Решено Exchange 2016, ADFS, DAG, Outlook365 не подключается к одному серверу.

Eviil

Eviil

Почетный гость
Добрый день, коллеги.
Столкнулся с интересной проблемой.
Есть два Exchange-сервера (exch1 (CU10) и exch2 (CU15)) on-prem и развёрнута гибридная инфраструктура (Exchange 2016 + Exchange Online).
Указываю в файле hosts адрес одного сервера (допустим, exch1.domain.ru) - Outlook2019, Outlook365 подключаются нормально, OWA открывается без проблем, adfs тоже отрабатывает штатно.
Указываю в файле hosts адрес второго сервера (допустим, exch2.domain.ru) - Outlook 2019 и OWA работают нормально, Outlook365 - не подключается, постоянно просит пароль.
Сверил настройки всех виртуальных директорий, сверил натсройки IIS, сверил вообще всё, до чего смог додуматься. Пробовал переустанавливать 365 офис - не помогат.
Пробовал удалять кэш автодискавера (тут %localappdata%\Microsoft\Outlook\) - не помогает.
Сервера Exchange отличаются версиейCU, у первого (exch1) CU10, у второго (exch2) - CU15.

UPD:
Попробовал переставить сервер с нуля, ситуация та же.
Несколько уточнений:
Если в браузере попытаться открыть autodiscover.xml по адресу https://mail.domain.com/autodiscover/autodiscover.xml - появляется окно аутентификации и не принимает пароль. (в файле hosts адрес mail.domain.com сопоставлен с ip-адресом проблемного сервера).
Если в браузере попытаться открыть autodiscover.xml по адресу https://ProblemServer.domain.com/autodiscover/autodiscover.xml - сервер отдаёт xml безо всякой дополнительной аутентификации.
Т.е. какая-то проблема, видимо, тут, н оне понятно.
Все настройки виртуальной директории autodiscover идентичны на обоих серверах, настройки IIS так же идентичны на обоих серверах.

UPD2:
Собрал третий сервер Exchange, установил Exchange 2016 CU10 - проблемы с подключением нет.
Следующим этапом буду пробовтаь ставить CU16.

UPD3.
Я поспешил с радостью по поводу версии 2016CU10, автодискавер так-же не работает на новых серверах.
Т.е. проблема с автообнаружением именно у новых серверов, но не понятно в чём именно.


Ни у кого подобного не было?
 
Последнее редактирование модератором:
не очень понятно кто к кому подключается, может в версии дело? Но явно что то не то с аутентификацией
 
Apossum сказал(а):
не очень понятно кто к кому подключается, может в версии дело? Но явно что то не то с аутентификацией
Нажмите, чтобы раскрыть...
Outlook365 не подключается ко второму серверу, постоянно требует пароль.
При это Outlook2016 подключается нормально, и OWA тоже.
 
Eviil сказал(а):
Добрый день, коллеги.
Столкнулся с интересной проблемой.
Есть два Exchange-сервера on-prem и развёрнута гибридная инфраструктура (Exchange 2016 + Exchange Online).
Указываю в файле hosts адрес одного сервера (допустим, exch1.domain.ru) - Outlook2019, Outlook365 подключаются нормально, OWA открывается без проблем, adfs тоже отрабатывает штатно.
Указываю в файле hosts адрес второго сервера (допустим, exch2.domain.ru) - Outlook 2019 и OWA работают нормально, Outlook365 - не подключается, постоянно просит пароль.
Сверил настройки всех виртуальных директорий, сверил натсройки IIS, сверил вообще всё, до чего смог додуматься. Пробовал переустанавливать 365 офис - не помогат.
Пробовал удалять кэш автодискавера (тут %localappdata%\Microsoft\Outlook\) - не помогает.
Сервера Exchange отличаются версиейCU, у первого (exch1) CU10, у второго (exch2) - CU15.


Ни у кого подобного не было?
Нажмите, чтобы раскрыть...

Может это
Запретить Outlook проверять точку подключения к облаку Office 365
Кроме того, есть информация, что в одном из последних обновлений Outlook 2016 появилась обязательная проверка точки подключения к облаку Office 365.

Убедится в этом можно, если с помощью утилит Fiddler или TCPView, отследив наличие попыток подключения к серверам autodiscover-s.outlook.com и outlook.office365.com

Чтобы отключить данную проверку, в ветке реестра HKEY_CURRENT_USER\Software \Microsoft\Office\16.0\Outlook \AutoDiscover нужно создать DWORD параметр с именем ExcludeExplicitO365Endpoint и значением 1 и перезапустить Outlook.

Ключ ExcludeExplicitO365Endpoint применим к Outlook 2016 версии 16.0.6741.2017 и выше (этот ключ является дополнительным к списку ключей, определяющих типы проверок при загрузке в статье Медленный Exchange Autodiscover в Outlook 2016.

Внести изменения в реестр можно такой командой:
reg add HKEY_CURRENT_USER\Software\Microsoft\Office\x.0\Outlook\AutoDiscover /t REG_DWORD /v ExcludeExplicitO365Endpoint /d 1
Или с помощью PowerShell командлета Set-ItemProperty:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" -Name 'ExcludeExplicitO365Endpoint' -Value 1 -Type DWORD –Force
Нажмите, чтобы раскрыть...
Источник https://winitpro.ru/index.php/2018/01/26/outlook-2016-postoyanno-zaprashivaet-parol-polzovatelya/
 
Engineer сказал(а):
а куда автодискавер указывает?
Нажмите, чтобы раскрыть...
Указывает на балансировщик, который, в свою очередь, указывает на первый сервер. Второй сервер (проблемный) в балансировку не добавлен.
У меня была мысль что дело в балансировщике, но если в файле hosts указать имя балансировщика и адрес первого сервера - проблем ни с какими подключениями нет.
 
Eviil сказал(а):
Указывает на балансировщик, который, в свою очередь, указывает на первый сервер. Второй сервер (проблемный) в балансировку не добавлен.
У меня была мысль что дело в балансировщике, но если в файле hosts указать имя балансировщика и адрес первого сервера - проблем ни с какими подключениями нет.
Нажмите, чтобы раскрыть...
А добавлять второй пробовали? Кстати, какой балансировщик используете HA proxy ?
 
Engineer сказал(а):
А добавлять второй пробовали? Кстати, какой балансировщик используете HA proxy ?
Нажмите, чтобы раскрыть...
Пробовали добавлять. Outlook365 постоянно запрашивает пароль, другие версии - работают нормально.
При подключиении к первому (рабочему) серверу напрямую, минуя балансировщик, проблем не наблюдается.
Какой балансировщик - точно не скажу.
 
Зачем тогда вообще балансировщик?
Насколько я помню там клиентские подключения идут к виртуальным директориям IIS.
77777.png

Вот где то на стороне IIS и косяк. Может быть расшифровка https мешает (если настроено), сертификат проверьте.

Посмотрите https://sysadmins.online/resources/
 
Последнее редактирование модератором:
Это пробовалось ?
Для решения этой проблемы, включите theoption разрешить Office для подключения к Интернет-служб, выполните следующие действия для вашей версии программы Outlook. Outlook 2016, Outlook 2019 и Outlook для Office 365:
  1. На вкладке Файл выберите пункт Параметры.
  2. Щелкните Центр управления безопасностьюи нажмите кнопку Параметры центра управления безопасностью.
  3. Нажмите кнопку Параметры конфиденциальности, а затем выберите флажок Office позволяют подключиться к Интернет-служб корпорации Майкрософт для предоставления функциональных возможностей, который имеет отношение к использованию и предпочтения .
  4. Два раза нажмите кнопку ОК , чтобы закрыть диалоговое окно Параметры Outlook . Примечание Если недоступен флажок Office позволяют подключиться к Интернет-служб корпорации Майкрософт для предоставления функциональных возможностей, который имеет отношение к использованию и настройки , обратитесь к разделу «Дополнительная информация» ниже, Дополнительные сведения об этом параметре.
Outlook 2013:
  1. На вкладке Файл выберите пункт Параметры.
  2. Выберите Центр управления безопасностьюи нажмите кнопку Параметры центра управления безопасностью.
  3. Нажмите кнопку Параметры конфиденциальностии затем установите флажок Разрешить Office для подключения к Интернету .
  4. Два раза нажмите кнопку ОК , чтобы закрыть диалоговое окно Параметры Outlook . Примечание. Если недоступен флажок Разрешить Office для подключения к Интернету , обратитесь к разделу «Дополнительная информация» ниже, Дополнительные сведения об этом параметре.
Нажмите, чтобы раскрыть...


 
Попробовал переставить сервер с нуля, ситуация та же.
Несколько уточнений:
Если в браузере попытаться открыть autodiscover.xml по адресу https://mail.domain.com/autodiscover/autodiscover.xml - появляется окно аутентификации и не принимает пароль. (в файле hosts адрес mail.domain.com сопоставлен с ip-адресом проблемного сервера).
Если в браузере попытаться открыть autodiscover.xml по адресу https://ProblemServer.domain.com/autodiscover/autodiscover.xml - сервер отдаёт xml безо всякой дополнительной аутентификации.
Т.е. какая-то проблема, видимо, тут, н оне понятно.
Все настройки виртуальной директории autodiscover идентичны на обоих серверах, настройки IIS так же идентичны на обоих серверах.
 
Engineer сказал(а):
а куда автодискавер указывает?
Нажмите, чтобы раскрыть...
Autodiscover указывает на имя mail.domain.com, в DNS оно сопоставлено с адресом балансировщика.
В даный момент в балансировщик добавлен только один сервер, второй - вот этот проблемный.
 
Eviil сказал(а):
Попробовал переставить сервер с нуля, ситуация та же.
Несколько уточнений:
Если в браузере попытаться открыть autodiscover.xml по адресу https://mail.domain.com/autodiscover/autodiscover.xml - появляется окно аутентификации и не принимает пароль. (в файле hosts адрес mail.domain.com сопоставлен с ip-адресом проблемного сервера).
Если в браузере попытаться открыть autodiscover.xml по адресу https://ProblemServer.domain.com/autodiscover/autodiscover.xml - сервер отдаёт xml безо всякой дополнительной аутентификации.
Т.е. какая-то проблема, видимо, тут, н оне понятно.
Все настройки виртуальной директории autodiscover идентичны на обоих серверах, настройки IIS так же идентичны на обоих серверах.
Нажмите, чтобы раскрыть...
стало интересно, проверил на своем exchange 2010. Если захожу по ссылке https://server/autodiscover/autodiscover.xml, то появляется доменная авторизация. Вводим логин и пароль и видим это
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
<Response>
<Error Time="17:08:27.5078648" Id="2053059689">
<ErrorCode>600</ErrorCode>
<Message>Недопустимый запрос</Message>
<DebugData/>
</Error>
</Response>
</Autodiscover>
Нажмите, чтобы раскрыть...

ProblemServer в домене ? Он включен в домен?
4545.png
 
Может куда то в эту сторону копнуть

Настройка Kerberos авторизации на сайте IIS | Windows для системных администраторов

Пошаговая инструкция по настройке на веб-сайте IIS на Windows Server 2012 R2 прозрачной авторизации доменных пользователей в режиме SSO (Single Sign-On) по
winitpro.ru winitpro.ru

Если в браузере попытаться открыть autodiscover.xml по адресу https://ProblemServer.domain.com/autodiscover/autodiscover.xml - сервер отдаёт xml безо всякой дополнительной аутентификации.
Нажмите, чтобы раскрыть...
В internet explorer тоже так ? Это во всех браузерах?
 
Ivan сказал(а):
стало интересно, проверил на своем exchange 2010. Если захожу по ссылке https://server/autodiscover/autodiscover.xml, то появляется доменная авторизация. Вводим логин и пароль и видим это


ProblemServer в домене ? Он включен в домен?
Посмотреть вложение 10618
Нажмите, чтобы раскрыть...
Проблемный сервер в домене, де.
При обращении к серверу по имени - выводится такая-же xml.
Ну и настройки аутентификации такие же .как и на рабочем сервере:

1586183088246.png
 
Ivan сказал(а):
Может куда то в эту сторону копнуть

Настройка Kerberos авторизации на сайте IIS | Windows для системных администраторов

Пошаговая инструкция по настройке на веб-сайте IIS на Windows Server 2012 R2 прозрачной авторизации доменных пользователей в режиме SSO (Single Sign-On) по
winitpro.ru winitpro.ru


В internet explorer тоже так ? Это во всех браузерах?
Нажмите, чтобы раскрыть...
В IE проверяю всё.
Про керберос - почитаю.
 
docs.microsoft.com

Настройка проверки подлинности OAuth между Exchange и Exchange Online

Настройка проверки подлинности OAuth между организациями Exchange и Exchange Online в Exchange Server
docs.microsoft.com

Еще вот здесь
docs.microsoft.com

Отключение обычной проверки подлинности в Exchange Online

Узнайте, как заблокировать обычную проверку подлинности для проверки подлинности клиента в Exchange Online
docs.microsoft.com
 
NanoSuit сказал(а):
docs.microsoft.com

Настройка проверки подлинности OAuth между Exchange и Exchange Online

Настройка проверки подлинности OAuth между организациями Exchange и Exchange Online в Exchange Server
docs.microsoft.com

Еще вот здесь
docs.microsoft.com

Отключение обычной проверки подлинности в Exchange Online

Узнайте, как заблокировать обычную проверку подлинности для проверки подлинности клиента в Exchange Online
docs.microsoft.com
Нажмите, чтобы раскрыть...
это то тут причем ??:unsure:
 
Для ответа нужно войти/зарегистрироваться
Назад
Верх