Exchange autodiscover 401 unauthorized extern gebruik

Vraag

woensdag 19 oktober 2016 08:12

Acties:

0 Henk 'm!

Wees bang!

Topicstarter

Beste mede tweakers,

Ik heb een probleem aangaande het implementeren van het externe gebruik van mijn exchange server 2016.
De externe autodiscover wil maar niet authentiseren. Intern werkt het nagenoeg vlekkeloos, maar zodra een collega met zijn laptop op pad gaat blijft outlook om een wachtwoord zeuren.
Bij test met de autodiscover/autodiscover.xml op een extern netwerk krijg ik dus constant de 401 error. Ik heb meerdere oplossingen die ik kon vinden op het web geprobeerd.

De situatie is als volgt:
-IIS webserver 2012 met ARR redirect naar de exchange farm (met 1 server), dus redelijk recht toe recht aan (fungeert ook als DNS en DC server).
-Exchange 2016 op een windows 2012 machine.
-DNS records mx en A naar ons externe adres (mail en autodiscover).
-Interne DNS records mail en autodiscover voor interne installatie clients.

ERROR:

Request Diagnostics for GET https://autodiscover.comp...discover/autodiscover.xml

-Request Summary

Site
1

Process
13072

Failure Reason
STATUS_CODE

Trigger Status
401

Final Status
401

Time Taken
0 msec

Url
https://autodiscover.comp...discover/autodiscover.xml

App Pool
DefaultAppPool

Authentication
Negotiate

User from token
domain\user

Activity ID
{8000029C-0001-F100-B63F-84710C7967BB}

-Errors & Warnings

No.↓

Severity

Event

Module Name

31. view trace
Warning
-REWRITE_DISABLED_KERNEL_CACHE

108. view trace
Warning
-MODULE_SET_RESPONSE_ERROR_STATUS

ModuleName
ApplicationRequestRouting

Notification
EXECUTE_REQUEST_HANDLER

HttpStatus
401

HttpReason
Unauthorized

HttpSubStatus
0

ErrorCode
The operation completed successfully.
(0x0)

ConfigExceptionInfo

Bovenstaande is een summary uit de failed request log van ARR module.

Rewriten lijkt allemaal goed te gaan, kan de link benaderen en ook het certificaat is herkend.
De client connectivity test van microsoft komt ook door alle stappen, totdat deze moet authoriseren.

Ik heb van alles geprobeerd op het gebied van outlookanywhere op Basic, Negotiate en NTML zetten en map rechten. Maar geen van alle heeft geleid tot een bevredigend response.

Iemand met ervaring in deze?

Wat wil je weten?

Alle reacties

woensdag 19 oktober 2016 13:17

Acties:

+1 Henk 'm!

wagenveld

Exchange

Post eens de resultaten van https://testconnectivity.microsoft.com/

[ Voor 5% gewijzigd door wagenveld op 19-10-2016 13:17 ]

woensdag 19 oktober 2016 13:25

Acties:

0 Henk 'm!

papakakkerlak

Wees bang!

Topicstarter

Bij deze:

Attempting the Autodiscover and Exchange ActiveSync test (if requested).
Testing of Autodiscover for Exchange ActiveSync failed.

Additional Details

Test Steps

Attempting each method of contacting the Autodiscover service.
The Autodiscover service couldn't be contacted successfully by any method.

Additional Details

Test Steps

Attempting to test potential Autodiscover URL https://company.com:443/Autodiscover/Autodiscover.xml
Testing of this potential Autodiscover URL failed.

Additional Details

Test Steps
Attempting to test potential Autodiscover URL https://autodiscover.comp...discover/Autodiscover.xml
Testing of this potential Autodiscover URL failed.

Additional Details

Test Steps

Attempting to resolve the host name autodiscover.company.com in DNS.
The host name resolved successfully.

Additional Details
Testing TCP port 443 on host autodiscover.company.com to ensure it's listening and open.
The port was opened successfully.

Additional Details
Testing the SSL certificate to make sure it's valid.
The certificate passed all validation requirements.

Additional Details

Test Steps
Checking the IIS configuration for client certificate authentication.
Client certificate authentication wasn't detected.

Additional Details
Attempting to send an Autodiscover POST request to potential Autodiscover URLs.
Autodiscover settings weren't obtained when the Autodiscover POST request was sent.

Additional Details

Test Steps

The Microsoft Connectivity Analyzer is attempting to retrieve an XML Autodiscover response from URL https://autodiscover.comp...discover/Autodiscover.xml for user m.wentink@company.com.
The Microsoft Connectivity Analyzer failed to obtain an Autodiscover XML response.

Additional Details

An HTTP 401 Unauthorized response was received from the remote Unknown server. This is usually the result of an incorrect username or password. If you are attempting to log onto an Office 365 service, ensure you are using your full User Principal Name (UPN).
HTTP Response Headers:
Content-Length: 0
Server: Microsoft-IIS/8.5
WWW-Authenticate: Basic realm="autodiscover.company.com",Negotiate,NTLM,Negotiate,NTLM,Basic realm="autodiscover.company.com"
request-id: 43e7680d-ba0e-4539-a27e-e19b0a9c77a1
X-Powered-By: ASP.NET,ARR/3.0,ASP.NET
X-FEServer: company-MAIL
Date: Wed, 19 Oct 2016 11:24:24 GMT
Elapsed Time: 1649 ms.

Wat wil je weten?

woensdag 19 oktober 2016 13:35

Acties:

0 Henk 'm!

papakakkerlak

Wees bang!

Topicstarter

ps. toen ik de authenticatie types wijzigde van de default website van de IIS server naar enkel basic authenticatie had ik de mogelijkheid in te loggen en de xml met code 600 te genereren. alleen na deze wijziging deed OWA en de interne autodiscover het niet meer. het moet ergens verkeerd gaan in de eerste routering vanaf de IIS server. ik kan er alleen de vinger niet op leggen.

Wat wil je weten?

woensdag 19 oktober 2016 14:37

Acties:

+1 Henk 'm!

wagenveld

Exchange

Hoe heb je ARR geconfigureerd? Guide zoals deze nagelopen?
https://blogs.technet.mic...erver-2013-using-iis-arr/

En dan specifiek de custom settings die je nodig hebt.

Dan nog even de output van het volgende op Exchange

get-OutlookAnywhere | fl *auth*
get-clientAccessServer | fl *auto*

woensdag 19 oktober 2016 14:48

Acties:

0 Henk 'm!

papakakkerlak

Wees bang!

Topicstarter

ik heb arr geconfigureerd nav een guid via:
http://www.msexchange.org...equest-routing-part1.html

Ik zal die van u ook even bekijken. (edit: bijna identiek aan degene die ik heb gebruikt)

get-OutlookAnywhere | fl *auth*

ExternalClientAuthenticationMethod : Negotiate
InternalClientAuthenticationMethod : Ntlm
IISAuthenticationMethods : {Basic, Ntlm, Negotiate}

get-clientAccessServer | fl *auto*

AutoDiscoverServiceCN : company-Mail
AutoDiscoverServiceClassName : ms-Exchange-AutoDiscover-Service
AutoDiscoverServiceInternalUri : https://autodiscover.comp...discover/autodiscover.xml
AutoDiscoverServiceGuid : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
AutoDiscoverSiteScope : {Default-First-Site-Name}

bedankt alvast voor de reacties!

[ Voor 3% gewijzigd door papakakkerlak op 19-10-2016 14:51 ]

Wat wil je weten?

woensdag 19 oktober 2016 15:20

Acties:

+1 Henk 'm!

wagenveld

Exchange

Zet ExternalClientAuthenticationMethod ook eens op NTLM, of had je dat al geprobeerd?
Dan, in IIS op de Exchange box, verander de authentication provider volgorde van zowel de autodiscover als RPC virtual directory zodat NTLM bovenaan staat. (IIS Manager -> Authentication feature -> select Windows authentication -> providers...)

woensdag 19 oktober 2016 16:12

Acties:

0 Henk 'm!

papakakkerlak

Wees bang!

Topicstarter

Ga het morgen proberen. Heb wel al gerommeld met die setting maar nog niet binnen iis met die volgorde.. wist niet dat dat kon.

[ Voor 96% gewijzigd door papakakkerlak op 19-10-2016 16:18 ]

Wat wil je weten?

woensdag 19 oktober 2016 16:17

Acties:

+1 Henk 'm!

wagenveld

Exchange

Als regel moet je alles via Exchange (PS) instellen, nooit in IIS zelf gaan knutselen. Maar specifiek die provider volgorde kan wel, zolang je maar geen providers toevoegt/verwijderd.
Maar in theorie zou de ExternalClientAuthenticationMethod voldoende moeten zijn.

edit: zie hier, bijna onderaan: http://blog.techtalklive....010-2013-Coexistence.aspx

[ Voor 17% gewijzigd door wagenveld op 19-10-2016 16:19 ]

woensdag 19 oktober 2016 16:19

Acties:

0 Henk 'm!

papakakkerlak

Wees bang!

Topicstarter

Thanks. Ik had je punt gemist om autodiscover en rpc te checken gemist.

Wat wil je weten?

woensdag 19 oktober 2016 16:28

Acties:

0 Henk 'm!

papakakkerlak

Wees bang!

Topicstarter

Lijkt niet te werken. Zelfde gedrag als voor de veranderingen. Moet ik nog iisreset uitvoeren of is dit direct actief?

Wat wil je weten?

woensdag 19 oktober 2016 16:29

Acties:

+1 Henk 'm!

wagenveld

Exchange

Altijd iisreset /noforce als je iets in Exchange mbt IIS wijzigt.

woensdag 19 oktober 2016 22:06

Acties:

0 Henk 'm!

papakakkerlak

Wees bang!

Topicstarter

Helaas geen oplossing met deze stappen.

Wat wil je weten?

donderdag 20 oktober 2016 21:07

Acties:

0 Henk 'm!

wagenveld

Exchange

Hmm, dat wordt wat ingewikkeld dan

Aangezien het intern wel werkt zou ik het dan eerst bij ARR zoeken, heb je de mogelijkheid om tijdelijk HTTPS naar Exchange direct open te zetten, dan kun je bevestigen of het daar ligt of in de Exchange configuratie.

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties