Exchange 2016: Mögliche Ursachen für Abfrage der Anmeldeinformationen

Immer mal wieder erreiche mich Mails oder Anfragen zu Umgebungen in denen Outlook häufig oder sogar permanent nach den Anmeldeinformationen fragt. Bei manchen Anwendern und Administratoren scheint sich sogar mittlerweile die Ansicht zu festigen, dass die ständige Abfrage von Benutzernamen und Passwort von Outlook normal sei.

Abfrage der Anmeldeinformationen

Die gute Nachricht: Die permanente Abfrage von Benutzer und Passwort ist nicht normal. Die schlechte Nachricht: Es ist manchmal nicht ganz einfach der Ursache auf die Schliche zu kommen.

Wenn Outlook permanent nach Anmeldeinformationen fragt, dann liegt die Ursache meist an der Konfiguration der Umgebung. Es gab allerdings auch schon fehlerhafte Outlook Versionen und einen Bug in Exchange 2016 der dazu geführt hat, dass Outlook Benutzername und Passwort permanent abfragt. Beide verlinkten Probleme sind in den aktuellen Versionen nicht mehr vorhanden, aber es bleiben viele andere mögliche Ursachen die nicht zwingend auf Exchange oder Outlook zurückzuführen sind.

Dieser Artikel soll ein paar Ansätze liefern, um die permanente Abfrage von Anmeldeinformationen in den Griff zu bekommen.

Warum fragt Outlook überhaupt nach Benutzer und Passwort?

Die Abfrage von Benutzernamen und Passwort von Outlook ist in manchen Fällen normal und sogar notwendig, zum Beispiel wenn Outlook die Anmeldeinformationen des Benutzers nicht kennt. Dies ist zum Beispiel der Fall, wenn der Computer des Benutzers nicht Mitglied des Active Directorys ist, in dem sich der Exchange Server befindet. Outlook kann in diesem Fall nicht die lokalen Daten des angemeldeten Benutzers verwenden um sich am Exchange Server zu authentifizieren und muss nach den AD-Anmeldedaten fragen.

Outlook kann verschiedene Protokolle verwenden (MAPIoverHTTP, RPCoverHTTP, MAPI (RPC), EWS), jedes Protokoll kann unterschiedliche Einstellungen zur Authentifizierungsmethode haben. Der Wechsel zwischen den unterschiedlichen Authentifizierungsmethoden (Basic, NTLM), kann ebenfalls zur Abfrage von Benutzernamen und Passwort führen.

Im internen Netzwerk und innerhalb des Active Directorys kommt es normalerweise nicht zur Abfrage der Anmeldeinformationen durch Outlook. Outlook reicht in diesem Fall einfach die Windows Anmeldeinformationen des Benutzers an den Exchange Server weiter (Kerberos, NTLM).

In den nächsten Punkten stehen einmal meine Top 6 der Ursachen für häufige/permanente Abfragen der Anmeldedaten in Outlook.

Office 365 Autodiscover

Seit November 2017 priorisiert Outlook 2016 Office 365 Autodiscover. Dies führt immer mal wieder zu Problemen wenn Outlook fälschlicherweise davon ausgeht, dass es sich um ein Office 365 Postfach handelt. Im folgenden Screenshot ist zu erkennen, dass Outlook zunächst eine Abfrage gegen Office 365 durchführt:

Die Anfrage gegen Office 365 endet in der Abfrage der Anmeldeinformationen, die Abfrage gegen die eigene Exchange Organisation ist hingegen erfolgreich. Die Priorisieung von Office 365 lässt sich mit dem folgenden Registry Schlüssel abschalten:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover]
„ExcludeExplicitO365Endpoint“=dword:00000001

Der Schlüssel lässt sich in manuell in der Registry, via Gruppenrichtlinie oder auch mit der PowerShell setzen:

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Outlook\AutoDiscover" -Name "ExcludeExplicitO365Endpoint" -Value 1 -Type DWORD

Nachdem der Schlüssel in der Registry eingetragen ist, wird Office 365 nicht mehr priorisiert und die Autodiscover Abfrage funktioniert mit der lokalen Organisation wieder problemlos:


