Добрый день.

Возникла интересная ситуация периодически Outlook у пользователей запрашивает пароль.
При этом сообщения отправляются но не приходят.
Авторизация на сетевые ресурсы проходит то есть учётная запись не блокируется.

Замечено у пользователей в логах пишет следующее:

Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера exchmbnode1$. Использовалось конечное имя exchangeMDB/EXCHMBNODE1.contoso.com. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (contoso.com) отличен от домена клиента (contoso.com), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера.

Читал что проблема может быть из за дополнительных DNS записей.
Ни каких левых записей не обнаружено.

vaistor, ситуация возможна если у пользователя стоит ограничение на суммарный объём почтового ящика, а ящик уже заполнен почти под завязку.

ситуация возможна если у пользователя стоит ограничение на суммарный объём почтового ящика, а ящик уже заполнен почти под завязку »

Проверил ограничение на почтовый ящик 2GB. Заполнение у пользователей не превышает как правило 70%.
Значит дело в этом к тому же после авторизации у пользователей приходило бы сообщение о загруженности почтового ящика.

Проверьте:
1) что DNS имя вашего Exchange сервера разрешается в его IP (nslookup exch)
2) выполните команду "setspn -X", покажите результат
3) выполните команду "setspn -L exch", покажите результат
4) выполните команду на Exchange: "nltest /sc_verify:domain", где domain - имя вашего домена, покажите результат

Проверьте:
1) что DNS имя вашего Exchange сервера разрешается в его IP (nslookup exch)
2) выполните команду "setspn -X", покажите результат
3) выполните команду "setspn -L exch", покажите результат
4) выполните команду на Exchange: "nltest /sc_verify:domain", где domain - имя вашего домена, покажите результат »

DNS имена серверов проверил, имена разрешаются в IP.

Ниже привожу результаты трёх команд.
1) setspn -x
C:\Users\Admin>setspn -x
Проверка домена DC=contoso,DC=com
Обработка записи 7
MSSQLSvc/vmwsus.contoso.com:1433 зарегистрирован на этих учетных записях:
CN=Administrator,CN=Users,DC=contoso,DC=com
CN=VMWSUS,OU=Сервера,OU=WSUS,OU=Инфраструктура,DC=contoso,DC=com

MSSQLSvc/sd.contoso.com:1433 зарегистрирован на этих учетных записях:
CN=Administrator,CN=Users,DC=contoso,DC=com
CN=SD,OU=Тестовые сервера,OU=Инфраструктура,DC=contoso,DC=com

MSSQLSvc/srv07.contoso.com:1433 зарегистрирован на этих учетных записях:
CN=Administrator,CN=Users,DC=contoso,DC=com
CN=SRV07,OU=Сервера,OU=1С Предприятие и налоги,OU=Инфраструктура,DC=kmge
p,DC=com

MSSQLSvc/mcafee.contoso.com:1433 зарегистрирован на этих учетных записях:
CN=Administrator,CN=Users,DC=contoso,DC=com
CN=McAfee Admin,OU=Сервис-пользователи,OU=Антивирусная защита и DLP,OU=И
нфраструктура,DC=contoso,DC=com

{14E52635-0A95-4a5c-BDB1-E0D0C703B6C8}/EXCH01 зарегистрирован на этих учетных за
писях:
CN=BackupAdmin,OU=Отключенные,OU=Пользователи,DC=contoso,DC=com
CN=EXCH01,OU=Exchange Server 2003,OU=Сервера,OU=Электронная почта,OU=Инф
раструктура,DC=contoso,DC=com
CN=Administrator,CN=Users,DC=contoso,DC=com

{14E52635-0A95-4a5c-BDB1-E0D0C703B6C8}/exch01.contoso.com зарегистрирован на этих
учетных записях:
CN=BackupAdmin,OU=Отключенные,OU=Пользователи,DC=contoso,DC=com
CN=EXCH01,OU=Exchange Server 2003,OU=Сервера,OU=Электронная почта,OU=Инф
раструктура,DC=contoso,DC=com
CN=Administrator,CN=Users,DC=contoso,DC=com

обнаружено 6 группы дубликатов SPN.

