Website-Icon Frankys Web

Exchange 2016: Mögliche Ursachen für Abfrage der Anmeldeinformationen

Immer mal wieder erreiche mich Mails oder Anfragen zu Umgebungen in denen Outlook häufig oder sogar permanent nach den Anmeldeinformationen fragt. Bei manchen Anwendern und Administratoren scheint sich sogar mittlerweile die Ansicht zu festigen, dass die ständige Abfrage von Benutzernamen und Passwort von Outlook normal sei.

Die gute Nachricht: Die permanente Abfrage von Benutzer und Passwort ist nicht normal. Die schlechte Nachricht: Es ist manchmal nicht ganz einfach der Ursache auf die Schliche zu kommen.

Wenn Outlook permanent nach Anmeldeinformationen fragt, dann liegt die Ursache meist an der Konfiguration der Umgebung. Es gab allerdings auch schon fehlerhafte Outlook Versionen und einen Bug in Exchange 2016 der dazu geführt hat, dass Outlook Benutzername und Passwort permanent abfragt. Beide verlinkten Probleme sind in den aktuellen Versionen nicht mehr vorhanden, aber es bleiben viele andere mögliche Ursachen die nicht zwingend auf Exchange oder Outlook zurückzuführen sind.

Dieser Artikel soll ein paar Ansätze liefern, um die permanente Abfrage von Anmeldeinformationen in den Griff zu bekommen.

Warum fragt Outlook überhaupt nach Benutzer und Passwort?

Die Abfrage von Benutzernamen und Passwort von Outlook ist in manchen Fällen normal und sogar notwendig, zum Beispiel wenn Outlook die Anmeldeinformationen des Benutzers nicht kennt. Dies ist zum Beispiel der Fall, wenn der Computer des Benutzers nicht Mitglied des Active Directorys ist, in dem sich der Exchange Server befindet. Outlook kann in diesem Fall nicht die lokalen Daten des angemeldeten Benutzers verwenden um sich am Exchange Server zu authentifizieren und muss nach den AD-Anmeldedaten fragen.

Outlook kann verschiedene Protokolle verwenden (MAPIoverHTTP, RPCoverHTTP, MAPI (RPC), EWS), jedes Protokoll kann unterschiedliche Einstellungen zur Authentifizierungsmethode haben. Der Wechsel zwischen den unterschiedlichen Authentifizierungsmethoden (Basic, NTLM), kann ebenfalls zur Abfrage von Benutzernamen und Passwort führen.

Im internen Netzwerk und innerhalb des Active Directorys kommt es normalerweise nicht zur Abfrage der Anmeldeinformationen durch Outlook. Outlook reicht in diesem Fall einfach die Windows Anmeldeinformationen des Benutzers an den Exchange Server weiter (Kerberos, NTLM).

In den nächsten Punkten stehen einmal meine Top 6 der Ursachen für häufige/permanente Abfragen der Anmeldedaten in Outlook.

Office 365 Autodiscover

Seit November 2017 priorisiert Outlook 2016 Office 365 Autodiscover. Dies führt immer mal wieder zu Problemen wenn Outlook fälschlicherweise davon ausgeht, dass es sich um ein Office 365 Postfach handelt. Im folgenden Screenshot ist zu erkennen, dass Outlook zunächst eine Abfrage gegen Office 365 durchführt:

Die Anfrage gegen Office 365 endet in der Abfrage der Anmeldeinformationen, die Abfrage gegen die eigene Exchange Organisation ist hingegen erfolgreich. Die Priorisieung von Office 365 lässt sich mit dem folgenden Registry Schlüssel abschalten:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover]
„ExcludeExplicitO365Endpoint“=dword:00000001

Der Schlüssel lässt sich in manuell in der Registry, via Gruppenrichtlinie oder auch mit der PowerShell setzen:

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" -Name "ExcludeExplicitO365Endpoint" -Value 1 -Type DWORD

Nachdem der Schlüssel in der Registry eingetragen ist, wird Office 365 nicht mehr priorisiert und die Autodiscover Abfrage funktioniert mit der lokalen Organisation wieder problemlos:


Proxys / Firewalls

Wenn Outlook ständig nach den Anmeldeinformationen fragt, frage ich mittlerweile als Erstes ob ein Proxy eingesetzt wird. Die Proxy Konfiguration und/oder die Konfiguration des Proxys am Client und/oder Server sorgt immer mal wieder für Probleme mit der Outlook Authentifizierung. Am Häufigsten habe ich bisher die folgende Konfiguration gesehen:

Es wurde ein Proxy konfiguriert und alle Verbindung laufen durch diesen Proxy, je nach Proxy Konfiguration, kann das funktionieren… oder auch nicht. In diesem Fall rate ich dazu testweise den Proxy am Client und auch am Server zu deaktivieren und dann einmal ohne den Proxy zu testen. Funktioniert dies, kann mit den entsprechenden Ausnahmen getestet werden. In den meisten Fällen reicht es dann schon, entsprechende Ausnahmen zu konfigurieren.

Dies gilt übrigens auch für Reverse Proxys, auch hier gibt es immer mal wieder Konfigurationen die problematisch für Outlook Anywhere und MAPIoverHTTP Verbindungen sind. Die häufigste Ursache liegt an unterschiedlichen Authentifizierungsverfahren an Proxy und Exchange Server. Wenn der Exchange Server nur NTLM aus Authentifizierungsmethode erlaubt, der Reverse Proxy allerdings das Basic-Verfahren verwenden und auch Anmeldedaten dann auch im Basic-Verfahren weiterleitet, kommt es zur Abfrage von Benutzernamen und Passwort in Outlook.

In beiden Fällen gilt wieder: Outlook kann mehrere Protokolle verwenden, die auch unterschiedliche Authentifizierungsmethoden verwenden können. Damit haben Proxys in den meisten Fällen so ihre Probleme.

Unterschiedliche Exchange Konfigurationen

Eine weitere Ursache für die Authentifizierungsprobleme sind unterschiedliche Exchange Konfigurationen, wenn mehr als ein Exchange Server eingesetzt wird. Dann auch gerne noch in Verbindung mit einem Proxy. Wie schon erwähnt nutzt Outlook unterschiedliche Protokolle die unterschiedliche Authentifizierungsverfahren nutzen können, diese Authentifizierungsverfahren können auch noch unterschiedlich je Exchange Server konfiguriert werden. Ich erinnere mich da noch an einen Fall indem ein Exchange Server auf NTLM konfiguriert wurde und ein zweiter auf BASIC-Auth. Vorgeschaltet war ein Loadbalancer und beide Exchange Server waren Mitglied eines Loadbalancing-Pools. Als Loadbalancing-Mechanismus wurde Round-Robin genutzt, was als Konsequenz hatte, das Outlook permanent zwischen Basic und NTLM gewechselt hat. Das Resultat: Permanentes Abfragen der Anmeldeinformationen. Nachdem beide Exchange Server auf NTLM konfiguriert wurden, gab es keine Probleme mehr.

Gespeicherte Anmeldeinformationen

Schon fast ein Klassiker, aber immer noch häufig anzutreffen: Gespeicherte falsche/alte Anmeldeinformationen in der Anmeldeinformationsverwaltung:

Dieses Problem betrifft in der Regel nur einzelne Benutzer, irgendwann wurden mal Anmeldedaten für Exchange gespeichert, dann ändert der Benutzer sein Passwort. Es kommt zur Abfrage der Anmeldeinformationen. Anmeldeinformationen aus der Anmeldeinformationsverwaltung löschen und schon läuft es wieder.

Zertifikate

Abgelaufene oder falsch konfigurierte Zertifikate können ebenfalls für Probleme mit der Authentifizierung sorgen, neben möglichen Zertifikatswarnungen, kann es dann auch zur Abfrage von Benutzer und Passwort kommen. Auch hier hätte ich noch ein Beispiel aus der Praxis: Es wurde ein Loadbalancer eingesetzt, der auf SSL-Bridging konfiguriert wurde. Der Loadbalancer hat also die SSL-Verbindung unterbrochen und zum Exchange Server neu verschlüsselt. Das Zertifikat eines Exchange Servers war abgelaufen, das Zertifikat am Loadbalancer aber noch gültig. Der Loadbalancer hat aufgrund des ungültigen Zertifikats des Exchange Servers die Anmeldedaten nicht mehr weitergeleitet, hätte ja auch eine MITM-Attacke sein können. Zertifikatswarnungen in Outlook sind aufgrund des gültigen Zertifikats am Loadbalancer nicht aufgetreten.

Internet Explorer

Wie auch bei den Proxy Einstellungen greift Outlook auf das Zonenmodell des Internet Explorers zurück. Auch hier kann es gerade in Verbindung mit MAPIoverHTTP, dem neuen Exchange Standardprotokoll, zu Problemen kommen. Wenn die Exchange URLs nicht in der Intranet-Zone eingetragen sind (oder die automatische Ermittlung nicht funktioniert), wird Outlook versuchen Basic-Auth zu verwenden. In diesem Fall kann es nun wieder zu Passwort Abfragen kommen. Das Eintragen der Exchange URLs in die Intranet Zone des Internet Explorers schafft hier normalerweise Abhilfe.

Hat alles nicht geholfen?

Wenn es immer noch zu Problemen mit der Anmeldung kommt, dann muss man jetzt tatsächlich tiefer wühlen und jede Umgebung einzeln analysieren. Hinweise auf Probleme liefern die unterschiedlichen Logs, allen voran die IIS Logs.

Auch die Ausschlussmethode kann weiterhelfen. Zum Beispiel einen Client explizit am Loadbalancer vorbei zu konfigurieren. Testweise NAT statt Reverse Proxy testen. Neues Outlook Profil auf einem Rechner anlegen und alle Outlook AddIns deaktivieren, auch AddIns können Probleme bereiten. Testweise MAPIoverHTTP für einzelne Postfächer deaktivieren, Firewalls können unter Umständen Probleme mit MAPIoverHTTP haben. Auch die Domain Controller sollten in die Analyse mit einbezogen werden. Wichtig sind auch die Informationen vom Benutzer, wann ist das Problem aufgetreten? War der der Benutzer mit einem VPN verbunden? Gab es Probleme im Netzwerk? Hat der Benutzer zwischen LAN und WLAN gewechselt?

All diese Informationen können hilfreich sein um das Problem einzugrenzen, denn wie schon eingangs erwähnt: Permanente Abfragen der Anmeldeinformationen sind nicht normal.

Die mobile Version verlassen