Exchange 2016: Mögliche Ursachen für Abfrage der Anmeldeinformationen

Immer mal wieder erreiche mich Mails oder Anfragen zu Umgebungen in denen Outlook häufig oder sogar permanent nach den Anmeldeinformationen fragt. Bei manchen Anwendern und Administratoren scheint sich sogar mittlerweile die Ansicht zu festigen, dass die ständige Abfrage von Benutzernamen und Passwort von Outlook normal sei.

Abfrage der Anmeldeinformationen

Die gute Nachricht: Die permanente Abfrage von Benutzer und Passwort ist nicht normal. Die schlechte Nachricht: Es ist manchmal nicht ganz einfach der Ursache auf die Schliche zu kommen.

Wenn Outlook permanent nach Anmeldeinformationen fragt, dann liegt die Ursache meist an der Konfiguration der Umgebung. Es gab allerdings auch schon fehlerhafte Outlook Versionen und einen Bug in Exchange 2016 der dazu geführt hat, dass Outlook Benutzername und Passwort permanent abfragt. Beide verlinkten Probleme sind in den aktuellen Versionen nicht mehr vorhanden, aber es bleiben viele andere mögliche Ursachen die nicht zwingend auf Exchange oder Outlook zurückzuführen sind.

Dieser Artikel soll ein paar Ansätze liefern, um die permanente Abfrage von Anmeldeinformationen in den Griff zu bekommen.

Warum fragt Outlook überhaupt nach Benutzer und Passwort?

Die Abfrage von Benutzernamen und Passwort von Outlook ist in manchen Fällen normal und sogar notwendig, zum Beispiel wenn Outlook die Anmeldeinformationen des Benutzers nicht kennt. Dies ist zum Beispiel der Fall, wenn der Computer des Benutzers nicht Mitglied des Active Directorys ist, in dem sich der Exchange Server befindet. Outlook kann in diesem Fall nicht die lokalen Daten des angemeldeten Benutzers verwenden um sich am Exchange Server zu authentifizieren und muss nach den AD-Anmeldedaten fragen.

Outlook kann verschiedene Protokolle verwenden (MAPIoverHTTP, RPCoverHTTP, MAPI (RPC), EWS), jedes Protokoll kann unterschiedliche Einstellungen zur Authentifizierungsmethode haben. Der Wechsel zwischen den unterschiedlichen Authentifizierungsmethoden (Basic, NTLM), kann ebenfalls zur Abfrage von Benutzernamen und Passwort führen.

Im internen Netzwerk und innerhalb des Active Directorys kommt es normalerweise nicht zur Abfrage der Anmeldeinformationen durch Outlook. Outlook reicht in diesem Fall einfach die Windows Anmeldeinformationen des Benutzers an den Exchange Server weiter (Kerberos, NTLM).

In den nächsten Punkten stehen einmal meine Top 5 der Ursachen für häufige/permanente Abfragen der Anmeldedaten in Outlook.

Proxys / Firewalls

Wenn Outlook ständig nach den Anmeldeinformationen fragt, frage ich mittlerweile als Erstes ob ein Proxy eingesetzt wird. Die Proxy Konfiguration und/oder die Konfiguration des Proxys am Client und/oder Server sorgt immer mal wieder für Probleme mit der Outlook Authentifizierung. Am Häufigsten habe ich bisher die folgende Konfiguration gesehen:

Internet Explorer Proxy Einstellungen

Es wurde ein Proxy konfiguriert und alle Verbindung laufen durch diesen Proxy, je nach Proxy Konfiguration, kann das funktionieren… oder auch nicht. In diesem Fall rate ich dazu testweise den Proxy am Client und auch am Server zu deaktivieren und dann einmal ohne den Proxy zu testen. Funktioniert dies, kann mit den entsprechenden Ausnahmen getestet werden. In den meisten Fällen reicht es dann schon, entsprechende Ausnahmen zu konfigurieren.

Dies gilt übrigens auch für Reverse Proxys, auch hier gibt es immer mal wieder Konfigurationen die problematisch für Outlook Anywhere und MAPIoverHTTP Verbindungen sind. Die häufigste Ursache liegt an unterschiedlichen Authentifizierungsverfahren an Proxy und Exchange Server. Wenn der Exchange Server nur NTLM aus Authentifizierungsmethode erlaubt, der Reverse Proxy allerdings das Basic-Verfahren verwenden und auch Anmeldedaten dann auch im Basic-Verfahren weiterleitet, kommt es zur Abfrage von Benutzernamen und Passwort in Outlook.