2)setspn -L
C:\Users\Admin>setspn -L exchmbnode1
Зарегистрирован ServicePrincipalNames для CN=EXCHMBNODE1,OU=Exchange Server 2010
,OU=Сервера,OU=Электронная почта,OU=Инфраструктура,DC=contoso,DC=com:
MSServerClusterMgmtAPI/EXCHMBNODE1
MSServerClusterMgmtAPI/ExchMBNode1.contoso.com
exchangeMDB/EXCHMBNODE1
exchangeMDB/EXCHMBNODE1.contoso.com
WSMAN/ExchMBNode1.contoso.com
WSMAN/ExchMBNode1
TERMSRV/EXCHMBNODE1
TERMSRV/ExchMBNode1.contoso.com
RestrictedKrbHost/EXCHMBNODE1
HOST/EXCHMBNODE1
RestrictedKrbHost/EXCHMBNODE1.contoso.com
HOST/EXCHMBNODE1.contoso.com

C:\Users\Admin>setspn -L exchmbnode2
Зарегистрирован ServicePrincipalNames для CN=EXCHMBNODE2,OU=Exchange Server 2010
,OU=Сервера,OU=Электронная почта,OU=Инфраструктура,DC=contoso,DC=com:
MSServerClusterMgmtAPI/ExchMBNode2.contoso.com
MSServerClusterMgmtAPI/EXCHMBNODE2
exchangeMDB/EXCHMBNODE2.contoso.com
exchangeMDB/EXCHMBNODE2
WSMAN/ExchMBNode2.contoso.com
WSMAN/ExchMBNode2
TERMSRV/EXCHMBNODE2
TERMSRV/ExchMBNode2.contoso.com
RestrictedKrbHost/EXCHMBNODE2
HOST/EXCHMBNODE2
RestrictedKrbHost/EXCHMBNODE2.contoso.com
HOST/EXCHMBNODE2.contoso.com

C:\Users\Admin>setspn -L exchcasnode1
Зарегистрирован ServicePrincipalNames для CN=EXCHCASNODE1,OU=Exchange Server 201
0,OU=Сервера,OU=Электронная почта,OU=Инфраструктура,DC=contoso,DC=com:
IMAP4/ExchCASNode1.contoso.com
IMAP4/EXCHCASNODE1
IMAP/ExchCASNode1.contoso.com
IMAP/EXCHCASNODE1
POP/EXCHCASNODE1
POP/ExchCASNode1.contoso.com
POP3/EXCHCASNODE1
POP3/ExchCASNode1.contoso.com
exchangeRFR/EXCHCASNODE1
exchangeRFR/ExchCASNode1.contoso.com
exchangeAB/EXCHCASNODE1
exchangeAB/ExchCASNode1.contoso.com
ExchangeMDB/EXCHCASNODE1
ExchangeMDB/ExchCASNode1.contoso.com
SMTP/EXCHCASNODE1
SMTP/ExchCASNode1.contoso.com
SmtpSvc/EXCHCASNODE1
SmtpSvc/ExchCASNode1.contoso.com
WSMAN/ExchCASNode1
WSMAN/ExchCASNode1.contoso.com
TERMSRV/ExchCASNode1.contoso.com
TERMSRV/EXCHCASNODE1
RestrictedKrbHost/EXCHCASNODE1
HOST/EXCHCASNODE1
RestrictedKrbHost/EXCHCASNODE1.contoso.com
HOST/EXCHCASNODE1.contoso.com

C:\Users\Admin>setspn -L exchcasnode2
Зарегистрирован ServicePrincipalNames для CN=EXCHCASNODE2,OU=Exchange Server 201
0,OU=Сервера,OU=Электронная почта,OU=Инфраструктура,DC=contoso,DC=com:
IMAP4/ExchCASNode2.contoso.com
IMAP4/EXCHCASNODE2
IMAP/ExchCASNode2.contoso.com
IMAP/EXCHCASNODE2
POP3/ExchCASNode2.contoso.com
POP3/EXCHCASNODE2
POP/ExchCASNode2.contoso.com
POP/EXCHCASNODE2
exchangeAB/ExchCASNode2.contoso.com
exchangeAB/EXCHCASNODE2
exchangeRFR/ExchCASNode2.contoso.com
exchangeRFR/EXCHCASNODE2
ExchangeMDB/EXCHCASNODE2
ExchangeMDB/ExchCASNode2.contoso.com
SmtpSvc/ExchCASNode2.contoso.com
SmtpSvc/EXCHCASNODE2
SMTP/ExchCASNode2.contoso.com
SMTP/EXCHCASNODE2
WSMAN/ExchCASNode2
WSMAN/ExchCASNode2.contoso.com
TERMSRV/ExchCASNode2.contoso.com
TERMSRV/EXCHCASNODE2
RestrictedKrbHost/EXCHCASNODE2
HOST/EXCHCASNODE2
RestrictedKrbHost/EXCHCASNODE2.contoso.com
HOST/EXCHCASNODE2.contoso.com

3) nltest /sc_verify:contoso.com
C:\Users\Admin>nltest /sc_verify:contoso.com
Flags: b0 HAS_IP HAS_TIMESERV
Trusted DC Name \\DC02.contoso.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully

nltest /sc_verify:contoso.com »
На этом сервере выполнили: EXCHMBNODE1.contoso.com?

