert wäre, dann wär EP sowieso deaktiviert.
Moin!
Hab ja gestern die RegEinträge per für die Clients per GPO verteilen lassen.
Scheint aber trotzdem nicht zu gehen.
Hab gerade mal testhalber die EP deaktiviert mit diesem Script:
https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/
Danach kommen die Clients wieder an Ihr Postfach.
Muss also etwas mit der EP zu tun haben. Werd da mal weiter machen müssen.
Muss also etwas mit der EP zu tun haben. Werd da mal weiter machen müssen.
Es muss ja nicht NTLMv1 sein, sondern bspw. gibts auch Endpoint Protection, welche den SSL Tunnel anfassen. Falls ihr einen loadbalancer oder Reverse Proxy einsetzt, dann darauf achten, das identische Zertifikat auf Exchange und LB/ReverseProxy zu verwenden usw. usf. Steht aber auch mehr oder weniger alles im Link oben.