In beiden Fällen gilt wieder: Outlook kann mehrere Protokolle verwenden, die auch unterschiedliche Authentifizierungsmethoden verwenden können. Damit haben Proxys in den meisten Fällen so ihre Probleme.

Unterschiedliche Exchange Konfigurationen

Eine weitere Ursache für die Authentifizierungsprobleme sind unterschiedliche Exchange Konfigurationen, wenn mehr als ein Exchange Server eingesetzt wird. Dann auch gerne noch in Verbindung mit einem Proxy. Wie schon erwähnt nutzt Outlook unterschiedliche Protokolle die unterschiedliche Authentifizierungsverfahren nutzen können, diese Authentifizierungsverfahren können auch noch unterschiedlich je Exchange Server konfiguriert werden. Ich erinnere mich da noch an einen Fall indem ein Exchange Server auf NTLM konfiguriert wurde und ein zweiter auf BASIC-Auth. Vorgeschaltet war ein Loadbalancer und beide Exchange Server waren Mitglied eines Loadbalancing-Pools. Als Loadbalancing-Mechanismus wurde Round-Robin genutzt, was als Konsequenz hatte, das Outlook permanent zwischen Basic und NTLM gewechselt hat. Das Resultat: Permanentes Abfragen der Anmeldeinformationen. Nachdem beide Exchange Server auf NTLM konfiguriert wurden, gab es keine Probleme mehr.

Gespeicherte Anmeldeinformationen

Schon fast ein Klassiker, aber immer noch häufig anzutreffen: Gespeicherte falsche/alte Anmeldeinformationen in der Anmeldeinformationsverwaltung:

Anmeldeinformationsverwaltung

Dieses Problem betrifft in der Regel nur einzelne Benutzer, irgendwann wurden mal Anmeldedaten für Exchange gespeichert, dann ändert der Benutzer sein Passwort. Es kommt zur Abfrage der Anmeldeinformationen. Anmeldeinformationen aus der Anmeldeinformationsverwaltung löschen und schon läuft es wieder.

Zertifikate

Abgelaufene oder falsch konfigurierte Zertifikate können ebenfalls für Probleme mit der Authentifizierung sorgen, neben möglichen Zertifikatswarnungen, kann es dann auch zur Abfrage von Benutzer und Passwort kommen. Auch hier hätte ich noch ein Beispiel aus der Praxis: Es wurde ein Loadbalancer eingesetzt, der auf SSL-Bridging konfiguriert wurde. Der Loadbalancer hat also die SSL-Verbindung unterbrochen und zum Exchange Server neu verschlüsselt. Das Zertifikat eines Exchange Servers war abgelaufen, das Zertifikat am Loadbalancer aber noch gültig. Der Loadbalancer hat aufgrund des ungültigen Zertifikats des Exchange Servers die Anmeldedaten nicht mehr weitergeleitet, hätte ja auch eine MITM-Attacke sein können. Zertifikatswarnungen in Outlook sind aufgrund des gültigen Zertifikats am Loadbalancer nicht aufgetreten.

Internet Explorer

Wie auch bei den Proxy Einstellungen greift Outlook auf das Zonenmodell des Internet Explorers zurück. Auch hier kann es gerade in Verbindung mit MAPIoverHTTP, dem neuen Exchange Standardprotokoll, zu Problemen kommen. Wenn die Exchange URLs nicht in der Intranet-Zone eingetragen sind (oder die automatische Ermittlung nicht funktioniert), wird Outlook versuchen Basic-Auth zu verwenden. In diesem Fall kann es nun wieder zu Passwort Abfragen kommen. Das Eintragen der Exchange URLs in die Intranet Zone des Internet Explorers schafft hier normalerweise Abhilfe.

Hat alles nicht geholfen?

Wenn es immer noch zu Problemen mit der Anmeldung kommt, dann muss man jetzt tatsächlich tiefer wühlen und jede Umgebung einzeln analysieren. Hinweise auf Probleme liefern die unterschiedlichen Logs, allen voran die IIS Logs.

Auch die Ausschlussmethode kann weiterhelfen. Zum Beispiel einen Client explizit am Loadbalancer vorbei zu konfigurieren. Testweise NAT statt Reverse Proxy testen. Neues Outlook Profil auf einem Rechner anlegen und alle Outlook AddIns deaktivieren, auch AddIns können Probleme bereiten. Testweise MAPIoverHTTP für einzelne Postfächer deaktivieren, Firewalls können unter Umständen Probleme mit MAPIoverHTTP haben. Auch die Domain Controller sollten in die Analyse mit einbezogen werden. Wichtig sind auch die Informationen vom Benutzer, wann ist das Problem aufgetreten? War der der Benutzer mit einem VPN verbunden? Gab es Probleme im Netzwerk? Hat der Benutzer zwischen LAN und WLAN gewechselt?

