12-07-17-header-2.jpg
14-11-2014

Kerberos Authentifizierung für Outlook Anywhere (Exchange 2013)

Artikel bewerten
(3 Stimmen)

Bei der Umstellung auf Exchange Server 2013 wird es bei vielen Anwendern, die Outlook Anywhere benutzen, bei der Authentifizierung gegen Exchange zu Verzögerungen bei der Anmeldung kommen.Die Alternative, Basic Authentication zu konfigurieren, kann nicht wirklich empfohlen werden. Die Benutzer werden dadurch mit einer Flut von Authentifizierungsabfragen gequält.

 

Das Problem ist hier beschrieben:

   

How to do performance tuning for NTLM authentication by using the MaxConcurrentApi setting

 

Microsoft empfiehlt Kerberos Authentication für Exchange 2013 zu aktivieren. Bei dieser Authentifizierung wird NTLM als Fallback verwendet.

 

Kerberos kann nur von Domain-joined-Clients verwendet werden. Non-Domain-Joined-Clients verwenden NTLM.

 

Die folgenden Schritte müssen durchgeführt werden um Kerberos für Outlook Anywhere zu aktivieren:

  • Definieren oder Prüfen des Verbindungspunktes
  • Virtuelles Computerobjekt anlegen
  • Service Principal Name für virtuelles Computerobjekt setzen
  • Virtuelles Computerobjekt den Client Access Servern pro AD Site zuweisen
  • Serverseitig Authentifizierung für Outlook Anywhere pro AD Site auf Negotiate stellen

 

Folgender Auszug zeigt die aktuelle Authentifizierung von Outlook mit NTLM:

NTLM

 

 

Hier: mail.test.local

 

Dieser Verbindungspunkt wird intern und extern jeweils durch Split DNS dargestellt, so dass Outlook automatisch eine externe oder interne Verbindung herstellen kann.

 

Aktuell sehen die Servereinstellungen wie folgt aus:

bild2

 

SSL Offloading kann verwendet werden, wenn Loadbalancer die SSL Verbindung terminieren.

Anschließend werden die URLs der Exchange Webdienste entsprechend geprüft oder konfiguriert.

Achtung: Hier bitte aufpassen, dass nur die jeweiligen Client Access Server am relevanten Active Directory Standort bearbeitet werden:

  • Get-WebServicesVirtualDirectory | fl server,*url*
  • Get-OabVirtualDirectory | fl server,*url*
  • Get-OutlookAnywhere | fl servername,*hostname*

Die URLs können entsprechend mit set-WebServicesVirtualDirectory, set-OabVirtualDirectory und set-OutlookAnywhere gesetzt werden.

Änderungen an den Einstellungen werden per Autodiscover an die Clients weitergegeben – das kann pro AD Site bis zu 15 Minuten. Dauern Manchmal auch länger.

Für Outlook Anywhere sind die OWA, ECP und Exchange Active Sync URLs uninteressant – natürlich können diese ebenfalls einheitlich gesetzt werden.

 

Damit die Client Access Server eine Session Ticket für Kerberos entgegen nehmen können, muss ein virtuelles Computerobjekt erzeugt und an den/die CAS gebunden werden.

Siehe dazu auch:How Kerberos Authentication Works

Zum Anlegen des Objektes wird die Powershell mit Active Directory Modul bemüht. Dazu ist als Betriebssystem mindestens Windows Server 2012 erforderlich.

  1. New-ADComputer -AccountPassword (Read-Host -Prompt "Passwort eingeben" -AsSecureString) -Name CAS-ASA –Path „ou=exchange,ou=server,dc=test,dc=local“ –Description „Virtuelles Netzwerknamenkonto für Kerberos Authentifizierung“

Hierbei wird in der angegebenen OU das Computerobjekt CAS-ASA mit dem Passwort der Wahl angelegt. Dieses Passwort für später notieren.

ASA steht hierbei für Alternate Service Account.

 

Für die verwendeten Zugriffsnamen werden jetzt die entsprechenden Service Principal names gesetzt.
Das Format sieht folgendermassen aus:

Setspn –a http/FQDN DOMAIN\COMPUTERNAME$

Also in unserem Beispiel:

setspn -a HTTP/mail.test.local TEST\CAS-ASA$
setspn -a HTTP/autodiscover.test.local TEST\CAS-ASA$

 

Jetzt wird pro Exchange Server an dem jeweiligen AD Standort das virtuelle Computerobjekt an die Client Access Server gebunden.

 

  • Set-ClientAccessServer EX01 -AlternateServiceAccountCredential (Get-Credential "test\cas-asa$")


Anschließend kann das entsprechend geprüft werden:

  • Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialPassword | fl name,AlternateServiceAccountConfiguration

Die Umstellung wird pro Active Directory Standort durchgeführt.

  • Set-OutlookAnywhere -InternalClientAuthenticationMethod Negotiate -IISAuthenticationMethods Negotiate,NTLM

 

Anschließend können sich Clients nach etwas Wartezeit per Kerberos authentifizieren und mit Exchange verbinden.

 

bild3

 

 

 

 

 

 

 

trevedi-logo-weiss

transparent10

trevedi IT-Consulting GmbH
Gottfried-Hagen-Str. 30
51105 Köln

T +49 (0)221 - 3 55 88 88 - 0
E Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Impressum/Haftungsausschluss

transparent10

transparent10

© trevedi IT-Consulting GmbH 2012

Login

Login