Было замечено, что при выполнении процедуры переключения активной копии БД Exchange Server 2010 в группе DAG с одного сервера на другой (Database Switchover), а так же при проверке механизма аварийного переключения (Database Failover) на клиентах Outlook 2007/2010 происходит кратковременный разрыв соединения с сервером Exchange, сопровождаемый появлением окна авторизации для ввода имени пользователя и пароля. При этом, если без ввода учетных данных просто перезапустить Outlook, - соединение успешно восстанавливается. После проведения изыскательных мероприятий выяснилось то, что клиент Outlook в момент кратковременной потери MAPI (RPC) соединения c активным экземпляром БД Exchange пытается использовать альтернативный метод доступа – RPC over HTTP, то есть пытается использовать встроенный механизм мобильного клиента Outlook Anywhere. И в нашем случае это происходит из-за того, что на стороне серверов клиентского доступа компонента Outlook Anywhere настроена на использование Basic Authentication.
Одним из методов решения данной проблемы может быть отключение использования встроенного механизма Outlook Anywhere в клиентах Outlook, включённого по умолчанию. Для этого в Outlook откроем свойства учетной записи > «Другие настройки» > перейдём на закладку «Подключение» и отключим флажок «Подключение к Microsoft Exchange по протоколу HTTP»:
Если стоит задача отключить данный механизм массово на всех клиентах, то можно это выполнить, например, с помощью доменных групповых политик – GPO. При попытке использовать ADMX шаблоны групповых политик в домене Windows Server 2008/2008 R2 имеющихся в комплекте с MS Office 2007/2010 вы можете убедиться в том, что они не имеют параметров для настройки мобильного клиента Outlook.
В базе знаний Microsoft можно найти две статьи описывающие проблему невозможности настройки параметров мобильного клиента Outlook c помощью стандартных шаблонов GPO:
- KB961112 - You cannot use Group Policy settings to configure Outlook Anywhere (RPC/HTTP) settings
- KB2426686 - Outlook Anywhere (RPC/HTTP) settings are unavailable in the Outlook 2010 Group Policy template
В этих статьях нам доступны для загрузки шаблоны GPO в уже устаревшем формате – *.adm. Мы можем воспользоваться средством ADMX Migrator для того чтобы сконвертировать полученные ADM файлы в формат ADMX.
После конвертации из каждого файла *.adm мы получим по два файла – *.admx (шаблон GPO) и *.adml (файл языкового описания для шаблона GPO).
Зададим полученным файлам соответствующие имена:
- Для Outlook 2007: outlk12_961112.admx и outlk12_961112.adml
- Для Outlook 2010: outlk14_2426686.admx и outlk14_2426686.adml
Для того чтобы в консоли управления групповыми политиками наши новые шаблоны смотрелись более наглядно, чем в том виде в котором они представлены по умолчанию, внесём некоторые корректировки в языковые файлы:
В файле outlk12_961112.adml строку, описывающую отображаемое имя раздела GPO:
<string id="L_MicrosoftOfficeOutlook12-Article961112">Article 961112 Policy Settings</string>
заменим на строку:
<string id="L_MicrosoftOfficeOutlook12-Article961112">Microsoft Office Outlook 2007 KB961112</string>
В файле outlk14_2426686.adml строку, описывающую отображаемое имя раздела GPO:
<string id="L_MicrosoftOfficeOutlook">Microsoft Outlook 2010</string>
заменим на строку:
<string id="L_MicrosoftOfficeOutlook">Microsoft Outlook 2010 KB2426686</string>
Скопируем полученные в результате шаблоны outlk12_961112.admx и outlk14_2426686.admx в каталог центрального доменного хранилища шаблонов GPO - \domain.com\SYSVOL\domain.com\Policies\PolicyDefinitions
Языковые файлы outlk12_961112.adml и outlk14_2426686.adml скопируем в это же размещение в подкаталог en-us.
После этого, при работе с оснасткой редактирования доменных групповых политик Group Policy Management Editor (gpmc.msc) у нас появится возможность задавать соответствующие параметры:
Для того чтобы полностью отключить попытки Outlook использовать протокол HTTP, параметр RPC/HTTP Connection Flags должен быть включён и его значение должно быть установлено в No Flags:
После вступления в силу данного параметра GPO, для всех клиентских профилей будет добавлено соответствующее значение в куст реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\RPC (для Outlook 2007) или HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Outlook\RPC (для Outlook 2010):
…а в свойствах учетной записи Outlook параметры настройки мобильного клиента Outlook станут недоступны для изменений:
В развитие темы запросов авторизации Outlook можно также отметить то, что из практики замечено то, что в некоторых случаях перезагрузка одной из нод NLB кластера, обслуживающего массив Client Access Array, так же может порождать подобную проблему. Поэтому в случае если в рабочее время нам потребуется выполнить обслуживание серверов Client Access входящих в NLB кластер с необходимостью их перезагрузки, - перед выполнением перезагрузки в оснастке Network Load Balancing Manager соответствующий сервер желательно перевести в режим DRAINSTOP
При этом после перезагрузки нода NLB будет автоматически включаться в работу кластера если в оснастке NLB Manager в свойствах этого хоста значение параметра Default state установлено в Starded:
Дополнительная информация:
- TechNet Library- Configure Outlook Anywhere in Outlook 2010
- HowTo-Outlook - Setting Outlook Group Policies
- Blog Exchange for the Working Man - Users Receive a Login Prompt After a Database Failover in Exchange 2010
- KB556067 - Network Load Balancing - Concept and Notes
Обновление 20.02.2018
По просьбам трудящихся, у которых не получается самостоятельно сконвертировать ADM шаблоны, добавляю ссылку на готовые файлы: KB961112 & KB2426686 ADMX
RSS - Записи
Обратная ссылка: FAQ по Microsoft Exchange Server » Как настроить Outlook Anywhere (RPC/HTTP) с помощью групповых политик? /
Спасибо. Помогло
Можно как-то получить эти файлы (outlk14_2426686.admx и прочие конвертированные),
утилита конвертирования обругалась и не конвертит?