Proxys / Firewalls

Wenn Outlook ständig nach den Anmeldeinformationen fragt, frage ich mittlerweile als Erstes ob ein Proxy eingesetzt wird. Die Proxy Konfiguration und/oder die Konfiguration des Proxys am Client und/oder Server sorgt immer mal wieder für Probleme mit der Outlook Authentifizierung. Am Häufigsten habe ich bisher die folgende Konfiguration gesehen:

Internet Explorer Proxy Einstellungen

Es wurde ein Proxy konfiguriert und alle Verbindung laufen durch diesen Proxy, je nach Proxy Konfiguration, kann das funktionieren… oder auch nicht. In diesem Fall rate ich dazu testweise den Proxy am Client und auch am Server zu deaktivieren und dann einmal ohne den Proxy zu testen. Funktioniert dies, kann mit den entsprechenden Ausnahmen getestet werden. In den meisten Fällen reicht es dann schon, entsprechende Ausnahmen zu konfigurieren.

Dies gilt übrigens auch für Reverse Proxys, auch hier gibt es immer mal wieder Konfigurationen die problematisch für Outlook Anywhere und MAPIoverHTTP Verbindungen sind. Die häufigste Ursache liegt an unterschiedlichen Authentifizierungsverfahren an Proxy und Exchange Server. Wenn der Exchange Server nur NTLM aus Authentifizierungsmethode erlaubt, der Reverse Proxy allerdings das Basic-Verfahren verwenden und auch Anmeldedaten dann auch im Basic-Verfahren weiterleitet, kommt es zur Abfrage von Benutzernamen und Passwort in Outlook.

In beiden Fällen gilt wieder: Outlook kann mehrere Protokolle verwenden, die auch unterschiedliche Authentifizierungsmethoden verwenden können. Damit haben Proxys in den meisten Fällen so ihre Probleme.

Unterschiedliche Exchange Konfigurationen

Eine weitere Ursache für die Authentifizierungsprobleme sind unterschiedliche Exchange Konfigurationen, wenn mehr als ein Exchange Server eingesetzt wird. Dann auch gerne noch in Verbindung mit einem Proxy. Wie schon erwähnt nutzt Outlook unterschiedliche Protokolle die unterschiedliche Authentifizierungsverfahren nutzen können, diese Authentifizierungsverfahren können auch noch unterschiedlich je Exchange Server konfiguriert werden. Ich erinnere mich da noch an einen Fall indem ein Exchange Server auf NTLM konfiguriert wurde und ein zweiter auf BASIC-Auth. Vorgeschaltet war ein Loadbalancer und beide Exchange Server waren Mitglied eines Loadbalancing-Pools. Als Loadbalancing-Mechanismus wurde Round-Robin genutzt, was als Konsequenz hatte, das Outlook permanent zwischen Basic und NTLM gewechselt hat. Das Resultat: Permanentes Abfragen der Anmeldeinformationen. Nachdem beide Exchange Server auf NTLM konfiguriert wurden, gab es keine Probleme mehr.

Gespeicherte Anmeldeinformationen

Schon fast ein Klassiker, aber immer noch häufig anzutreffen: Gespeicherte falsche/alte Anmeldeinformationen in der Anmeldeinformationsverwaltung:

Anmeldeinformationsverwaltung

Dieses Problem betrifft in der Regel nur einzelne Benutzer, irgendwann wurden mal Anmeldedaten für Exchange gespeichert, dann ändert der Benutzer sein Passwort. Es kommt zur Abfrage der Anmeldeinformationen. Anmeldeinformationen aus der Anmeldeinformationsverwaltung löschen und schon läuft es wieder.

