Exchange 2016 和 Outlook Anywhere - 外部網路時重複身份驗證彈出視窗
本地 Exchange 2016、Outlook 2013/2019
當使用者在網路內/在 VPN 上時,一切都很好。
當使用者將他們的筆記型電腦帶出我們的網路時:Outlook 彈出視窗要求他們登錄到他們的郵箱。
如果他們輸入他們的域憑據,彈出視窗將立即消失並重新出現。
如果他們忽略彈出視窗,他們仍然可以發送和接收郵件!
Outlook 狀態欄的右下方區域顯示“需要密碼”。如果點擊它,它將切換到“已連接到:Microsoft Exchange”,直到幾分鐘後彈出視窗返回。
Outlook 的連接狀態視窗顯示連接已建立。
在安全模式下打開 Outlook 沒有幫助。
我在 EMS 中執行 Get-OutlookAnywhere:
RunspaceId : ##### ServerName : ##### SSLOffloading : True ExternalHostname : #####.#####.### InternalHostname : #####.#####.### ExternalClientAuthenticationMethod : Basic InternalClientAuthenticationMethod : Ntlm IISAuthenticationMethods : {Ntlm, Negotiate} XropUrl : ExternalClientsRequireSsl : True InternalClientsRequireSsl : False MetabasePath : IIS://#####.#####.###/W3SVC/1/ROOT/Rpc Path : C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\rpc ExtendedProtectionTokenChecking : None ExtendedProtectionFlags : {} ExtendedProtectionSPNList : {} AdminDisplayVersion : Version 15.1 (Build 845.34) Server : ##### AdminDisplayName : ExchangeVersion : 0.20 (15.0.0.0) Name : Rpc (Default Web Site) DistinguishedName : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=#####,CN=#####,CN=Exchange Administrative Group,CN=Administrative Groups,CN=#####,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=#####,DC=### Identity : #####\Rpc (Default Web Site) Guid : ##### ObjectCategory : #####.###/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory ObjectClass : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
這在網路內部起作用的原因顯然是由於 Basic/NTLM 身份驗證,但我不明白為什麼 Basic 會導致我們在外部遇到的問題。
我發現許多論壇文章提出了解決方案,例如更改安全選項卡中的 Outlook 配置文件選項(登錄網路安全、Exchange 代理設置、http 等)。
這些配置文件選項在 Outlook 2013/2019 中不存在或灰顯。我認為它們可能是由 Exchange 規定的,但我不確定如何。
奇怪的是,一位 2019 使用者沒有獲得標準的 Outlook 使用者名/密碼彈出視窗。她收到一個彈出視窗,詢問她的“工作或學校帳戶”。當她輸入她的工作電子郵件地址時,出現“此組織不支持加入 Azure AD”的錯誤消息。
我們公司不使用 Azure。此彈出視窗在電腦之間跟隨她。這種行為讓我很困惑。
我不確定這個問題是什麼時候出現的或為什麼會出現,但我有理由確定問題出在 Outlook Anywhere 上。
這是 Outlook Anywhere 配置錯誤嗎?
這是身份驗證問題嗎?
這是 SSL 問題嗎?
任何建議表示讚賞。
謝謝!
弄清楚了。這是一個 DNS 或防火牆問題(取決於您更願意在哪裡進行修復)。
我們的伺服器配置為為每個使用者提供兩個郵件域。一個是目前的,一個是遺留的。
我們的託管公司更改了我們的公共 IP 地址,並相應地更新了防火牆。
目前的 DNS 記錄已更新為新 IP。舊版 DNS 不是。舊記錄仍將所有 CNAME 條目(autodiscover.legacy.com、mail.等)指向舊 IP。
如果防火牆設置為相應地接受和路由流量,舊 IP 就可以工作。我選擇更新舊的 DNS 記錄。
感謝您的建議,@Kelvin_D!
預設情況下,Exchange 2016 使用 MAPI over HTTP 協議。Outlook Anywhere 是一種備份方法,如果客戶端不支持基於 HTTP 的 MAPI,則使用該方法。點擊伺服器選項卡。從列表中點兩下伺服器。點擊頁面中的 Outlook Anywhere。
您應該使用 Negotiate over Basic 身份驗證,因為 Basic 以明文形式發送使用者名和密碼,而 NTLM 是 Windows 身份驗證。將 ExternalClientAuthenticationMethod 設置為 Negotiate,InternalClientAuthenticationMethod 設置為 NTLM,IISAuthenticationMethods 設置為 Basic,NTLM,Negotiate。請同時開啟 SSLOffloading。