URL webmail "ingin" terbuka dengan pengguna yang berbeda


0

Saya tidak yakin ini adalah masalah Exchange tetapi karena untuk saat ini hanya muncul dengan webmail, saya akan mempostingnya di sini dan berharap ada yang tahu ...

Skenario: lingkungan Exchange 2016 tunggal. Pisahkan DNS di tempat untuk webmail.domain.com. Otentikasi dasar digunakan untuk OWA. Klien semua domain bergabung dan di jaringan internal. Browser yang digunakan adalah Internet Explorer 11, Edge dan Chrome.

Gejala: ketika pengguna mencoba membuka webmail.domain.com maka popup kredensial muncul yang terus muncul, apakah kredensial yang benar disediakan atau tidak dan tidak ada akses ke kotak surat yang diberikan. Ada 2 solusi untuk masalah ini:

  • membuka autodiscover.domain.com/owa => ini juga memberikan popup kredensial tetapi login mungkin dan berhasil. Perhatikan bahwa autodiscover.domain.com menunjuk ke alamat IP yang sama persis dengan webmail.domain.com, yaitu alamat IP internal server Exchange. Menghubungkan alamat IP juga berfungsi.

  • membuka webmail.domain.com dengan Chrome => ini juga berfungsi tanpa masalah

Saya benar-benar bingung tentang apa yang dapat menyebabkan ini, tetapi saya merasa itu ada hubungannya dengan identitas / otentikasi. Mengapa?

Ketika saya membuka internet explorer di server Exchange dan saya membuka webmail.domain.com maka saya juga mendapatkan popup kredensial tetapi ID pengguna sudah diisi oleh sistem dan itu bukan ID pengguna yang saya gunakan untuk login Server pertukaran. Dalam kasus khusus ini diisi dengan akun "arsip", yang merupakan akun fungsional yang digunakan untuk aplikasi kotak surat / arsip penjurnalan. Jadi sepertinya koneksi ke situs web sedang dibuat dengan contoh pengguna yang salah. Ketika saya mencoba untuk membuka autodiscover.domain.com dari server Exchange, saya mendapatkan popup kredensial kosong (tidak ada ID pengguna diisi) dan ini adalah bagaimana seharusnya saya percaya.

Ini bukan pertama kalinya saya menemukan masalah seperti ini: di pelanggan lain internet diblokir untuk sebagian besar pengguna melalui proxy / firewall. Akses internet diizinkan berdasarkan per pengguna. Pengguna yang saya gunakan di server Exchange memiliki izin untuk masuk ke internet, namun, terkadang internet saya masih diblokir dan halaman pemblokiran menunjukkan yang berikut: domain "Aplikasi diblokir untuk pengguna" domain.local \ HealthMailbox04ca435d49044cf4b4f41c48dg52641 "

Jadi di sini juga, akses ke situs tampaknya diprakarsai oleh contoh pengguna yang salah. Saya tidak tahu apakah kedua masalah itu persis sama tetapi mereka terlihat sangat mirip.

Adakah yang mengalami hal seperti ini? Adakah yang punya ide ke arah mana saya bisa mencari untuk menyelesaikan masalah ini atau di forum mana saya harus memposting masalah seperti ini?

Info tambahan: jika komputer klien dikeluarkan dari domain maka masalahnya hilang. Jika bergabung ke domain lagi, masalahnya muncul lagi. Adakah yang tahu saya harus melihat ke arah mana?

Terima kasih dan salam hormat


Ketika Anda mengatakan "pengguna" maksud Anda masalah ini terhubung ke pengguna tertentu, atau maksud Anda "pengguna mana pun". Jika itu pengguna tertentu, apakah itu khusus untuk perangkat tertentu?
Rob Moir

Saya memiliki masalah serupa dan saya berhasil menemukan beberapa petunjuk dari testconnectivity.microsoft.com (penganalisa konektivitas jarak jauh) + kemudian google. just a clue
Aravinda

Ini tidak spesifik untuk satu perangkat dan tidak untuk satu pengguna. Saya akan memecahkan masalah dengan penganalisis konektivitas dari Microsoft besok. Terima kasih atas tipnya.
Jozef Woo

Jawaban:


2

Pertanyaan pertama - mengapa Anda tidak menggunakan Otentikasi Berbasis Formulir? Itu adalah cara standar dan paling aman untuk mengakses OWA.

Insting saya menunjuk pada proxy yang menghalangi, dan mencoba mengakses menggunakan informasi yang di-cache. Anda perlu memastikan bahwa Anda hanya menggunakan HTTPS, sehingga hal-hal tidak di-cache, otentikasi berbasis formulir untuk keamanan maksimum dan jika Anda menggunakan proxy secara internal, Exchange URL dikecualikan sehingga klien terhubung secara langsung.

Hampir positif ini bukan masalah dengan Exchange, kecuali ada sesuatu yang salah dengan pengaturan otentikasi untuk OWA.


Hai Sembee, terima kasih atas masukannya. Saya tidak menggunakan FBA karena kami memiliki Forefront TMG yang melakukan FBA dan kami tidak ingin ada 2 konfirmasi untuk pengguna.
Jozef Woo

Tidak ada proxy di lingkungan menurut petugas keamanan. Kami hanya menggunakan HTTPS. HTTP tidak dapat diakses di Exchange dan tidak ada redirection yang dikonfigurasi.
Jozef Woo

Sebenarnya ada 2 masalah; satu adalah bahwa pengguna yang disarankan oleh popup kredensial awal bukan pengguna yang login. Masalah kedua adalah bahwa ketika mengubah ID pengguna ke salah satu pengguna yang masuk, Anda masih tidak bisa masuk. Prompt kata sandi hanya muncul lagi.
Jozef Woo

Saya memeriksa dengan Wireshark & ​​meskipun saya tidak pandai menafsirkan hasil tersebut, saya menemukan beberapa kesalahan terkait Kerberos. Saya tidak menerapkan autentikasi Kerberos untuk Exchange, jadi saya tidak tahu apakah saya seharusnya melihatnya atau tidak, tetapi saya pikir tidak. Jadi ini membuat saya memeriksa auth pada direktori virtual OWA di IIS. Di sana saya melihat bahwa Basic dan Windows Auth diaktifkan. Yang terakhir memiliki 2 penyedia; Bernegosiasi & NTLM. Saya memindahkan NTLM ke atas dan sekarang masalah kedua tampaknya diselesaikan: kredensial prompt masih dengan pengguna yang salah tetapi saya setidaknya bisa masuk jika saya mengubahnya ke yang benar.
Jozef Woo

Saya tidak tahu apakah solusi ini menyelesaikan masalah kedua untuk semua klien atau jika memecahkan masalah dengan Outlook, tetapi saya akan memverifikasi secara luas dengan beberapa pengguna dan klien besok. Masalah pertama (menunjukkan ID pengguna yang berbeda dari pengguna yang masuk) tidak tertolong oleh perubahan ini, jadi saya masih bingung.
Jozef Woo
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.