|
Outlook переодически запрашивает пароль.
Добрый день.
Возникла интересная ситуация периодически Outlook у пользователей запрашивает пароль. При этом сообщения отправляются но не приходят. Авторизация на сетевые ресурсы проходит то есть учётная запись не блокируется. Замечено у пользователей в логах пишет следующее: Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера exchmbnode1$. Использовалось конечное имя exchangeMDB/EXCHMBNODE1.contoso.com. Это означает, что конечному серверу не удалось расшифровать билет, предоставленный клиентом. Это может быть из-за того, что имя участника службы конечного сервера (SPN) зарегистрировано на учетной записи, отличной от учетной записи, используемой конечной службой. Убедитесь, что конечное имя SPN зарегистрировано только на учетной записи, используемой сервером. Причиной этой ошибки может быть еще и то, что конечная служба использует другой пароль для учетной записи конечной службы, отличный от пароля центра распределения ключей Kerberos (KDC) для учетной записи конечной службы. Убедитесь, что и служба на сервере, и KDC обновлены, чтобы использовать текущий пароль. Если имя сервера задано не полностью и конечный домен (contoso.com) отличен от домена клиента (contoso.com), проверьте, нет ли серверных учетных записей с таким же именем в этих двух доменах, или используйте полное имя для идентификации сервера. |
Читал что проблема может быть из за дополнительных DNS записей.
Ни каких левых записей не обнаружено. |
vaistor, ситуация возможна если у пользователя стоит ограничение на суммарный объём почтового ящика, а ящик уже заполнен почти под завязку.
|
Цитата:
Значит дело в этом к тому же после авторизации у пользователей приходило бы сообщение о загруженности почтового ящика. |
Проверьте:
1) что DNS имя вашего Exchange сервера разрешается в его IP (nslookup exch) 2) выполните команду "setspn -X", покажите результат 3) выполните команду "setspn -L exch", покажите результат 4) выполните команду на Exchange: "nltest /sc_verify:domain", где domain - имя вашего домена, покажите результат |
Цитата:
Ниже привожу результаты трёх команд. 1) setspn -x C:\Users\Admin>setspn -x Проверка домена DC=contoso,DC=com Обработка записи 7 MSSQLSvc/vmwsus.contoso.com:1433 зарегистрирован на этих учетных записях: CN=Administrator,CN=Users,DC=contoso,DC=com CN=VMWSUS,OU=Сервера,OU=WSUS,OU=Инфраструктура,DC=contoso,DC=com MSSQLSvc/sd.contoso.com:1433 зарегистрирован на этих учетных записях: CN=Administrator,CN=Users,DC=contoso,DC=com CN=SD,OU=Тестовые сервера,OU=Инфраструктура,DC=contoso,DC=com MSSQLSvc/srv07.contoso.com:1433 зарегистрирован на этих учетных записях: CN=Administrator,CN=Users,DC=contoso,DC=com CN=SRV07,OU=Сервера,OU=1С Предприятие и налоги,OU=Инфраструктура,DC=kmge p,DC=com MSSQLSvc/mcafee.contoso.com:1433 зарегистрирован на этих учетных записях: CN=Administrator,CN=Users,DC=contoso,DC=com CN=McAfee Admin,OU=Сервис-пользователи,OU=Антивирусная защита и DLP,OU=И нфраструктура,DC=contoso,DC=com {14E52635-0A95-4a5c-BDB1-E0D0C703B6C8}/EXCH01 зарегистрирован на этих учетных за писях: CN=BackupAdmin,OU=Отключенные,OU=Пользователи,DC=contoso,DC=com CN=EXCH01,OU=Exchange Server 2003,OU=Сервера,OU=Электронная почта,OU=Инф раструктура,DC=contoso,DC=com CN=Administrator,CN=Users,DC=contoso,DC=com {14E52635-0A95-4a5c-BDB1-E0D0C703B6C8}/exch01.contoso.com зарегистрирован на этих учетных записях: CN=BackupAdmin,OU=Отключенные,OU=Пользователи,DC=contoso,DC=com CN=EXCH01,OU=Exchange Server 2003,OU=Сервера,OU=Электронная почта,OU=Инф раструктура,DC=contoso,DC=com CN=Administrator,CN=Users,DC=contoso,DC=com обнаружено 6 группы дубликатов SPN. 2)setspn -L C:\Users\Admin>setspn -L exchmbnode1 Зарегистрирован ServicePrincipalNames для CN=EXCHMBNODE1,OU=Exchange Server 2010 ,OU=Сервера,OU=Электронная почта,OU=Инфраструктура,DC=contoso,DC=com: MSServerClusterMgmtAPI/EXCHMBNODE1 MSServerClusterMgmtAPI/ExchMBNode1.contoso.com exchangeMDB/EXCHMBNODE1 exchangeMDB/EXCHMBNODE1.contoso.com WSMAN/ExchMBNode1.contoso.com WSMAN/ExchMBNode1 TERMSRV/EXCHMBNODE1 TERMSRV/ExchMBNode1.contoso.com RestrictedKrbHost/EXCHMBNODE1 HOST/EXCHMBNODE1 RestrictedKrbHost/EXCHMBNODE1.contoso.com HOST/EXCHMBNODE1.contoso.com C:\Users\Admin>setspn -L exchmbnode2 Зарегистрирован ServicePrincipalNames для CN=EXCHMBNODE2,OU=Exchange Server 2010 ,OU=Сервера,OU=Электронная почта,OU=Инфраструктура,DC=contoso,DC=com: MSServerClusterMgmtAPI/ExchMBNode2.contoso.com MSServerClusterMgmtAPI/EXCHMBNODE2 exchangeMDB/EXCHMBNODE2.contoso.com exchangeMDB/EXCHMBNODE2 WSMAN/ExchMBNode2.contoso.com WSMAN/ExchMBNode2 TERMSRV/EXCHMBNODE2 TERMSRV/ExchMBNode2.contoso.com RestrictedKrbHost/EXCHMBNODE2 HOST/EXCHMBNODE2 RestrictedKrbHost/EXCHMBNODE2.contoso.com HOST/EXCHMBNODE2.contoso.com C:\Users\Admin>setspn -L exchcasnode1 Зарегистрирован ServicePrincipalNames для CN=EXCHCASNODE1,OU=Exchange Server 201 0,OU=Сервера,OU=Электронная почта,OU=Инфраструктура,DC=contoso,DC=com: IMAP4/ExchCASNode1.contoso.com IMAP4/EXCHCASNODE1 IMAP/ExchCASNode1.contoso.com IMAP/EXCHCASNODE1 POP/EXCHCASNODE1 POP/ExchCASNode1.contoso.com POP3/EXCHCASNODE1 POP3/ExchCASNode1.contoso.com exchangeRFR/EXCHCASNODE1 exchangeRFR/ExchCASNode1.contoso.com exchangeAB/EXCHCASNODE1 exchangeAB/ExchCASNode1.contoso.com ExchangeMDB/EXCHCASNODE1 ExchangeMDB/ExchCASNode1.contoso.com SMTP/EXCHCASNODE1 SMTP/ExchCASNode1.contoso.com SmtpSvc/EXCHCASNODE1 SmtpSvc/ExchCASNode1.contoso.com WSMAN/ExchCASNode1 WSMAN/ExchCASNode1.contoso.com TERMSRV/ExchCASNode1.contoso.com TERMSRV/EXCHCASNODE1 RestrictedKrbHost/EXCHCASNODE1 HOST/EXCHCASNODE1 RestrictedKrbHost/EXCHCASNODE1.contoso.com HOST/EXCHCASNODE1.contoso.com C:\Users\Admin>setspn -L exchcasnode2 Зарегистрирован ServicePrincipalNames для CN=EXCHCASNODE2,OU=Exchange Server 201 0,OU=Сервера,OU=Электронная почта,OU=Инфраструктура,DC=contoso,DC=com: IMAP4/ExchCASNode2.contoso.com IMAP4/EXCHCASNODE2 IMAP/ExchCASNode2.contoso.com IMAP/EXCHCASNODE2 POP3/ExchCASNode2.contoso.com POP3/EXCHCASNODE2 POP/ExchCASNode2.contoso.com POP/EXCHCASNODE2 exchangeAB/ExchCASNode2.contoso.com exchangeAB/EXCHCASNODE2 exchangeRFR/ExchCASNode2.contoso.com exchangeRFR/EXCHCASNODE2 ExchangeMDB/EXCHCASNODE2 ExchangeMDB/ExchCASNode2.contoso.com SmtpSvc/ExchCASNode2.contoso.com SmtpSvc/EXCHCASNODE2 SMTP/ExchCASNode2.contoso.com SMTP/EXCHCASNODE2 WSMAN/ExchCASNode2 WSMAN/ExchCASNode2.contoso.com TERMSRV/ExchCASNode2.contoso.com TERMSRV/EXCHCASNODE2 RestrictedKrbHost/EXCHCASNODE2 HOST/EXCHCASNODE2 RestrictedKrbHost/EXCHCASNODE2.contoso.com HOST/EXCHCASNODE2.contoso.com 3) nltest /sc_verify:contoso.com C:\Users\Admin>nltest /sc_verify:contoso.com Flags: b0 HAS_IP HAS_TIMESERV Trusted DC Name \\DC02.contoso.com Trusted DC Connection Status Status = 0 0x0 NERR_Success Trust Verification Status = 0 0x0 NERR_Success The command completed successfully |