Напишите мне в почту и я вам вышлю интересующий вас admx шаблон.
Здравствуйте.
Конвертируются шаблон с ошибками.
Помогите пожалуйста.
Можно мне скинуть admx шаблоны outlk12_961112.admx, outlk12_961112.adml и outlk14_2426686.admx, outlk14_2426686.adml?
ошибки:
2426686_template.adm:5 -- String L_MicrosoftOfficeOutlook is not defined in the string table.
2426686_template.adm:7 -- String L_ToolsAccounts is not defined in the string ta ble.
Здравствуйте, Андрей.
Добавил ссылку на архивы с готовыми шаблонами ADMX в конец заметки.
Алексей спасибо большое за ссылку на архивы.
Алексей можно еще вопрос.
У меня конвертируется почти также.
Как сделать так чтобы была возможность выбора в шаблонах проверка аутентификации согласованием?
Сейчас доступна только проверка NTLM.
NTLM authentication
ADMX Migrator encountered a string that is not present in the source ADM string table.
ADMX Migrator encountered a policy that does not have a supportedOn value.
Вникать в структуру ADMX и дополнять её под свои нужны.
а если вариант отключения RPC over HTTP на клиенте крайне не желателен (например в домене ноутбук, которые часто ездит по командировкам), какие еще допустимы варианты решения проблемы? отключить Basic Authentication на стороне сервера?
Пробуйте. Наши изыскания в этой области ограничились отключением RPC over HTTP в Outlook. В крайнем случае командировочных можно проинструктировать о самостоятельном включении данной опции когда они выезжают за пределы организации.
наших командировочных сложно обучить чему либо. Слишком низкий уроверь грамотности в компьютерной области. Хорошо, спасибо. будем проводить собственные изыскания.
Здравствуйте!
Алексей, спасибо за пост. Он помог разобраться с проблемой постоянно появляющегося запроса пароля при входе в Outlook 2010 при подключении к Exchange 2010 SP3 для пользователей в домене. Хотел бы заметить несколько моментов, которые мне удалось обнаружить:
1. Запрос пароля в Outlook на компьютере в домене при включенной опции "Подключение к Microsoft Exchange по протоколу HTTP" появляется не только в конфигурации DAG, но и в конфигурации одиночного сервера. Для этого действительно достаточно, чтобы просто пропала сеть и программа начинает пытаться подключиться по HTTP к Exchange, соответственно выводя запрос пароля.
2. По моим наблюдениям опция "Способ проверки подлинности при подключении к прокси-серверу Exchange" в "Параметры прокси-сервера Exchange" локально в Outlook берется из соответствующей настройки на самом Exchang-е из раздела "Конфигурация сервера" - "Клиентский доступ" - далее открываем вверху свойства нужного сервера (у меня он один) - закладка Outlook Anywhere - и здесь как раз этот параметр "Способ проверки подлинности клиента". При выборе параметра через некоторое время такое же значение появляется в настройках Outlook. Когда точно сказать не могу, но скорее всего при перезапуске клиента, когда он делает автонастройку через Autodiscovery/Outlook Anywhere.
3. Из пункта два я сделал вывод, что, возможно, есть опция не только поменять тип проверки подлинности, но и вообще отключить использование прокси. Как я понимаю это обеспечивается отключением Outlook Anywhere. Однако, как сказал Ruslan в прошлом комментарии не ясно, как тогда быть с мобильными клиентами. Хотя если мобильные клиенты не в домене, то описанную в статье политику можно спокойно применять, т.к. она сработает только на доменных пользователей. Или же создать группу безопасности "Локальные клиенты" для всех рабочих станций (не ноутов) и применить политику только для нее.
Надеюсь мои замечания помогут кому-то, наведут на мысль!
Новая ссылка для ADMX Migrator https://www.microsoft.com/en-gb/download/details.aspx?id=15058
Добрый день!
В первую очередь спасибо за Вашу работу, выручаете, но у нас есть такая же ситуация с запросом пароля при перезагрузки MS Exchange 2010. Попробовали добавить Ваши групповые политки, но к сожалению они почему то не отображаются в Административных шаблонах.
Здравствуйте, Роман.
Могу только предполагать, что как-то не так Вы их "добавили". С отображением шаблонов проблем у нас точно в своё время не было.
В конце концов, если не получается с ADMX шаблонами, то можно ведь и GPP использовать, напрямую настраивая нужные параметры реестра на клиентских машинах. В таком случае гибкости будет даже больше. А то, какие ключи реестра нужно настраивать через GPP, можете увидеть в файлах ADMX.