Opsætningen af Exchange 2007 med Autodiscover og Outlook Web Access kan være noget af en prøvelse, hvis ikke man er klar over faldgruberne.
Behovet
Et normalt ønske for de fleste der har Exchange 2007 er at anvende Forms Based authentication igennem ISA serveren, derved får brugeren en pæn brugergrænseflade til at blive godkendt, inden han kommer videre til Outlook Web Access. Samtidigt ønsker man den bedste sikkerhed ved godkendelse af brugeren når han anvender Outlook Anywhere, Autodiscover, Active-Sync osv. Det betyder typisk NTLM godkendelse.
Problemet
Men det er ikke muligt at anvende en Listener på ISA’en til både Forms Based Authentication og NTLM til brugeren, dette er fordi Forms Based Authentication altid vil forsøge at godkende først, derefter vil den automatisk lave en fall-back til Basic godkendelse, hvis FBA fejler.
Det betyder at klienten f.eks. Outlook 2007 vil forsøge at godkende op imod ISA’en og fejle på Forms Based godkendelsen, derefter siger ISA’en automatisk at klienten kan anvende Basic, det gør den så. Men Exchange serveren er konfigureret til at køre med NTLM og klienten bliver derfor også konfigureret til at forvente NTLM via Autodiscover. Klienten vil derfor fejle på sin godkendelse, selv om det egentlig er ok (med basic) og vil derfor komme med gentagne uendelige bruger og password prompt.
Løsningen
Løsningen jeg har kunnet finde er at konfigurere outlook web access websitet på en listener for sig selv med Forms Based Authentication og Autodiscover, Outlook Anywhere, etc. på en listener for sig selv med NTLM godkendelse. Det betyder desværre at der skal bruges to IP adresser, men det virker.
Derudover har jeg anvendt SAN certifikater med mail.domæne / owa.domæne og autodiscover.domæne, derudover kan det anbefales at tilføje interne host navne på exchange serveren, eks. ExchangeServer01. Certifikatet installeres på begge listeners i ISA serveren og på Exchange serveren selv. Hvis websitet og autodiscover skal fungere for flere e-mail domæner behøves et firma godkendt SAN certifikat, der kan have flere domænenavne i sig.
For at teste om det hele virker, bruger jeg en kombination af Outlook 2007 klienten (højre klik på Outlook ikonet i minibaren nede til højre, imens du holder CTRL nede, så kan du teste automatisk konfiguration af e-mail dvs. Autodiscover) og www.testexchangeconnectivity.com som er et Microsoft site til ekstern test af Exchange. Derudover kan det anbefales at bruge en browser til at teste de forskellige sites, og se hvilke svar der kommer.
God fornøjelse – har jeg sparet dig et par minutters fejlsøgning? Skriv en kommentar.
