Exchange + Расширенная защита

Alex Ch 70 Баллы репутации
2024-08-29T14:30:53.7833333+00:00

Здравствуйте, при пробной включении защиты расширенной , некоторые клиенты Оутлук не подключаются к серверу , идет постоянный запрос пароля и логина от учетной записи.

Exchange 2019 CU 13 Ноябрь

ПК Windows 10 , ProductName : Windows 10 Pro

ReleaseId : 2009

CurrentBuild : 19045

UBR : 4780 , Обновления установлены безопасности последние за август

Офис 2016 Standart 16.0.17830, пробовал ставить 2019 .
Отключал Антивирус, отключал удалял DLP(подмены сертификата нет)
Включал расширенные логи Оутлук

В расширенных логах есть следующее :

"Имя процесса C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE" код 4012

"-CWLIDCredProvProvider::SetSerialization=Такой запрос не поддерживается." код 410

Включал wireshark ниже результат.До этого встречал ошибку TLS Alert, но ее теперь нет . log

log 2

log3

log4

Лог

Exchange Server
Exchange Server
Семейство программного обеспечения для обмена сообщениями и совместной работы с клиентом и сервером Майкрософт.
Вопросы: 27
Microsoft Exchange
Microsoft Exchange
Программное обеспечение для обмена сообщениями и совместной работы Майкрософт.
Вопросы: 15
Комментариев: 0 Без комментариев
Голосов: {count}

Ответы: 10

Сортировать по: Наиболее полезные
  1. Ivan Prodanov 400 Баллы репутации
    2024-08-29T15:13:41.9+00:00

    Здравствуйте

    Исходя из описанного, проблема, с которой вы сталкиваетесь, связана с трудностями аутентификации клиентов Outlook при включенной расширенной защите в Exchange 2019.

    Возможные причины и решения:

    Проблемы с сертификатами:

    • Проверьте, чтобы сертификат, используемый на сервере Exchange, был корректным и не истекшим. Убедитесь, что сертификат поддерживает Extended Protection и у него правильная цепочка доверия на клиентских ПК.

    Настройки расширенной защиты:

      - Проверьте, какие компоненты расширенной защиты включены. Возможно, стоит временно отключить один из компонентов (например, Channel Binding Tokens (CBT)) и проверить, решает ли это проблему.
      
      **Аутентификационные протоколы**:
      
         - Убедитесь, что клиенты используют правильный аутентификационный протокол, например, NTLM или Kerberos. Попробуйте принудительно включить один из этих протоколов в настройках клиента Outlook или в политике группы (GPO).
         
         **Политики безопасности**:
         
            - Проверьте, есть ли какие-либо политики безопасности, которые могут блокировать или ограничивать доступ к серверу Exchange при включенной расширенной защите.
            
            **События в журнале событий Windows**:
            
               - Проверьте журналы событий на клиентских ПК и сервере Exchange на наличие более подробных ошибок, которые могли бы дать дополнительные подсказки.
               
               **Wireshark и другие сетевые анализаторы**:
               
                  - Если раньше была ошибка TLS Alert, возможно, она была вызвана проблемой с TLS/SSL сертификатами. Теперь, если ошибки нет, но клиент все равно не может подключиться, это может указывать на проблему на уровне аутентификации или неправильной конфигурации TLS.
                  
                  **Обновления и патчи**:
                  
                     - Убедитесь, что на сервере Exchange установлены все последние обновления и патчи, связанные с аутентификацией и расширенной защитой. Некоторые из последних обновлений могли ввести изменения, которые могут требовать корректировки конфигурации.
                     
    

    Дополнительные действия:

    Тестирование с другими клиентами:

    • Попробуйте подключить других клиентов (например, Outlook Web Access (OWA) или мобильные клиенты) и посмотрите, будет ли проблема сохраняться.

    Протестируйте в безопасном режиме:

      - Запустите Outlook в безопасном режиме (`outlook.exe /safe`) и проверьте, решается ли проблема. Это может исключить проблемы, связанные с надстройками или профилем Outlook.
      
      **Проверьте доверенные узлы**:
      
         - Убедитесь, что сервер Exchange добавлен в доверенные узлы на клиентских ПК.
         
    

    Если после всех этих шагов проблема остается нерешенной, может потребоваться более глубокий анализ конфигурации сервера Exchange и/или взаимодействия клиента с сервером.

    Если Вам помог ответ, пожалуйста помечайте его как "Ответ". Заранее спасибо!


  2. Alex Ch 70 Баллы репутации
    2024-09-16T09:50:10.3333333+00:00

    Настроена следующая политика

    Политика Параметр
    Сетевая безопасность: уровень проверки подлинности LAN Manager Отправлять только NTLMv2-ответ. Отказывать LM и NTLM
    **Аутентификационные протоколы**: - Убедитесь, что клиенты используют правильный аутентификационный протокол, например, NTLM или Kerberos. Попробуйте принудительно включить один из этих протоколов в настройках клиента Outlook или в политике группы (GPO).
    
    Комментариев: 0 Без комментариев

  3. Alex Ch 70 Баллы репутации
    2024-09-16T09:51:02.71+00:00

    Установлена политика для аутентификации

    Политика Параметр
    Сетевая безопасность: уровень проверки подлинности LAN Manager Отправлять только NTLMv2-ответ. Отказывать LM и NTLM
    Комментариев: 0 Без комментариев

  4. Deleted

    Этот ответ был удален из-за нарушения правил поведения. Ответ был отправлен вручную или идентифицирован с помощью автоматического обнаружения до выполнения действия. Дополнительные сведения см. в разделе правила поведения.


    Комментарии отключены. Подробнее

  5. Alex Ch 70 Баллы репутации
    2024-09-16T09:47:05.6+00:00

    Здравствуйте

    Сертификат заменен , wildcard . устанволен , обновлена подписка EDGE, результат не изменился.

    Проблемы с сертификатами:
    
    Проверьте, чтобы сертификат, используемый на сервере Exchange, был корректным и не истекшим. Убедитесь, что сертификат поддерживает Extended Protection и у него правильная цепочка доверия на клиентских ПК.
    
    
    Комментариев: 0 Без комментариев

Ваш ответ

Автор вопроса может помечать ответы как принятые. Это позволяет пользователям узнать, что ответ помог решить проблему автора.