Zertifikate

Abgelaufene oder falsch konfigurierte Zertifikate können ebenfalls für Probleme mit der Authentifizierung sorgen, neben möglichen Zertifikatswarnungen, kann es dann auch zur Abfrage von Benutzer und Passwort kommen. Auch hier hätte ich noch ein Beispiel aus der Praxis: Es wurde ein Loadbalancer eingesetzt, der auf SSL-Bridging konfiguriert wurde. Der Loadbalancer hat also die SSL-Verbindung unterbrochen und zum Exchange Server neu verschlüsselt. Das Zertifikat eines Exchange Servers war abgelaufen, das Zertifikat am Loadbalancer aber noch gültig. Der Loadbalancer hat aufgrund des ungültigen Zertifikats des Exchange Servers die Anmeldedaten nicht mehr weitergeleitet, hätte ja auch eine MITM-Attacke sein können. Zertifikatswarnungen in Outlook sind aufgrund des gültigen Zertifikats am Loadbalancer nicht aufgetreten.

Internet Explorer

Wie auch bei den Proxy Einstellungen greift Outlook auf das Zonenmodell des Internet Explorers zurück. Auch hier kann es gerade in Verbindung mit MAPIoverHTTP, dem neuen Exchange Standardprotokoll, zu Problemen kommen. Wenn die Exchange URLs nicht in der Intranet-Zone eingetragen sind (oder die automatische Ermittlung nicht funktioniert), wird Outlook versuchen Basic-Auth zu verwenden. In diesem Fall kann es nun wieder zu Passwort Abfragen kommen. Das Eintragen der Exchange URLs in die Intranet Zone des Internet Explorers schafft hier normalerweise Abhilfe.

Hat alles nicht geholfen?

Wenn es immer noch zu Problemen mit der Anmeldung kommt, dann muss man jetzt tatsächlich tiefer wühlen und jede Umgebung einzeln analysieren. Hinweise auf Probleme liefern die unterschiedlichen Logs, allen voran die IIS Logs.

Auch die Ausschlussmethode kann weiterhelfen. Zum Beispiel einen Client explizit am Loadbalancer vorbei zu konfigurieren. Testweise NAT statt Reverse Proxy testen. Neues Outlook Profil auf einem Rechner anlegen und alle Outlook AddIns deaktivieren, auch AddIns können Probleme bereiten. Testweise MAPIoverHTTP für einzelne Postfächer deaktivieren, Firewalls können unter Umständen Probleme mit MAPIoverHTTP haben. Auch die Domain Controller sollten in die Analyse mit einbezogen werden. Wichtig sind auch die Informationen vom Benutzer, wann ist das Problem aufgetreten? War der der Benutzer mit einem VPN verbunden? Gab es Probleme im Netzwerk? Hat der Benutzer zwischen LAN und WLAN gewechselt?

All diese Informationen können hilfreich sein um das Problem einzugrenzen, denn wie schon eingangs erwähnt: Permanente Abfragen der Anmeldeinformationen sind nicht normal.

20 Gedanken zu „Exchange 2016: Mögliche Ursachen für Abfrage der Anmeldeinformationen“

  1. Hallo Zusammen,
    wir haben hier noch ein anderes Thema zum ständigen Anmeldefenster gefunden.
    Eine komplett neue Exchange 2019 CU7 …. alles wunderbar. DNS usw. alles wunderbar. Autodiscover … Anmeldung und Anmeldung und Anmeldung.

    Die Ursache:
    Die gesamten Unterverzeichnisse unter C:\Program Files\Microsoft\Exchange Server\V15 sind mit kruden, sprich falschen NTFS-Rechten belegt ! Eine Änderung der Rechte war nicht möglich.

    Vielleicht hätte ich den Tipp von Franky … andere HDD als C: berücksichtigen sollen.

