Bei der Migration von Exchange 2016 zu Exchange 2019 bin ich auf das Problem gestoßen, dass Outlook ständig nach Benutzername und Passwort fragt. Eine Verbindung via Outlook zu Exchange konnte nicht mehr hergestellt werden, sobald der DNS-Eintrag (bzw. der Loadbalancer) auf die neuen Exchange 2019 Server umgestellt wurde. OWA und ActiveSync funktionierten jedoch problemlos.
In den meisten Fällen liegt das Problem der Outlook Passwortabfrage an unterschiedlichen Authentifizierungseinstellungen für die Outlook Protokolle OutlookAnywhere (das alte RPCoverHTTP) und/oder MAPIoverHTTP. In der Regel reicht es dann schon, wenn für die beiden Protokolle die Authentifierungseinstellungen gleich gesetzt werden. Augenscheinlich wurde dies auch bereits für beiden Protokolle durchgeführt, wie in den beiden Screenshots zu sehen ist (OAuth ist in reinen on-Prem Umgebungen nicht relevant):
MAPIoverHTTP
Outlook Anywhere
Auch auf der Exchange Shell ließen sich nicht direkt unterschiede bei der Authentifizierungseinstellungen feststellen, denn auch die IIS Einstellungen sind auf allen Servern gleich.
Auch in meinem Fall lag es an der Authentifizierung, denn die Exchange 2016 Server wurden auf Kerberos Authentifizierung umgestellt. Um die Kerberos nutzen zu können, wird ein Computerobjekt im AD mit den entsprechenden SPNs erstellt und den Exchange Servern als AlternateSeriveAccountConfiguration zugewiesen. Dieses dedizierte Computerkonto wird dann für die Kerberos Authentifizierung für Exchange benutzt. In meinem Fall hatte ich bei der Konfiguration der neuen Exchange 2019 Server vergessen, dass entsprechende Computerkonto auch auf den Exchange 2019 Servern zu konfigurieren.
Mit dem folgenden Befehl lässt sich prüfen, ob Exchange für Kerberos konfiguriert wurde und welches Computerkonto für die Authentifizierung genutzt wird:
Get-ClientAccessService SERVERNAME -IncludeAlternateServiceAccountCredentialStatus | fl *alter*
Exchange 2016 und Exchange 2019 Server können das gleiche Computerkonto verwenden, somit muss nur die Konfiguration von einem Exchange 2016 Server auf die neuen Exchange 2019 übertragen werden. Für das Übertragen der Konfiguration gibt es im Exchange Scripts Ordner ein PowerShell Script. Das Script wird wie folgt verwendet:
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer EXCHANGE2019SERVER -CopyFrom EXCHANGE2016SERVER
Nachdem die Kerberos Konfiguration auf die Exchange 2019 Server übertragen wurde, war auch die Passwort Abfrage in Outlook verschwunden.
Hier noch eine Ergänzung von mir da ich gerade unsere Umgebung von 2013 auf 2019 migriere:
Bei 2013 gab es das Command ‚Get-ClientAccessService‘ noch nicht, daher funktioniert das Skript dann nicht. Die Lösung ist das Skript von einer aktuellen Exchange 2013 CD/ISO zu nehmen und auf den 2019 Server zu kopieren und dort dann auszuführen.
Viele Grüße
Martin
Hallo zusammen,
bei uns hatten wir Probleme mit dem Exhnage 2016 Wildcard Zertifikat (Front END)
Wir hatten auf dem KEMP ein Wildcard Zertifikat und auf dem Mail Server ein UCC Zertifikat, nach dem wir auf Exchange und Kemp ein Multi Wildcard Zertifikat (test.de & test.eu) eingespielt haben geht jetzt alles.
Wenn nicht das Gleiche Zertifikat ist macht Outlook Probleme mit User & PWD
Ich weis es passt nicht zum umzug, aber wollte es euch mit teilen.
Ist Extended Protection aktiviert?
„you must use the same SSL certificate on Exchange and your Load Balancers. If not this will cause Extended Protection to fail.“
Danke für deine Infos.
Ich nehme an die Kerberos Authentifizierung ist sicherer, meine Frage nun verwendet Exchange sonst die Standard NTLM Authentifizierung?!?
Ja Kerberos ist sicherer als ntlm.
Hallo Andreas,
welches Protokoll zur Authentifizierung verwendend wird, hängt von deiner Umgebung ab. In der Standardeinstellung wird allerdings NTLM und sogar teilweise noch BASIC verwendet.
Morgen gibt es einen Artikel zu Kerberos und Exchange 2019, vielleicht hilft dir das weiter.
Beste Grüße,
Frank