lk5000
Goto Top

Exchange 2010 SP2 und TMG 2010 bei Outlook- und iPad-Authentifizierung

Wir haben derzeit ein Problem mit der Client-Authentifizierung (Outlook 2003, 2010 und iPad 2 über ActiveSync) in einer Subdomäne (ost.xxx.local) in unserer IT-Struktur:

Unsere AD-Struktur sieht folgendermaßen aus: Rootdomäne (xxx.local) und 3 Subdomänen (west.xxx.local, sued.xxx.local, ost.xxx.local).

Seit ca. 2 Wochen konnten sich Benutzer aus der Domäne ost.xxx.local nicht mit Outlook am Exchange 2010 anmelden; erst wenn man die Authentifizierung auf „NTLM“ in den Kontoeigenschaften umgestellt hat. Wir haben festgestellt, dass einige Domänencontroller Kerberosfehlermeldungen ausgegeben haben. Laut Microsoft, kann man mit dem Zurücksetzen des Computerkontokennworts diesen Fehler beheben (http://support.microsoft.com/kb/260575/de). So war es auch und der Fehler ist in der Ereignisanzeige verschwunden. Das Problem mit der Outlook- bzw. ActiveSync-Authentifizierung über das iPad blieb leider. Die Uhrzeit aller DC wurde auch überprüft.

Wir können den Fehler nicht nachvollziehen, da beispielsweise auf dem iPad ständig nach dem E-Mail-Kennwort gefragt wird und nach 30 Minuten dieser wieder E-Mails empfangen kann. Alles sporadisch. Man kann den Fehler nicht aktiv reproduzieren. Und das nur in der Subdomäne ost.xxx.local. Bei Outlook funktioniert es problemlos, wenn man in der Kontoeinstellung auf NTLM-Authentifizierung umstellt.

Die Domänencontroller sind größtenteils Windows Server 2008 R2 (es gibt aber noch einige mit 2003 R2) und die Domänenfunktionsebene läuft unter Windows Server 2003. Als E-Mail-Server läuft ein Exchange 2010 SP2; davor ist ein Forefront TMG 2010 geschaltet.

Wir haben bereits am TMG die Authentifizierung (Authentication Delegation) der ActiveSync-Regel auf "No delegation, but client may authenticate directly" testweise gesetzt, aber das hat nicht funktioniert (siehe http://bit.ly/NTHNMl). Plötzlich konnte sich kein iPad über ActiveSync authentifizieren.

Hat jemand irgendeinen Tipp oder Ratschlag für uns?

Viele Grüße
Lukas


PS: ich habe unter http://www.troovi.de/rBqJ53jmR924 die Einstellungen der ActiveSync-Regel als Screenshots hochgeladen.

Die Einstellung von ActiveSync im Exchange 2010:
Die Listen der Remotedateiserver (3. Bild) sind alle leer.

dc9107213aa4baff6cca2a06771e9ef2
b49045c5e35279809847638b88298239
00d917aafea3f22f937635e4fabc0e66

Content-Key: 189821

Url: https://administrator.de/contentid/189821

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: Dani
Dani 19.08.2012 aktualisiert um 20:25:53 Uhr
Goto Top
Moin,
lade bitte die Bilder im Forum hoch. Nicht umsonst gibt es den Reiter "Bilder" im Thread erstellen.

Einstellung des Exchange 2010 gibts auf Nachfrage, da ich nicht alles hier posten möchte.
Soll dir jede/r eine PN schreiben um die Infos zu erhalten oder wie stellst du dir das vor?! So läuft das Spiel nicht! Bitte poste die notwendigen Informationen oder wir lassen es.
Achja, wurden auf Exchange, TMG ServicePacks oder Patches eingespielt?!

Grüße,
Dani (Mod)
Mitglied: LK5000
LK5000 19.08.2012 um 21:33:42 Uhr
Goto Top
Hallo Dani,
das mit den Bilder habe ich wohl übersehen :P

Nein, "Einstellen per PN" hab ich mir nicht gedacht! Wenn jemand eine Einstellung aus der EX-Konsole Punkt X, Reiter Y wissen möchte, hätte ich es gepostet. Ich habe die Einstellungen des ActiveSync im EX2010 oben aktualisiert.

Für Exchange 2010 habe ich SP2+Folgeupdates letzte Woche Donnerstag und TMG vorgestern installiert; da bestand aber mein Problem schon.