    VG Der Tom

    Antworten
  2. Hallo @All!
    Bei mir ist folgendes Problem: Habe den SBS 2011. Alles scheinbar richtig auf meinem Exchange Server eingerichtet nur, wenn ich mit dem Handy mich per Mail App (Samsung s10) im eigenem WLA einbuche muss ich mich bei jedem öffnen erneut Anmelden. wenn ich aber die Server IP Adresse eingebe, funktioniert es. Wenn ich außerhalb meines Netzwerkes bin, und nicht meine IP eingetragen habe, sondern meinen vom DynDNS, dann funktioniert alles perfekt. Wer hat auch schon solche Schwierigkeiten gehabt und wer kann mir hier helfen. Vielen Dank Plamatik

    Antworten
  3. Den Ordner Autodiscover in der Registry gab es bei mir auch nicht, die Autodiscoverabfrage war sauber und zeigte keinen Eintrag nach O365, Besonderheit ist das der User Vollzugriff auf ein weiteres Postfach hat, vermutlich wird hier versucht das über O365 anzusprechen (selbe locale Active Directory Domain wie sein eigenes Konto), nach Anlage des Schlüssels war schlagartig Ruhe. Vielen Dank!

    Antworten
  4. Ein Problem ist die neue „Intelligenz“ bei Office 365: wenn Outlook der Meinung ist, dass der Benutzer ein O365 Konto haben könnte, wird zuerst eine Exchange Online Anmeldung versucht, auch wenn der User eine Domänenanmeldung macht.

    Kann man per Registry abschalten: https://www.gothamweb.com/portal/index.php/knowledgebase/8/Outlook-bypasses-AutoDiscover-and-connects-directly-to-Office-365-mailbox.html

    Ich hatte das jetzt schon ein paar mal, ist super nervig:-(

    Antworten
    • Danke für den Hinweis!
      Ich hatte jetzt zwei Tage gesucht. Diese Passwort Abfragen kamen bei uns ab und an mal für ein paar Tage, waren dann aber auch wieder weg , dann wieder 2 Tage, dann wieder weg. Jetzt diese Woche wieder seit Dienstag und eben habe ich deinen Lösungsansatz ausprobiert und genau das war es!
      Jetzt muss ich nur sehen, das jeder User seinen Reg key selber updated. Meine User sind weltweit verstreut und nicht jeder kann ohne weiteres eine Verbindung zur Domäne aufbauen.

      Grüße
      Uwe

      Antworten
  5. Schon versucht. Der Registryeintrag lässt sich nicht mehr setzen. Das mit dem Eintrag im DC geht ebenso nicht. Muss aber auch noch Erwähnen, das meine Domain eine Subdomain auf dem Exchange 2016 Server ist.

    Gruß Ansgar

    Antworten
  6. Hallo Frank,
    aktuell gibt es die Endlos-abfrage wieder in Verbindung mit Exchange 2016, Office 2016 und Office 365.
    Die Konten habe ich schon mehrfach gelöscht und sogar Windows neuinstalliert. Bin etwas ratlos
    gruß Ansgar

    Antworten
  7. Hallo Franky,
    ich kämpfe auch noch damit, dass sich das Outlook 2016 mit dem alten EX2010 als Benutzernamen immer die e-mail merkt. Der Exchange will aber für die „Web-Dienste“ nur den Benutzernamen.
    Also jedes mal beim Anmelden wieder den Teil ab dem @ löschen, dann geht es, nervt nur…
    Ich glaube es lässt sich aber Outlook-seitig nicht ändern, man müsste wohl echt den Exchange umstellen, auf Anmeldung mit E-Mail? Richtig?
    Grüße, Rolf

    Antworten
  8. Hallo,

    hatten wie schon mal in einem anderen Artikel beschrieben trotz mehrer Spezialisten vor Ort immer noch das Problem mit der Passwortabfrage.
    Bei uns habe ich das Problem eingrenzen und eliminieren können: Exchange läuft unter Vmware. Wir hatten Latenzzeiten bis 60.000. Ich habe die VM mit dem Exchange auf einen anderen Host verschoben, der eine andere Konfig hat und schon ist die Latent auf 5-40 gesunken und alle Anmeldeprobleme sind verschwunden und niemals wieder gekommen.

    Frank Schoof

    Antworten
  9. Sorry, da war ich zu schnell, auch immer wichtig ist: Alle aufgerufenen FQDNs (Virtual Directory, OA) und die Servernamen FQDNs in die Proxyausnahmenliste hinzufügen ;-)

    Antworten
  10. Wir hatten letztens ein ähnliches Problem, egal ob ein Proxy eingesetzt wurde oder nicht, am Exchange Server einmal „netsh winhttp reset proxy“ und schwupp…alle Anmeldefenster weg ;-)
    Wenn am Server ein Proxy im Einsatz ist, einfach danach Einstellungen anpassen.

    Das und die NTLM Einstellung im OA sorgen aktuell konsequent für Ruhe an der Anmeldefensterfront :-)

    Antworten
  11. Hallo Frank,
    danke für diesen zusammenfassenden Überblick. Das ist toll, aber wohl nicht alles.
    Ich hatte intern auch schon so eine Liste und habe sie mit Deiner abgeglichen
    und auch noch mal alles überprüft. Deshalb hat es ein paar Tage gedauert.
    Aber leider „Fehlanzeige“ – wir schlagen uns schon seit vielen Monaten mit
    diesem nervigen Problem herum.Verbindung steht, Daten werden angezeigt,
    Autoerkennung fehlerfrei, Passworteingabe bringt nichts. Problem von innen
    wie von außen und da sowohl über die WAF (UTM) oder direkt durch die Firewall,
    von Innen bei Outlook 2016 aber auch 2013.
    Verbindungserkennung sagt richtigen Servernamen, HTTP – Nego* – SSL.
    Alles schick… Ich kann die DAG abschalten, DNS_roundrobin auch mal aus machen,
    ich glaube weiter daran, dass es „nicht normal“ ist. irgendwie stört mich das Nego*, würde
    schon gerne mal sehen, was denn Sache ist…

    Antworten
  12. Vielen Dank für deine Zusammenfassung. Ich hatte jetzt ca 2 Monate das Verhalten mit der Anmeldemaske. Bei mir hat sich rausgestellt das ein falscher Kerberos principal name auf HTTP/webmail.contoso.com und HTTP/autodiscover.contoso.com das Problem waren. Diese wurden im Zuge eines neuen Load Balancers gesetzt.
    Nach der Korrektur funktionierte wieder alles wie gewollt.

    Viele Grüße
    Bernhard

    Antworten
  13. Wenn Basic Auth mit Outlook Anywhere verwendet wird (intern/extern oder beides), nimmt das Risiko unerwünschter Anmeldeabfragen erheblich zu. Erfolgt eine kurze Netzwerkunterbrechung, schwenken DBs in der DAG oder erfolgt z.B. ein IIS Reset, präsentiert Outlook relativ schnell die Anmeldemaske (via Autodiscover weiß es ja, dass noch eine Zugangsoption mit Basic vorhanden ist). Bei NTLM oder Kerberos ist dies nicht der Fall. Theoretisch sollte das auch der Fall sein, wenn Basic mit Mapi/Http verwendet wird. Ich habe es noch nicht getestet, verwende aus den geschilderten Gründen immer NTLM bzw. Aushandlung.

    Auch wichtig: das Problem tritt auch auf, wenn z.B. nur die externe URL mit Basic konfiguriert ist, verliert Outlook intern die Verbindung, versucht es eben über die externe zu verbinden. Da SSO mit Basic nicht geht (außer die PWs sind am Client gespeichert), kommt eben wieder die Anmeldemaske. Das Speichern der Kennwörter am Client bringt viele Nachteile mit sich sich, vor allem, wenn ein PW-Wechsel ansteht, dann schickt Windows oft noch das abgelaufene PW mit und provoziert wiederum Anmeldepopups. Die Aktualisierung hier klappt oft nicht vollständig.

    Antworten
  14. Vielen herzlichen Dank für diese tolle Übersicht über diese Probleme!
    Viele von diesen Themen hatten wir auch schon, aber eine Übersicht und eine Zusammenstellung, die so ja auch größtenteils auf ex2013 zutrifft, ist Gold wert!

    Antworten
  15. Zweimal verwendet in
    Outlook verwendet kann verschiedene Protokolle verwenden (MAPIoverHTTP, RPCoverHTTP, MAPI (RPC), EWS),

    Der Kommentar kann dann gern gelöscht werden ;)

    Antworten

Schreibe einen Kommentar