Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2010 SP2 und TMG 2010 bei Outlook- und iPad-Authentifizierung

Frage Microsoft Exchange Server

Mitglied: LK5000

LK5000 (Level 1) - Jetzt verbinden

19.08.2012, aktualisiert 21:28 Uhr, 4349 Aufrufe, 7 Kommentare

Wir haben derzeit ein Problem mit der Client-Authentifizierung (Outlook 2003, 2010 und iPad 2 über ActiveSync) in einer Subdomäne (ost.xxx.local) in unserer IT-Struktur:

Unsere AD-Struktur sieht folgendermaßen aus: Rootdomäne (xxx.local) und 3 Subdomänen (west.xxx.local, sued.xxx.local, ost.xxx.local).

Seit ca. 2 Wochen konnten sich Benutzer aus der Domäne ost.xxx.local nicht mit Outlook am Exchange 2010 anmelden; erst wenn man die Authentifizierung auf „NTLM“ in den Kontoeigenschaften umgestellt hat. Wir haben festgestellt, dass einige Domänencontroller Kerberosfehlermeldungen ausgegeben haben. Laut Microsoft, kann man mit dem Zurücksetzen des Computerkontokennworts diesen Fehler beheben (http://support.microsoft.com/kb/260575/de). So war es auch und der Fehler ist in der Ereignisanzeige verschwunden. Das Problem mit der Outlook- bzw. ActiveSync-Authentifizierung über das iPad blieb leider. Die Uhrzeit aller DC wurde auch überprüft.

Wir können den Fehler nicht nachvollziehen, da beispielsweise auf dem iPad ständig nach dem E-Mail-Kennwort gefragt wird und nach 30 Minuten dieser wieder E-Mails empfangen kann. Alles sporadisch. Man kann den Fehler nicht aktiv reproduzieren. Und das nur in der Subdomäne ost.xxx.local. Bei Outlook funktioniert es problemlos, wenn man in der Kontoeinstellung auf NTLM-Authentifizierung umstellt.

Die Domänencontroller sind größtenteils Windows Server 2008 R2 (es gibt aber noch einige mit 2003 R2) und die Domänenfunktionsebene läuft unter Windows Server 2003. Als E-Mail-Server läuft ein Exchange 2010 SP2; davor ist ein Forefront TMG 2010 geschaltet.

Wir haben bereits am TMG die Authentifizierung (Authentication Delegation) der ActiveSync-Regel auf "No delegation, but client may authenticate directly" testweise gesetzt, aber das hat nicht funktioniert (siehe http://bit.ly/NTHNMl). Plötzlich konnte sich kein iPad über ActiveSync authentifizieren.

Hat jemand irgendeinen Tipp oder Ratschlag für uns?

Viele Grüße
Lukas


PS: ich habe unter http://www.troovi.de/rBqJ53jmR924 die Einstellungen der ActiveSync-Regel als Screenshots hochgeladen.

Die Einstellung von ActiveSync im Exchange 2010:
Die Listen der Remotedateiserver (3. Bild) sind alle leer.

dc9107213aa4baff6cca2a06771e9ef2 - Klicke auf das Bild, um es zu vergrößern b49045c5e35279809847638b88298239 - Klicke auf das Bild, um es zu vergrößern 00d917aafea3f22f937635e4fabc0e66 - Klicke auf das Bild, um es zu vergrößern



Mitglied: Dani
19.08.2012, aktualisiert um 20:25 Uhr
Moin,
lade bitte die Bilder im Forum hoch. Nicht umsonst gibt es den Reiter "Bilder" im Thread erstellen.

Einstellung des Exchange 2010 gibts auf Nachfrage, da ich nicht alles hier posten möchte.
Soll dir jede/r eine PN schreiben um die Infos zu erhalten oder wie stellst du dir das vor?! So läuft das Spiel nicht! Bitte poste die notwendigen Informationen oder wir lassen es.
Achja, wurden auf Exchange, TMG ServicePacks oder Patches eingespielt?!

Grüße,
Dani (Mod)
Bitte warten ..
Mitglied: LK5000
19.08.2012 um 21:33 Uhr
Hallo Dani,
das mit den Bilder habe ich wohl übersehen :P

Nein, "Einstellen per PN" hab ich mir nicht gedacht! Wenn jemand eine Einstellung aus der EX-Konsole Punkt X, Reiter Y wissen möchte, hätte ich es gepostet. Ich habe die Einstellungen des ActiveSync im EX2010 oben aktualisiert.

Für Exchange 2010 habe ich SP2+Folgeupdates letzte Woche Donnerstag und TMG vorgestern installiert; da bestand aber mein Problem schon.

