Migration von 2010 auf 1016

marhal · 10. Januar 2019

Wie so ist das Logisch ? Ist das NTLM wirklich nur für Benutzer in der Domäne ?
Ich dachte wenn ich mich halt im Outlook dann mich mit den Domain Benutzer anmelden kann. Das es das gleiche ist ? Nun es ist einer von der Geschäftsleitung, und der möchte sein Desktop etc nicht alles neu einrichten. Daher arbeitet er bis zum Notebook tot noch mit seinem Lokalen Account. Doch wenn ich halt das umstelle, konnten sie sich halt garnicht mehr an Outlook anmelden... es popt immer das Loginfenster hoch

NorbertFe · 10. Januar 2019

Zitat von marhal

Wie so ist das Logisch ? Ist das NTLM wirklich nur für Benutzer in der Domäne ?

Weil du auf ein fremdes Postfach zugreifst. Lokaler Benutzer auf Postfach eines Domänenbenutzers. Also ist es logisch, dass man ein Kennwort eingeben muß.

marhal · 10. Januar 2019

das leuchtet mir ja auch ein. Nur wenn ich das den Benutzer und Kennwort angebe dann sollte er sich ja einloggen können. Aber das tut er ja nicht. Das Fenster springt immer von neuem auf. Ich muss dazu sagen das ich noch ein TMG im Einsatz habe und so wie ich erkennen kann versuchte halt über den Proxy zu gehen.

Ich bin für Ratschläge wirklich dankbar

NorbertFe · 10. Januar 2019

Ja und was macht das TMG? Evtl. Pre-Auth? Wäre ja ein nicht ganz unwichtige Information, findest du nicht?

marhal · 11. Januar 2019

Das stimmt. aber ich habe geschaut Outlook baut halt eine Exchange RPC Verbindung auf und geht nicht über den TMG wie gedacht. Sprich er spricht direkt mit den Cashub Servern. Ich denke ich werde halt auch beide auf NTLM schalten bei outlookanywhere.
Die Frage die ich mir nur stelle ist wieso die Leute die nicht in der Domäne sind und ihr Kennwort eingeben müssen. keine Verbindung hinbekommen. Da pop das Fenster immer wieder auf. Gibts noch eine Stelle was ich kontrollieren könnte ? außer die Die Services Authentifizierung ?

Gruß Marmal

NorbertFe · 11. Januar 2019

Hmm man könnte ja auch dafür sorgen, dass Outlook das nicht tut. Nochmal die Frage: wie ist dein tmg konfiguriert? Vielleicht fällt dir dann ja auf, warum von extern nur Standard funktioniert.

marhal · 11. Januar 2019

Hallo Norber,

Unser TMG hat eine Regel für RPC und dort steht als Authentifizierung "Stadardautherfizierung". Die Pfade verweisen auf /rpc /oab /ews und bei Benutzer sind die Alle authentifizierten Benutzer und Alle Benutzer drin. sogleich habe ich Listener mit dem richtigen Zertifikat wenn ich auf deren Eigenschaften schaue steht als Authentifizierung HTML-Formularautentifizierung mit Methode Windows.

Ich muss dazu sagen ich habe vom TMG leider nicht die Ahnung. Da es mal ein ehemaliger Kollege angesetzt hat. Und wir sind dabei den Bald abzu lösen durch ein Kemp.

Weißt du ob die Einstellung soweit ok sind ?

Gruß
Marhal

NorbertFe · 11. Januar 2019

Nein sind sie nicht. Wie du doch selbst merkst! Standard ist von extern erlaubt, womit klar ist, dass du da per ntlm nicht durch kommst.

marhal · 11. Januar 2019

Also sollte man auch hier auf NTLM-Authentifizierung stellen ?

Weil da gibts ja noch einiges an Möglichkeiten

Keine Delegierung, keine direkte Authentifizierung des Clients
Keine Delegierung, aber direkte Authentifizierung des KLients
Standard
NTLM
Aushandeln Kerberos ( aber da würde ich vermuten das Outlook 2010 das noch nicht kann)

Für eine Tip wäre ich dankbar

Gruß
Marhal..

NorbertFe · 11. Januar 2019

Ohne die Konfiguration im detail zu kennen, würde ich auf "Keine Delegierung, aber direkte Authentifizierung des Clients" tippen. Allerdings sägst du damit sofort alle derzeit außen befindlichen Nutzer ab. Ansonsten wärs meiner Meinung nach sinnvoll, sich jemanden mit ins boot zu holen, der sowas schonmal migriert hat.

Teilen