Решено Exchange 2019 запрос пароль на ПК в домене

[stas24]

Добрый день. Мигрировал exchange 2016 на exchange 2019, всё прошло штатно и работает. Автоподключение на серверах, локальных доменных ПК, автонастройка работает в локальной сети и в интернете.
Всё это ровно до того момента пока не запускаю скрипт применения расширеной безопасности от microsoft, после применения скрипта получаю следующее
1) В сети интернет всё работает как прежде
2) На терминальных серверах всё работает как прежде
3) С компьютерами локальными в домене чехарда, некоторые подключаются как и прежде. а вот основная масса начинает запрашивать пароль. При этом при вводе пароля и логина (в любой конфигурации) всё равно опять повторный запрос логина пароля и так бесконечно.

Пробывал
Удалял почтовый профиль (при удалении новый даже не создаётся)
Выполнял рекомендации по изменению реестра что бы не шло подключение к office 365

 

[NanoSuit]

3) С компьютерами локальными в домене чехарда, некоторые подключаются как и прежде. а вот основная масса начинает запрашивать пароль. При этом при вводе пароля и логина (в любой конфигурации) всё равно опять повторный запрос логина пароля и так бесконечно.

Может быть дело в версии клиентов Outlook.
Зажмите control и тест подключения сделайте.
Посмотрите log на cas сервере куда подключается outlook

 

[stas24]

Может быть дело в версии клиентов Outlook.
Зажмите control и тест подключения сделайте.
Посмотрите log на cas сервере куда подключается outlook

Версии outlook одинаковые все 2016. Подключение идёт на сервер на какую именно службу не знаю где посмотреть.

 

[NanoSuit]

Сколько серверов Exchange ?

 

[NanoSuit]

Версии outlook одинаковые все 2016. Подключение идёт на сервер на какую именно службу не знаю где посмотреть.

Запусти outlook зажми control, затем на значке outlook состояние подключения

 

[stas24]

Запусти outlook зажми control, затем на значке outlook состояние подключения
Посмотреть вложение 11803

Сервер 1 exchange 2019. Если не включаю расширенную безопасность то

При включённой расширенной безопасности не подключается даже, сразу запрос логин пароль и если жмёшь отмена то вылет.

 

[stas24]

вот скриншоты с подключения при включёной расширенной безопасности автоподключения. При попытке подключения выдаёт в поле Проверка подлинности - ошибка, при этом на сервере в логах аудита

Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: sergei.danilov@...
Домен учетной записи: -

Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xC000035B
Подсостояние: 0x0

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x0
Имя процесса вызывающей стороны: -

Сведения о сети:
Имя рабочей станции: DANILOVS
Сетевой адрес источника: 172.20.22.93
Порт источника: 52885

Сведения о проверке подлинности:
Процесс входа:
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.

 

[stas24]