Viele Grüße
Bitte warten ..
Mitglied: Dani
19.08.2012, aktualisiert um 22:12 Uhr
Moin,
Wenn jemand eine Einstellung aus der EX-Konsole Punkt X, Reiter Y wissen möchte, hätte ich es gepostet. Ich habe die Einstellungen des ActiveSync im EX2010 oben aktualisiert.
Ist schon klar, aber Einstellungen die mit AS zu tun haben, kannst du gleich posten. Denn diese hängen doch direkt mit deinem Problem zusammen, oder.

Naja bei solch einer Umgebung führt ihr doch sicher Buch, seit wann (geneauer Tag) das Problem das erste Mal aufgetreten ist und was in der Woche am den Systemen in einzelnen geändert worden ist oder?!

Wie sieht denn euer Zugriffstruktur aus, betrachtet vom Handy aus. Beispiel:
Handy <-> Internet <-> Firewall <-> TMG (evtl. in einer DMZ) <-> exchange.ost.xxx.local

Kommen den die Anfragen bis zum Exchange durch oder bleiben sie unterwegs schon hängen?!
Ist dieser TMG nur als Reverseproxy im EInsatz oder auch als LAN Proxy?!


Grüße,
Dani
Bitte warten ..
Mitglied: Onitnarat
20.08.2012 um 16:39 Uhr
Das mit den semikolongetrennten Werten im Feld "Externe URL" funktioniert? Warum habt Ihr da überhaupt mehrere drin?
Bitte warten ..
Mitglied: LK5000
20.08.2012, aktualisiert um 17:00 Uhr
Das Interessante an der ganzen Sache ist, dass wir nichts verändert haben! Ich habe einen DC in der ost.xxx.local am 03.08. um ca. 23 Uhr heruntergefahren, weil in dem Standort Kabelarbeiten an der Stromverkabelung gemacht wurden. Der DC war 12 Stunden aus. Dann kamen die Kerberosfehler, die ich oben beschrieben habe.

Zugriffsstruktur ist: Handy <> Internet <> TMG (ohne DMZ)
So wie es aber aussieht lässt der TMG einige Anfragen nicht durch, weil diese von "anonymous" kommen (hab mal ein Log über die Client-IP gemacht, die das iPad bei der Einwahl ins UMTS erhält). Der Benutzer wird als anonymous erkannt bzw. das iPad authentifiziert sich damit, obwohl im iPad ein anderer Benutzer eingetragen ist.

Ich denke, es liegt eher daran, dass irgendetwas an unserer Subdomain nicht funktioniert. Ich habe heute an einem DC "KDC"-Fehler in der Ereignisanzeige entdeckt. Ich werden den DC später mal neu starten und schauen, ob das was bringt.
Bitte warten ..
Mitglied: LK5000
20.08.2012 um 16:59 Uhr
Ja, das funktioniert. Das hat EX 2010 selbst so eingetragen, weil wir mit dem Exchange 3 E-Mail-Domains verwalten.
Bitte warten ..
Mitglied: LK5000
22.08.2012, aktualisiert 27.08.2012
Das Problem scheint gelöst zu sein!

Auf einem anderen DC in der Domäne ost.xxx.local trat wieder der Kerberosfehler auf und die Replikation lief auf dem DC überhaupt nicht: es regnete dauernd „Der Ziel-Prinzipal Name ist falsch“- und „Zugriff verweigert“-Fehlermeldungen in der Ereignisanzeige.

Folgendes habe ich auf dem betroffenen DC (Windows Server 2003 R2) gemacht:
1) Kerberosdienst beenden und auf „Manuell“ stellen
2) Folgenden Befehl ausführen: netdom resetpwd /s:PDC.ost.xxx.local /ud:ost\administrator /pd:* (WICHTIG!!! Es muss der PDC sein! Der Befehl muss auch nur bei 2003 R2 angewandt werden; ab 2008 reicht es den Kerberosdienst zu beenden)
3) Betroffenen DC rebooten
4) in der Eingabeaufforderung alle Kerberostickets mit Befehl „klist purge“ löschen
5) Kerberosdienst auf „Automatisch“ stellen und starten
6) Replikationszeit abwarten und sich dann freuen, dass alles wieder läuft

Und siehe da: die Kennwortaufforderung auf dem iPad ist verschwunden und ActiveSync rennt problemlos!

In einige Dokumentationen habe ich gelesen, dass man irgendeinen DC in der Domäne bei dem Befehl „netdom resetpwd“ angeben kann. So ist es nicht! Man muss den PDC angeben. Siehe folgende Anleitung: http://goo.gl/GT4yD

Die Kerberos-Authentifizierung über Outlook funktioniert problemlos!
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (12)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...