Benachrichtigungen
Alles löschen

Outlook mit MAPIoverHTTP und Kerberos (Negotiate) extrem Langsam


 rudi
(@rudi)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 8
Themenstarter  

Hallo zusammen,

ich habe in meiner Testumgebung (MSDNAA Lizensiert), welche ich auch Privat produktiv verwende, ein Problem feststellen müssen.
Ich rede hier von 5 Benutzern mit 0815 Mailverkehr 2 – 5 Mails am Tag.

Exchange 2019 CU10 auf CU12 aktualisiert und anschließend den Sicherheitspatch von 05/2022 installiert.
Jetzt musste ich feststellen das Outlook extrem Lange braucht, sowohl von intern als auch von extern.
Egal welches Endgerät mit Outlook.
Smartphones funktionieren schnell wie gewohnt.
Öffnen von Outlook dauert wenige Minuten, zwischen Postfächern in Outlook Browsen dauert mehrere Sekunden, teilweise meldet Windows das Outlook nicht reagiert.
AMSI hatte ich testweise deaktiviert, ändert hier nichts.
Besonderheit ist das ich ADFS für OWA und ECP verwende, das dürfte aber nicht das Problem sein.
Virenscanner ist der Windows Defender.
Meine gesamte Umgebung ist Stand 22.05.2022 gepatcht.

Eventlogs sagen nichts aus.
Ich weiß von einem Kollegen, das es wohl auch einen Kunden von uns betrifft, welcher Letze Woche das Update eingespielt hat.
In Punkto Performance war das System immer normal.
Die CPU last des Exchange Servers ist während des Problems bei ca. 2 – 5% , RAM ca. 35% ausgelastet, Festplattenwarteschlange liegt bei 0,01 – 0,05.
DB Größe 9GB

Workaround:

was derzeit Abhilfe bringt ist MAPIoverHTTP global zu deaktivieren und auf RPCoverHTTP umzustellen, leider muss jedes Postfach nach der Umstellung in Outlook neu eingebunden werden.
Ich gehe davon aus dass das Problem bei MAPIoverHTTP bei Kerberos liegt, in Outlook sehe ich das Latenzen von HTTP und Negotiate bei ~2 Sekunden liegt, mit RPCoverHTTP und NTLM liegt sie bei 16ms.
Ich hatte das Mai-Update für den DC im Verdacht, das habe ich aber Deinstalliert und hat auch nichts geändert.


Zitat
Schlagwörter für Thema
Monthy
(@monthy)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 230
 

Hi,

habe annähernd dasselbe Setup für meine Testumgebung. Ich kann derzeit nichts negatives zu den Reaktionszeiten sagen.

Ebenfalls habe ich CU12 drauf, alle relevanten Sicherheitsupdates und bei meinen DC's das problematische WU mit dem Kerberos Problem nicht installiert.

Ansonsten alles soweit aktuell gepatched. Beim in/externen Zugriff per MAPIoverHTTP sehe ich keine Performanceprobleme.

Umgebung hat ebenfalls komplett eingerichtete ADFS Anbindung und die relevanten URL's für Exchange sind per Sophos Reverse veröffentlicht

Gruß,
Ralf

Ich komme aus einer Zeit, in der aus einer Cloud noch Regen kam!


rudi gefällt das
AntwortZitat
(@stardust)
New Member
Beigetreten: Vor 1 Monat
Beiträge: 4
 
Veröffentlicht von: @rudi

Hallo zusammen,

ich habe in meiner Testumgebung (MSDNAA Lizensiert), welche ich auch Privat produktiv verwende, ein Problem feststellen müssen.
Ich rede hier von 5 Benutzern mit 0815 Mailverkehr 2 – 5 Mails am Tag.

Exchange 2019 CU10 auf CU12 aktualisiert und anschließend den Sicherheitspatch von 05/2022 installiert.
Jetzt musste ich feststellen das Outlook extrem Lange braucht, sowohl von intern als auch von extern.
Egal welches Endgerät mit Outlook.
Smartphones funktionieren schnell wie gewohnt.
Öffnen von Outlook dauert wenige Minuten, zwischen Postfächern in Outlook Browsen dauert mehrere Sekunden, teilweise meldet Windows das Outlook nicht reagiert.
AMSI hatte ich testweise deaktiviert, ändert hier nichts.
Besonderheit ist das ich ADFS für OWA und ECP verwende, das dürfte aber nicht das Problem sein.
Virenscanner ist der Windows Defender.
Meine gesamte Umgebung ist Stand 22.05.2022 gepatcht.