Цитата:
На сервере EXCHMBNODE1.contoso.com в логах ошибки есть какие-то? Посмотрите также audit failure в security логах на нем же. Тестирование с помощью RCA пробовали провести? Посмотрите результат тестов на подлючение и службу автообнаружения. |
Цитата:
C:\Windows\system32>nltest /sc_verify:exchmbnode1.contoso.com I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN В логах Security только Audit Succes с IP этого сервера: The Windows Filtering Platform has permitted a connection. Application Information: Process ID: 4 Application Name: System Network Information: Direction: Outbound Source Address: 172.20.10.17 Source Port: 8 Destination Address: 172.20.11.15 Destination Port: 0 Protocol: 1 Filter Information: Filter Run-Time ID: 111778 Layer Name: Connect Layer Run-Time ID: 48 |
|
Цитата:
Вроде всё нормально из ошибок только вот это: Попытка проверить потенциальный URL-адрес автообнаружения https://contoso.com:443/Autodiscover/Autodiscover.xml Не удалось выполнить проверку потенциального URL-адреса автообнаружения. Подробнее Затраченное время: 1587 мс Проверка SSL-сертификата на действительность. Не удалось выполнить одну или несколько проверок SSL-сертификата. Подробнее Затраченное время: 702 мс. Вот что меня насторожило: Проверка имени сертификата. Не удалось проверить имя сертификата. Подробнее Анализатору Microsoft Connectivity Analyzer не удалось проанализировать общее имя в разделе субъекта сертификата E=info@ir.com, OU=contoso, O=contoso, L=com, S=com, C=com. Затраченное время: 0 мс. Дело в том что это сертификат сайта, у нас есть сайт с названием "наш домен".com По идее здесь должен быть сертификат купленный у COMODO специально для exchange где CN=owa.contoso.com,OU = Unified Communications,OU = IT i ASUTP department |
Вложений: 1
Цитата:
В логах ошибок не обнаружил. |
Вложений: 1
Тест на возможность подключения прошёл успешно.
|
Как у вас клиенты подключаются? Через RPC/MAPI или RPC/HTTP? Попробуйте поменять вручную тип аутентификации.
Через OWA проблема сохраняется? Если новый профиль Outlook создавать, он автоматически настраивается? |
Вложений: 1
И Служба автообнаружения Outlook
Так же успешно |
Цитата ko4evneg:
Через OWA проблема сохраняется? Если новый профиль Outlook создавать, он автоматически настраивается? » Через OWA проблем нет авторизация проходит, новый профиль настраивается так же успешно. К примеру у меня Outlook запросил авторизацию я без проблем могу создать новый профиль пользователя где всё будет работать как положено. А вот в старом профиле проблема останется пока я не укажу в Outlook имя пользователя и пароль. И да он автоматически настраивается. Дело в том что это не у всех пользователей разом происходит. А периодически из 200 пользователей 5-10 звонят с проблемой что Outlook запрашивает пароль. |
Хочу заметить не смотря на то что Outlook запрашивает пароль, сообщения отправляются и доставляются.
|
может у вас просто ноды в cas array скачат?
|
Цитата:
|
В общем решил проблему сменой шифрования.
Что же случилось с шифрованием так и не понял. |
| Время: 11:10. |
Время: 11:10.
© OSzone.net 2001-