И ещё вот с outlook
Станислав Сутягин, [23.01.2024 22:25]
xml version="1.0" encoding="utf-8"?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
<Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
<User>
<DisplayName>Сергей Данилов</DisplayName>
<LegacyDN>/o=...../ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=user0bc3e382</LegacyDN>
<AutoDiscoverSMTPAddress>sergey.danilov@....ru</AutoDiscoverSMTPAddress>
<DeploymentId>87f48410-05eb-4960-ab55-28b703376fab</DeploymentId>
</User>
<Account>
<AccountType>email</AccountType>
<Action>settings</Action>
<MicrosoftOnline>False</MicrosoftOnline>
<ConsumerMailbox>False</ConsumerMailbox>
<Protocol Type="mapiHttp" Version="1">
<MailStore>
<InternalUrl>https://mail......ru/mapi/emsmdb/?MailboxId=912d7b5f-ffef-4dc5-ab28-225002a5f75c@....ru</InternalUrl>
<ExternalUrl>https://mail......ru/mapi/emsmdb/?MailboxId=912d7b5f-ffef-4dc5-ab28-225002a5f75c@....ru</ExternalUrl>
</MailStore>
<AddressBook>
<InternalUrl>https://mail......ru/mapi/nspi/?MailboxId=912d7b5f-ffef-4dc5-ab28-225002a5f75c@....ru</InternalUrl>
<ExternalUrl>https://mail......ru/mapi/nspi/?MailboxId=912d7b5f-ffef-4dc5-ab28-225002a5f75c@....ru</ExternalUrl>
</AddressBook>
</Protocol>
<Protocol>
<Type>WEB</Type>
<Internal>
<OWAUrl AuthenticationMethod="Basic, Fba">https://mail.......ru/owa/</OWAUrl>
<Protocol>
<Type>EXCH</Type>
<ASUrl>https://mail......ru/EWS/Exchange.asmx</ASUrl>
</Protocol>
</Internal>
<External>
<OWAUrl AuthenticationMethod="Fba">https://mail........ru/owa/</OWAUrl>
<Protocol>
<Type>EXPR</Type>
<ASUrl>https://mail.......ru/EWS/Exchange.asmx</ASUrl>
</Protocol>
</External>
</Protocol>
<Protocol>
<Type>EXHTTP</Type>
<Server>mail.......ru</Server>
<SSL>On</SSL>
<AuthPackage>Ntlm</AuthPackage>
<ASUrl>https://mail......ru/EWS/Exchange.asmx</ASUrl>
<EwsUrl>https://mail.......ru/EWS/Exchange.asmx</EwsUrl>
<EmwsUrl>https://mail......ru/EWS/Exchange.asmx</EmwsUrl>
<EcpUrl>https://mail.......ru/owa/</EcpUrl>
<EcpUrl-um>?path=/options/callanswering</EcpUrl-um>
<EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr>
<EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=....x.ru</EcpUrl-mt>
<EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret>
<EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms>
<EcpUrl-publish>?path=/options/calendarpublishing/id/&lt;FldID&gt;</EcpUrl-publish>
<EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo>
<EcpUrl-tm>options/ecp/?rfr=olk&amp;ftr=TeamMailbox&amp;exsvurl=1&amp;realm=.......ru</EcpUrl-tm>
<EcpUrl-tmCreating>options/ecp/?rfr=olk&amp;ftr=TeamMailboxCreating&amp;SPUrl=&lt;SPUrl&gt;&amp;Title=&lt;Title&gt;&amp;SPTMAppUrl=&lt;SPTMAppUrl&gt;&amp;exsvurl=1&amp;realm=......ru</EcpUrl-tmCreating>
<EcpUrl-tmEditing>options/ecp/?rfr=olk&amp;ftr=TeamMailboxEditing&amp;Id=&lt;Id&gt;&amp;exsvurl=1&amp;realm=.......ru</EcpUrl-tmEditing>
<EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall>
<OOFUrl>https://mail......ru/EWS/Exchange.asmx</OOFUrl>
<UMUrl>https://mail......ru/EWS/UM2007Legacy.asmx</UMUrl>
<ServerExclusiveConnect>On</ServerExclusiveConnect>
</Protocol>
<Protocol>
<Type>EXHTTP</Type>
<Server>mail......ru</Server>
<SSL>On</SSL>
<AuthPackage>Negotiate</AuthPackage>
<ASUrl>https://mail.......ru/EWS/Exchange.asmx</ASUrl>
<EwsUrl>https://mail......ru/EWS/Exchange.asmx</EwsUrl>

<EmwsUrl>https://mail......ru/EWS/Exchange.asmx</EmwsUrl>
<EcpUrl>https://mail.....ru/owa/</EcpUrl>
<EcpUrl-um>?path=/options/callanswering</EcpUrl-um>
<EcpUrl-aggr>?path=/options/connectedaccounts</EcpUrl-aggr>
<EcpUrl-mt>options/ecp/PersonalSettings/DeliveryReport.aspx?rfr=olk&amp;exsvurl=1&amp;IsOWA=&lt;IsOWA&gt;&amp;MsgID=&lt;MsgID&gt;&amp;Mbx=&lt;Mbx&gt;&amp;realm=.....ru</EcpUrl-mt>
<EcpUrl-ret>?path=/options/retentionpolicies</EcpUrl-ret>
<EcpUrl-sms>?path=/options/textmessaging</EcpUrl-sms>
<EcpUrl-publish>?path=/options/calendarpublishing/id/&lt;FldID&gt;</EcpUrl-publish>
<EcpUrl-photo>?path=/options/myaccount/action/photo</EcpUrl-photo>
<EcpUrl-tm>options/ecp/?rfr=olk&amp;ftr=TeamMailbox&amp;exsvurl=1&amp;realm=.....ru</EcpUrl-tm>
<EcpUrl-tmCreating>options/ecp/?rfr=olk&amp;ftr=TeamMailboxCreating&amp;SPUrl=&lt;SPUrl&gt;&amp;Title=&lt;Title&gt;&amp;SPTMAppUrl=&lt;SPTMAppUrl&gt;&amp;exsvurl=1&amp;realm=....ru</EcpUrl-tmCreating>
<EcpUrl-tmEditing>options/ecp/?rfr=olk&amp;ftr=TeamMailboxEditing&amp;Id=&lt;Id&gt;&amp;exsvurl=1&amp;realm=.....ru</EcpUrl-tmEditing>
<EcpUrl-extinstall>?path=/options/manageapps</EcpUrl-extinstall>
<OOFUrl>https://mail......ru/EWS/Exchange.asmx</OOFUrl>
<UMUrl>https://mail.....ru/EWS/UM2007Legacy.asmx</UMUrl>
<ServerExclusiveConnect>On</ServerExclusiveConnect>
</Protocol>
</Account>
</Response>
</Autodiscover>

 

[akbars]

А autodiscover исправно работает ? Что будет тут

 

[zlodey]

Эта проблема может возникнуть, если для параметра Безопасность входа в сеть на вкладке Безопасность диалогового окна Microsoft Exchange установлено значение, отличное от Анонимная проверка подлинности.

 

[Толстый Лори]

Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xC000035B
Подсостояние: 0x0

Эта проблема возникает, когда значение реестра LmCompatibility настроено для принудительного использования NTLMv1 в системе. Значение LmCompatibility меньше 3 заставляет систему использовать NTLMv1

Куда то в эту сторону копать.

 

[stas24]

Эта проблема может возникнуть, если для параметра Безопасность входа в сеть на вкладке Безопасность диалогового окна Microsoft Exchange установлено значение, отличное от Анонимная проверка подлинности.

Добрый день, нет здесь всё в порядке. Но кажется нашёл проблему в выходные проверю. Дело в том что у нас настроен revers DNS и как выяснилось обратная запись выдаёт локальный адрес а не mail....ru. Поправлю в выходные и проверю, тогда отпишусь

 

[stas24]

Так ничего и не вышло, проблему временно решил отключив рассширеные параметры у ews и mapi.
Буду рад какие ещё есть варианты если у кого.

 

[stas24]

Странно, почему отображаемое имя транспорт ....

 

[stas24]

Нашел похоже причину, при анализе службы транспорт microsoft exchange выявил что отсутствует зависимоя служба Сетевой вход в систему. Есть у кого идеи как восстановить службы? Или только переустановка exchange?(

 

[stas24]

И еще заметил нюанс, не авторизиются только компьютеры и пользователи в поддомене. Тоесть если компьютер в домене ret.local то всё работает, а если в домене ns.ret.local то постоянный запрос пароля и не проходит авторизацию

 

[xXDIZELXx]

Вероятно у вас подменяется SSL сертификат на клиентских тачках каким то приложением, может серверный касперский если настройки верны на exchange, попробуйте проверить зайдя на mail.exchange.ru/owa ткнуть на просмотр серта, возможно там будет подмена, каспер это любит если нет в исключениях, сервисов куча,возможно какой то из них

 

[Тимур]

Нашел похоже причину, при анализе службы транспорт microsoft exchange выявил что отсутствует зависимоя служба Сетевой вход в систему. Есть у кого идеи как восстановить службы? Или только переустановка exchange?(

Добрый день!

Не смогли найти решение данной проблемы? столкнулся точно такой же проблемой, кроме переустановки Windows ни чего не помогает

 

[apache]

Добрый день!

Не смогли найти решение данной проблемы? столкнулся точно такой же проблемой, кроме переустановки Windows ни чего не помогает

Логи то есть какие-то? Или текст ошибки? Нужно больше деталей - что происходит

 

[thesoulshunter]

NTLM2 надо по домену врубить
NTLMv1 can't be used together with Extended Protection. If you enforce a client to use NTLMv1 instead of NTLMv2 and you have Extended Protection enabled on your Exchange servers, this configuration leads to password prompts on the client side without a way to authenticate successfully against the Exchange server.
(зарегиться тут адок)