Viele Grüße
Mitglied: Dani
Dani 19.08.2012 aktualisiert um 22:12:32 Uhr
Goto Top
Moin,
Wenn jemand eine Einstellung aus der EX-Konsole Punkt X, Reiter Y wissen möchte, hätte ich es gepostet. Ich habe die Einstellungen des ActiveSync im EX2010 oben aktualisiert.
Ist schon klar, aber Einstellungen die mit AS zu tun haben, kannst du gleich posten. Denn diese hängen doch direkt mit deinem Problem zusammen, oder. face-smile

Naja bei solch einer Umgebung führt ihr doch sicher Buch, seit wann (geneauer Tag) das Problem das erste Mal aufgetreten ist und was in der Woche am den Systemen in einzelnen geändert worden ist oder?!

Wie sieht denn euer Zugriffstruktur aus, betrachtet vom Handy aus. Beispiel:
Handy <-> Internet <-> Firewall <-> TMG (evtl. in einer DMZ) <-> exchange.ost.xxx.local

Kommen den die Anfragen bis zum Exchange durch oder bleiben sie unterwegs schon hängen?!
Ist dieser TMG nur als Reverseproxy im EInsatz oder auch als LAN Proxy?!


Grüße,
Dani
Mitglied: Onitnarat
Onitnarat 20.08.2012 um 16:39:52 Uhr
Goto Top
Das mit den semikolongetrennten Werten im Feld "Externe URL" funktioniert? Warum habt Ihr da überhaupt mehrere drin?
Mitglied: LK5000
LK5000 20.08.2012 aktualisiert um 17:00:11 Uhr
Goto Top
Das Interessante an der ganzen Sache ist, dass wir nichts verändert haben! Ich habe einen DC in der ost.xxx.local am 03.08. um ca. 23 Uhr heruntergefahren, weil in dem Standort Kabelarbeiten an der Stromverkabelung gemacht wurden. Der DC war 12 Stunden aus. Dann kamen die Kerberosfehler, die ich oben beschrieben habe.

Zugriffsstruktur ist: Handy <> Internet <> TMG (ohne DMZ)
So wie es aber aussieht lässt der TMG einige Anfragen nicht durch, weil diese von "anonymous" kommen (hab mal ein Log über die Client-IP gemacht, die das iPad bei der Einwahl ins UMTS erhält). Der Benutzer wird als anonymous erkannt bzw. das iPad authentifiziert sich damit, obwohl im iPad ein anderer Benutzer eingetragen ist.

Ich denke, es liegt eher daran, dass irgendetwas an unserer Subdomain nicht funktioniert. Ich habe heute an einem DC "KDC"-Fehler in der Ereignisanzeige entdeckt. Ich werden den DC später mal neu starten und schauen, ob das was bringt.
Mitglied: LK5000
LK5000 20.08.2012 um 16:59:33 Uhr
Goto Top
Ja, das funktioniert. Das hat EX 2010 selbst so eingetragen, weil wir mit dem Exchange 3 E-Mail-Domains verwalten.
Mitglied: LK5000
LK5000 22.08.2012, aktualisiert am 27.08.2012 um 08:27:14 Uhr
Goto Top
Das Problem scheint gelöst zu sein! face-smile

Auf einem anderen DC in der Domäne ost.xxx.local trat wieder der Kerberosfehler auf und die Replikation lief auf dem DC überhaupt nicht: es regnete dauernd „Der Ziel-Prinzipal Name ist falsch“- und „Zugriff verweigert“-Fehlermeldungen in der Ereignisanzeige.

Folgendes habe ich auf dem betroffenen DC (Windows Server 2003 R2) gemacht:
1) Kerberosdienst beenden und auf „Manuell“ stellen
2) Folgenden Befehl ausführen: netdom resetpwd /s:PDC.ost.xxx.local /ud:ost\administrator /pd:* (WICHTIG!!! Es muss der PDC sein! Der Befehl muss auch nur bei 2003 R2 angewandt werden; ab 2008 reicht es den Kerberosdienst zu beenden)
3) Betroffenen DC rebooten
4) in der Eingabeaufforderung alle Kerberostickets mit Befehl „klist purge“ löschen
5) Kerberosdienst auf „Automatisch“ stellen und starten
6) Replikationszeit abwarten und sich dann freuen, dass alles wieder läuft face-smile

Und siehe da: die Kennwortaufforderung auf dem iPad ist verschwunden und ActiveSync rennt problemlos!

In einige Dokumentationen habe ich gelesen, dass man irgendeinen DC in der Domäne bei dem Befehl „netdom resetpwd“ angeben kann. So ist es nicht! Man muss den PDC angeben. Siehe folgende Anleitung: http://goo.gl/GT4yD

Die Kerberos-Authentifizierung über Outlook funktioniert problemlos!