Autenticando com o WebDAV do Exchange / Outlook Web Access

Navegue suas respostas
1

Estou tendo problemas para acessar o Exchange WebDav / OWA de qualquer máquina, mas o IIS & Servidor do Exchange.

Temos um pequeno domínio de desenvolvimento executando o Windows 2003. Um servidor (que chamaremos IIS_box) executa o IIS e o Exchange 2003. O IIS_Box tem a configuração do Outlook Web Access em um diretório /Exchange/ virtual, permissões negam usuários anônimos e a autenticação básica e a autenticação integrada do Windows estão ativadas.

No IIS_Box, acessar o link apresenta aos usuários o aplicativo OWA sem solicitar um nome de usuário / senha. No entanto, indo para o link , o usuário recebe uma caixa de diálogo de nome de usuário / senha.

Se o usuário não inserir o nome de usuário e a senha, receberá um erro 401.2 Unauthorized: Access denied due to server configuration . Se o usuário tentar digitar um nome de usuário e uma senha, receberá um 401.1 Unauthorized: Access is denied due to invalid credentials .

De qualquer outra máquina, o usuário recebe a caixa de diálogo nome de usuário / senha e recebe os erros 401, independentemente de usarem o FQDN ou apenas o nome do servidor.

Alguém tem alguma idéia de qual é o problema e como resolvemos isso?

EDITAR:

Em seguimento da resposta de Jeff abaixo, os clientes estão usando o IE7.

No IIS_Box, adicionar o URL não-FQDN à zona de "intranet" no IIS_Box permite que ele funcione. Fantástico!

No entanto, adicionar URLs simples e FQDN à zona de "intranet" nas outras máquinas não o faz. As URLs agora são mostradas como "Intranet local", mas ainda estou recebendo prompts de autenticação básica e os erros 401.

Se eu entrar nas configurações do IE do cliente, em Avançado ... Segurança, se eu DESABILITAR "Ativar a Autenticação Integrada do Windows", tudo funcionará bem (se estiver na zona da intranet). Eu não tive que desativar essa configuração no IIS_Box!

No entanto, ele só funciona bem dentro do IE, não em código usando a interface WebDAV - tentei executar / depurar no Visual Studio e como um executável compilado / autônomo. Arrghh!

EDIT 2:

Depois alguns digging , parece que" Ativar autenticação integrada do Windows ", na verdade, permite negociar entre Kerberos e NTLM (no IE7, pelo menos).

Com ele desativado, o NTLM é usado.
Com ele habilitado, o Kerberos ou o NTLM é negoitado. Se o Kerberos não for suportado, o NTLM será usado. Se for suportado mas falhar , o NTLM não é usado .

Assim, estou pronto para ver se temos problemas subjacentes com o Kerberos ...

    
por Grhm 18.02.2010 / 11:40

2 respostas

0

Acontece que eu tive dois problemas.

  1. O site não foi reconhecido como "Site da Intranet" e, portanto, provavelmente não estava tentando autenticar o Kerberos / NTLM.

  2. Estávamos tendo erros do Kerberos nos bastidores. Eu estava acessando IIS_Box e o log de eventos tinha erros com uma mensagem KRB_AP_ER_MODIFIED sobre host/IIS_Box.ourDomain.net não correspondendo HTTP/IIS_Box.ourDomain.net .

O primeiro problema foi corrigido seguindo a sugestão de Jeff - obrigado.
O segundo foi classificado executando o comando follwoing no controlador de domínio:
setspn -A HTTP/IIS_Box.ourDomain.net IIS_Box

Estou postando esta resolução caso alguém tenha problemas semelhantes e encontre essa pergunta. (Eu odeio encontrar muitas pessoas que tiveram o mesmo problema que eu, mas não ser capaz de descobrir como elas consertaram isso.)

    
por 18.02.2010 / 16:51
1

Qual navegador da web? Eu sei no IE, as regras sobre o que é "intranet" e, portanto, o que será permitido para enviar autenticação NTLM para o servidor web são bastante bizantino.

Basicamente, suspeito de configuração do navegador do cliente, especialmente se o navegador for o IE. O navegador tem que acreditar que a URL é abençoada "intranet" para enviar credenciais NTLM em tudo; se achar que a URL não é , ela nem tentará enviar a autenticação NTLM.

    
por 18.02.2010 / 12:02

Tags

Onde posso alterar como o Citrix XenApp mapeia as letras? Como posso criar um datastore VMFS em um ESX 3.5 após a instalação do ESX?