Eventlogs sagen nichts aus.
Ich weiß von einem Kollegen, das es wohl auch einen Kunden von uns betrifft, welcher Letze Woche das Update eingespielt hat.
In Punkto Performance war das System immer normal.
Die CPU last des Exchange Servers ist während des Problems bei ca. 2 – 5% , RAM ca. 35% ausgelastet, Festplattenwarteschlange liegt bei 0,01 – 0,05.
DB Größe 9GB

Workaround:

was derzeit Abhilfe bringt ist MAPIoverHTTP global zu deaktivieren und auf RPCoverHTTP umzustellen, leider muss jedes Postfach nach der Umstellung in Outlook neu eingebunden werden.
Ich gehe davon aus dass das Problem bei MAPIoverHTTP bei Kerberos liegt, in Outlook sehe ich das Latenzen von HTTP und Negotiate bei ~2 Sekunden liegt, mit RPCoverHTTP und NTLM liegt sie bei 16ms.
Ich hatte das Mai-Update für den DC im Verdacht, das habe ich aber Deinstalliert und hat auch nichts geändert.

Habt ihr das Problem mittlerweile noch anderweitig lösen und wieder auf MAPI over HTPP umstellen können?


AntwortZitat
NorbertFe
(@norbertfe)
Prominent Member
Beigetreten: Vor 2 Jahren
Beiträge: 784
 
Veröffentlicht von: @rudi

leider muss jedes Postfach nach der Umstellung in Outlook neu eingebunden werden.

Warum? Einfach warten, die stellen sich doch automatisch um. Dauert halt ein bisschen.


AntwortZitat
 rudi
(@rudi)
Active Member
Beigetreten: Vor 2 Jahren
Beiträge: 8
Themenstarter  

@stardust Derzeit noch nicht, ich warte den Nächsten Patchday ab und versuche es dann rückgängig zu machen.

@NorbertFe Maybe ;D nicht so der Geduldige ;), aber klingt einleuchtend!

Statusupdate folgt nach Patchday!


AntwortZitat
(@stardust)
New Member
Beigetreten: Vor 1 Monat
Beiträge: 4
 
Veröffentlicht von: @norbertfe
Veröffentlicht von: @rudi

leider muss jedes Postfach nach der Umstellung in Outlook neu eingebunden werden.

Warum? Einfach warten, die stellen sich doch automatisch um. Dauert halt ein bisschen.

Nach allem was ich finden konnte ändert sich das ab dem Moment, wo Outlook eine erneute Autodiscover Abfrage macht. Zumindest wurde mir das so von dem MS Support Agent mit dem wir aktuell zusammenarbeiten erklärt.

Aktueller Stand bei uns: MS Agent hat Logfiles mit Fiddler analysiert und sich die Konfig angeschaut. Konfig ist gut - was aber aufgefallen ist: Die Pakete verbleiben ewig im Netz. Der Exchange selber verarbeitet die schnell - aber die Übertragungsdauer ist halt extrem lang. Ursache weiterhin unbekannt.

RPC ist nach erneutem Test (inkl. Abwarten diesesmal :D ) gut ausgefallen und der Client ist danach wieder schnell. Hat jemand von euch eine Idee wie man alle Clients temporär auf RPC umstellen könnte ohne das man das händisch machen muss? Insbesondere bei einem Terminalserver? (Windows 2008R2 und Windows 2016) ?

Mir ist bisher nur der manuelle Weg über set-casmailbox USER -MapiHttpEnabled $false auf dem exchange server via managementshell +

HKEY_CURRENT_USER\Software\Microsoft\Exchange]
“MapiHttpDisabled”=dword:00000001

auf dem Client bekannt.


AntwortZitat
NorbertFe
(@norbertfe)
Prominent Member
Beigetreten: Vor 2 Jahren
Beiträge: 784
 

Entweder per Client wie du oben schreibst, dann kannst du es pro User steuern, oder global per set-organizationconfig (dann kannst du es aber nicht mehr steuern) oder per set-casmailbox -MapiHttpEnabled (letzteres geht afair nur bei Exchange 2019)

Veröffentlicht von: @stardust

MS Support Agent mit dem wir aktuell zusammenarbeiten erklärt.

Der hätte dir das aber auch eigentlich erklären können müssen. ;)

Diese r Beitrag wurde geändert Vor 3 Wochen von NorbertFe

AntwortZitat

Teilen: