Bei der Migration von Exchange 2016 zu Exchange 2019 bin ich auf das Problem gestoßen, dass Outlook ständig nach Benutzername und Passwort fragt. Eine Verbindung via Outlook zu Exchange konnte nicht mehr hergestellt werden, sobald der DNS-Eintrag (bzw. der Loadbalancer) auf die neuen Exchange 2019 Server umgestellt wurde. OWA und ActiveSync funktionierten jedoch problemlos.
In den meisten Fällen liegt das Problem der Outlook Passwortabfrage an unterschiedlichen Authentifizierungseinstellungen für die Outlook Protokolle OutlookAnywhere (das alte RPCoverHTTP) und/oder MAPIoverHTTP. In der Regel reicht es dann schon, wenn für die beiden Protokolle die Authentifierungseinstellungen gleich gesetzt werden. Augenscheinlich wurde dies auch bereits für beiden Protokolle durchgeführt, wie in den beiden Screenshots zu sehen ist (OAuth ist in reinen on-Prem Umgebungen nicht relevant):
MAPIoverHTTP
Outlook Anywhere
Auch auf der Exchange Shell ließen sich nicht direkt unterschiede bei der Authentifizierungseinstellungen feststellen, denn auch die IIS Einstellungen sind auf allen Servern gleich.
Auch in meinem Fall lag es an der Authentifizierung, denn die Exchange 2016 Server wurden auf Kerberos Authentifizierung umgestellt. Um die Kerberos nutzen zu können, wird ein Computerobjekt im AD mit den entsprechenden SPNs erstellt und den Exchange Servern als AlternateSeriveAccountConfiguration zugewiesen. Dieses dedizierte Computerkonto wird dann für die Kerberos Authentifizierung für Exchange benutzt. In meinem Fall hatte ich bei der Konfiguration der neuen Exchange 2019 Server vergessen, dass entsprechende Computerkonto auch auf den Exchange 2019 Servern zu konfigurieren.
Mit dem folgenden Befehl lässt sich prüfen, ob Exchange für Kerberos konfiguriert wurde und welches Computerkonto für die Authentifizierung genutzt wird:
Get-ClientAccessService SERVERNAME -IncludeAlternateServiceAccountCredentialStatus | fl *alter*
Exchange 2016 und Exchange 2019 Server können das gleiche Computerkonto verwenden, somit muss nur die Konfiguration von einem Exchange 2016 Server auf die neuen Exchange 2019 übertragen werden. Für das Übertragen der Konfiguration gibt es im Exchange Scripts Ordner ein PowerShell Script. Das Script wird wie folgt verwendet:
.\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer EXCHANGE2019SERVER -CopyFrom EXCHANGE2016SERVER
Nachdem die Kerberos Konfiguration auf die Exchange 2019 Server übertragen wurde, war auch die Passwort Abfrage in Outlook verschwunden.