На сервере EXCHMBNODE1.contoso.com в логах ошибки есть какие-то? Посмотрите также audit failure в security логах на нем же.

Тестирование с помощью RCA (https://testconnectivity.microsoft.com/) пробовали провести? Посмотрите результат тестов на подлючение и службу автообнаружения.

На этом сервере выполнили: EXCHMBNODE1.contoso.com? »

Да пробовал вот что получил:
C:\Windows\system32>nltest /sc_verify:exchmbnode1.contoso.com
I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

В логах Security только Audit Succes с IP этого сервера:
The Windows Filtering Platform has permitted a connection.

Application Information:
Process ID: 4
Application Name: System

Network Information:
Direction: Outbound
Source Address: 172.20.10.17
Source Port: 8
Destination Address: 172.20.11.15
Destination Port: 0
Protocol: 1

Filter Information:
Filter Run-Time ID: 111778
Layer Name: Connect
Layer Run-Time ID: 48

C:\Windows\system32>nltest /sc_verify:exchmbnode1.contoso.com »
Не совсем то. Нужно на сервере exchmbnode1.contoso.com выполнить "nltest /sc_verify:contoso.com"

Тестирование с помощью RCA пробовали провести? »
Проведите эти тесты, посмотрите результат.

Тестирование с помощью RCA пробовали провести? Посмотрите результат тестов на подключение и службу автообнаружения. »

Тестирование с помощью Анализатора провёл.
Вроде всё нормально из ошибок только вот это:
Попытка проверить потенциальный URL-адрес автообнаружения https://contoso.com:443/Autodiscover/Autodiscover.xml
Не удалось выполнить проверку потенциального URL-адреса автообнаружения.

Подробнее
Затраченное время: 1587 мс


Проверка SSL-сертификата на действительность.
Не удалось выполнить одну или несколько проверок SSL-сертификата.

Подробнее

Затраченное время: 702 мс.

Вот что меня насторожило:
Проверка имени сертификата.
Не удалось проверить имя сертификата.

Подробнее

Анализатору Microsoft Connectivity Analyzer не удалось проанализировать общее имя в разделе субъекта сертификата E=info@ir.com, OU=contoso, O=contoso, L=com, S=com, C=com.
Затраченное время: 0 мс.
Дело в том что это сертификат сайта, у нас есть сайт с названием "наш домен".com
По идее здесь должен быть сертификат купленный у COMODO специально для exchange где CN=owa.contoso.com,OU = Unified Communications,OU = IT i ASUTP department

Не совсем то. Нужно на сервере exchmbnode1.contoso.com выполнить "nltest /sc_verify:contoso.com" »

Понял тест провёл привожу скриншот.
В логах ошибок не обнаружил.

Тест на возможность подключения прошёл успешно.

Как у вас клиенты подключаются? Через RPC/MAPI или RPC/HTTP? Попробуйте поменять вручную тип аутентификации.

Через OWA проблема сохраняется? Если новый профиль Outlook создавать, он автоматически настраивается?

И Служба автообнаружения Outlook
Так же успешно

Цитата ko4evneg:
Через OWA проблема сохраняется? Если новый профиль Outlook создавать, он автоматически настраивается? »
Через OWA проблем нет авторизация проходит, новый профиль настраивается так же успешно.
К примеру у меня Outlook запросил авторизацию я без проблем могу создать новый профиль пользователя где всё будет работать как положено.
А вот в старом профиле проблема останется пока я не укажу в Outlook имя пользователя и пароль.
И да он автоматически настраивается.

Дело в том что это не у всех пользователей разом происходит.
А периодически из 200 пользователей 5-10 звонят с проблемой что Outlook запрашивает пароль.

Хочу заметить не смотря на то что Outlook запрашивает пароль, сообщения отправляются и доставляются.

может у вас просто ноды в cas array скачат?

может у вас просто ноды в cas array скачат? »
То есть скачат, можно по подробнее?

В общем решил проблему сменой шифрования.
Что же случилось с шифрованием так и не понял.