All diese Informationen können hilfreich sein um das Problem einzugrenzen, denn wie schon eingangs erwähnt: Permanente Abfragen der Anmeldeinformationen sind nicht normal.

8 Replies to “Exchange 2016: Mögliche Ursachen für Abfrage der Anmeldeinformationen”

  1. Zweimal verwendet in
    Outlook verwendet kann verschiedene Protokolle verwenden (MAPIoverHTTP, RPCoverHTTP, MAPI (RPC), EWS),

    Der Kommentar kann dann gern gelöscht werden ;)

  2. Vielen herzlichen Dank für diese tolle Übersicht über diese Probleme!
    Viele von diesen Themen hatten wir auch schon, aber eine Übersicht und eine Zusammenstellung, die so ja auch größtenteils auf ex2013 zutrifft, ist Gold wert!

  3. Wenn Basic Auth mit Outlook Anywhere verwendet wird (intern/extern oder beides), nimmt das Risiko unerwünschter Anmeldeabfragen erheblich zu. Erfolgt eine kurze Netzwerkunterbrechung, schwenken DBs in der DAG oder erfolgt z.B. ein IIS Reset, präsentiert Outlook relativ schnell die Anmeldemaske (via Autodiscover weiß es ja, dass noch eine Zugangsoption mit Basic vorhanden ist). Bei NTLM oder Kerberos ist dies nicht der Fall. Theoretisch sollte das auch der Fall sein, wenn Basic mit Mapi/Http verwendet wird. Ich habe es noch nicht getestet, verwende aus den geschilderten Gründen immer NTLM bzw. Aushandlung.

    Auch wichtig: das Problem tritt auch auf, wenn z.B. nur die externe URL mit Basic konfiguriert ist, verliert Outlook intern die Verbindung, versucht es eben über die externe zu verbinden. Da SSO mit Basic nicht geht (außer die PWs sind am Client gespeichert), kommt eben wieder die Anmeldemaske. Das Speichern der Kennwörter am Client bringt viele Nachteile mit sich sich, vor allem, wenn ein PW-Wechsel ansteht, dann schickt Windows oft noch das abgelaufene PW mit und provoziert wiederum Anmeldepopups. Die Aktualisierung hier klappt oft nicht vollständig.

  4. Vielen Dank für deine Zusammenfassung. Ich hatte jetzt ca 2 Monate das Verhalten mit der Anmeldemaske. Bei mir hat sich rausgestellt das ein falscher Kerberos principal name auf HTTP/webmail.contoso.com und HTTP/autodiscover.contoso.com das Problem waren. Diese wurden im Zuge eines neuen Load Balancers gesetzt.
    Nach der Korrektur funktionierte wieder alles wie gewollt.

    Viele Grüße
    Bernhard

  5. Hallo Frank,
    danke für diesen zusammenfassenden Überblick. Das ist toll, aber wohl nicht alles.
    Ich hatte intern auch schon so eine Liste und habe sie mit Deiner abgeglichen
    und auch noch mal alles überprüft. Deshalb hat es ein paar Tage gedauert.
    Aber leider „Fehlanzeige“ – wir schlagen uns schon seit vielen Monaten mit
    diesem nervigen Problem herum.Verbindung steht, Daten werden angezeigt,
    Autoerkennung fehlerfrei, Passworteingabe bringt nichts. Problem von innen
    wie von außen und da sowohl über die WAF (UTM) oder direkt durch die Firewall,
    von Innen bei Outlook 2016 aber auch 2013.
    Verbindungserkennung sagt richtigen Servernamen, HTTP – Nego* – SSL.
    Alles schick… Ich kann die DAG abschalten, DNS_roundrobin auch mal aus machen,
    ich glaube weiter daran, dass es „nicht normal“ ist. irgendwie stört mich das Nego*, würde
    schon gerne mal sehen, was denn Sache ist…

  6. Wir hatten letztens ein ähnliches Problem, egal ob ein Proxy eingesetzt wurde oder nicht, am Exchange Server einmal „netsh winhttp reset proxy“ und schwupp…alle Anmeldefenster weg ;-)
    Wenn am Server ein Proxy im Einsatz ist, einfach danach Einstellungen anpassen.

    Das und die NTLM Einstellung im OA sorgen aktuell konsequent für Ruhe an der Anmeldefensterfront :-)

  7. Sorry, da war ich zu schnell, auch immer wichtig ist: Alle aufgerufenen FQDNs (Virtual Directory, OA) und die Servernamen FQDNs in die Proxyausnahmenliste hinzufügen ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.