Grüßt euch alle miteinander,
nun (endlich? ^^) bin ich an einem Punkt angelangt, der mich dazu treibt um Hilfe zu fragen. Dauert recht lang üblicherweise aber nun bin ich hier ;)
Hintergrund:
Vor ca. einem Jahr habe ich eine kleinere infra übernommen (neuer AG) , 3 server 2016 auf 2016, einer davon in colo-site - soweit alles up-to-date.
Hybrid-Konfig mit EXO gibts auch + vollumfänglich implementierten AAD Connect, aber das soll erstmal noch nicht Thema sein.
Hauptthema mit dieser Infra: Immer wieder Probleme mit der Authentifizierung, random Outlook - Cred Popups, besonders schlimm wenn via VPN aufgrund korrupter krb tickets.
Das hat erst kürzlich gegipfelt, als nach dem letzten SU + HCW/Hybrid OAuth reconfig (auch hier gab es einige glitches die berichtigt werden mussten -> aber kein HMA konfiguriert!) plötzlich alle VPN user ausm Outlook (MAPI/HTTP) gekickt wurden. Nachdem ich alle meine eigenen Konfigs deshalb wieder zurück gedreht oder neu gemacht hatte (dauert seine Zeit ...) und in alle möglichen Richtungen nach der Ursache gesucht hatte, kam ich dann erst drauf mit den darunter liegenden KRB auth flow mal genauer anzu schauen. Um leider dann erst festzustellen, dass KRB für EXCH noch nie konfiguriert wurde.
Also: KRB für EXCH konfiguriert (inkl. pw copy von srv1 auf 2 und 3, vollständige spns auf asa-object, etc ..., alles beachtet) und zack auth-probleme weg ... für etwa 10 Tage ^^
Heute morgen komme ich ins Büro, einer der 3 Server wirft KRB event errors (rpc/http 4004), "krb auth traffic fail against this server". Etwas googeln ergab ein möglicherweise korruptes pw für ASA-Account.
Alles klar, geht ja fix -> via EXCH mgmt script .\rollalternateserviceaccount .... pw neu erstellt, kopieren wollen auf alle server ... ===> plötzlich winrm syntax error auf einem der 3 server, konnte das geänderte pw so nicht mehr auf diesen server schieben; ohne erfindliche Gründe (ServerZeit, und bekannte Konsorten alles i.O...).
Da dieser Server nun im Moment hauptsächlich in Beschlag war durch ca. 400 clients, und diese 400 clients dann plötzlich mit authentifizierungsfehlern loslegten (sehr hartnäckige cred popups), schlugen die Wellen vorstellbar hoch.
Meine einzige Notfalllösung ? -> KRB for EXCH wieder ausschalten. Das hat jetzt auch geklappt mit einiger sanfter Gewalt, sodass die Anwenderseite erstmal wieder beruhigt ist. Dadurch gehe ich jetzt jedoch davon aus, dass wir wieder nur via NTLM authentifizieren, u.U. sogar NTLM - Fallback only ?
Nun könnte ich hier viele Sachen mit euch anschauen, aber ich starte erstmal mit dem für mich drängensten Thema: Den KRB auth flow wieder sauber und zuverlässig hinzubekommen.
Für den Anfang: Wie verifiziere ich zweifelsfrei, ob (a) die EXCH Server untereinander und (b) die Outlook clients via KRB authentifiziert werden? Der Connection-Status zeigt zwar für alle Verbindungen "Nego*", Kerberos auth dürfte ja aber gar nicht gehen, weil serverseitig nichts konfiguiert ?
Hier Klarheit zu bekommen wäre schon einmal ein wichtiger Schritt für mich, dann kann ich schauen wie weiter am besten Sinn macht.
Herzlichen Dank für's Einlesen und Mitdenken ;)
der To-Bias
P.S.: Ursprünglich bin/war ich ein alter/langjähriger Domino-Admin. Notgedrungen musste ich meine Dominos vor einigen Jahren verabschieden und hab mich so erst seit ca. 6-7 Jahren wieder intensive mit Exchange (onPrem+EXO) auseinander gesetzt. Ich kann mir die einfache Durchschaubarkeit und unbestechliche Logik von Domino leider noch so oft zurück wünschen ..... das ToDo wird sich wohl keine Fee ans Bein binden xD
Btw. völlig verständlich von solch vielen Worten erstmal die Finger zu lassen; ernsthaft! ;)
Ich mach hier trotzdem nochmal weiter. Evtl. kommen ja doch noch weitere Fragen auf ;)
Ich habe nun die KRB config definitiv wieder vollständig zurück gedreht (SPNs weg, ASA object weg, CAS settings aktualisiert, ...) Trotzdem zeigen die client -und server logs weiterhin "Negotiate" bei allen MAPI/HTTP connections. Auch refresh krb cache zieht nach wie vor die krb tickets mit den exch spns ^^. Und außerdem heißt es so oder so überall "Negotiate" sei ein zweifelloser Indikator, dass ein Outlook client via krb authentifiziert werden würde. Irgendwie komisch, wenn gleichzeitig serverseitig alles abgeklemmt ist ... ?
Ist mir ein Rätsel.
Nichts desto trotz werde ich die KRB-Konfig am WE wieder aktivieren, dieses mal ohne Eigeninterpretationen der einzuhaltenden Reihenfolge (-erst- pw rollover auf allen EXCH, dann spns setzen).
In der Hoffnung, dass das dann dieses mal keine Wellen mehr schlägt geht's dann weiter mit Aufräumen und ich melde mich evtl. wieder ;)