Exchange-2010

Azure AD 應用程序代理背後的 Exchange 2010:Mac 的 Outlook 無法連接

  • June 8, 2017

我有一個 Microsoft 支持案例開放了大約一個月,遺憾的是他們沒有達到我通常的 MS 支持經驗。所以我會把這個貼在這裡。

大約一個月前,我們在本地 Exchange 2010 前端實施了 Azure AD 應用程序代理,以便我們可以為 OWA 和移動設備執行 MFA(技術上,為 OWA 和 InTune 註冊的 MFA,並在 EAS 上使用條件訪問需要 InTune。瞧。)它通常工作得很好。對於 Outlook Anywhere 和 EWS,我們只是允許直通身份驗證而不是預身份驗證,因為在 Ex2010 上,這些協議不會為客戶端執行 MFA,這對我們來說很好。

但是 - Outlook for Mac (2016) 將不再工作。

重要編輯- 如標題所示,這僅在場外時通過 AADAP 進入。當他們直接連接到 CAS 伺服器時(在本地或 VPN 上),它的工作方式與往常一樣。我們的 CAS 伺服器沒有改變。

因此,EWS 正在工作。如果我將我的 Windows 機器放在外部,Outlook 仍然可以連接到 EWS,因為我可以設置我的 OOO 並查看空閒/忙碌。

Outlook for Mac 將無法連接。它抱怨 Kerberos,要求我輸入新資訊,但從不連接。在 MS 支持下,我們使用 Charles(類似於 Fiddler)進行了 SSL 擷取,他們說問題是我們允許在 EWS 中進行 NTLM 和協商,而 AADAP 將始終且僅將最強的方法傳遞給客戶端,而 Mac Outlook 贏了不與協商工作。

作為測試,昨晚我在 CAS 伺服器上的 IIS 中刪除了 Negotiate 作為 Windows Auth 提供程序,我的 Mac 開始工作,現在根據 Charles 的說法使用 Basic auth。但是,外部的 Windows 客戶端無法訪問 EWS,因此 OOO、郵件提示、忙/閒都被破壞了。我們的 Windows 使用者比 Mac 使用者多得多,所以我們恢復了。我仍在與 MS 合作,但 Azure AD 團隊似乎已經消失了,Exchange 傢伙已經脫離了他的元素(對他來說沒有錯),他們甚至從未參與過 Outlook for Mac 團隊。

有人對從哪裡開始有任何想法嗎?

幾週前,我與 Azure AD 的產品經理通了電話。他們將一項功能推送到 App Proxy 以檢測 Mac Office 連接,然後只顯示它可以使用的 AUTH 類型。所以,是的。

引用自:https://serverfault.com/questions/846643