Запрос авторизации Outlook при переключении БД Exchange или перезагрузке ноды NLB

imageБыло замечено, что при выполнении процедуры переключения активной копии БД Exchange Server 2010 в группе DAG с одного сервера на другой (Database Switchover), а так же при проверке механизма аварийного переключения (Database Failover) на клиентах Outlook 2007/2010 происходит кратковременный разрыв соединения с сервером Exchange, сопровождаемый появлением окна авторизации для ввода имени пользователя и пароля. При этом, если без ввода учетных данных просто перезапустить Outlook, - соединение успешно восстанавливается. После проведения изыскательных мероприятий выяснилось то, что клиент Outlook в момент кратковременной потери MAPI (RPC) соединения c активным экземпляром БД Exchange пытается использовать альтернативный метод доступа – RPC over HTTP, то есть пытается использовать встроенный механизм мобильного клиента Outlook Anywhere. И в нашем случае это происходит из-за того, что на стороне серверов клиентского доступа компонента Outlook Anywhere настроена на использование Basic Authentication.

Одним из методов решения данной проблемы может быть отключение использования встроенного механизма Outlook Anywhere в клиентах Outlook, включённого по умолчанию. Для этого в Outlook откроем свойства учетной записи > «Другие настройки» > перейдём на закладку «Подключение» и отключим флажок «Подключение к Microsoft Exchange по протоколу HTTP»:

image

Если стоит задача отключить данный механизм массово на всех клиентах, то можно это выполнить, например, с помощью доменных групповых политик – GPO. При попытке использовать ADMX шаблоны групповых политик в домене Windows Server 2008/2008 R2 имеющихся в комплекте с MS Office 2007/2010 вы можете убедиться в том, что они не имеют параметров для настройки мобильного клиента Outlook.
В базе знаний Microsoft можно найти две статьи описывающие проблему невозможности настройки параметров мобильного клиента Outlook c помощью стандартных шаблонов GPO:

В этих статьях нам доступны для загрузки шаблоны GPO в уже устаревшем формате – *.adm. Мы можем воспользоваться средством ADMX Migrator для того чтобы сконвертировать полученные ADM файлы в формат ADMX.

После конвертации из каждого файла *.adm мы получим по два файла – *.admx (шаблон GPO) и *.adml (файл языкового описания для шаблона GPO).
Зададим полученным файлам соответствующие имена:

  • Для Outlook 2007: outlk12_961112.admx и outlk12_961112.adml
  • Для Outlook 2010: outlk14_2426686.admx и outlk14_2426686.adml

Для того чтобы в консоли управления групповыми политиками наши новые шаблоны смотрелись более наглядно, чем в том виде в котором они представлены по умолчанию, внесём некоторые корректировки в языковые файлы:

В файле outlk12_961112.adml строку, описывающую отображаемое имя раздела GPO:

<string id="L_MicrosoftOfficeOutlook12-Article961112">Article 961112 Policy Settings</string>

заменим на строку:

<string id="L_MicrosoftOfficeOutlook12-Article961112">Microsoft Office Outlook 2007 KB961112</string>

В файле outlk14_2426686.adml строку, описывающую отображаемое имя раздела GPO:

<string id="L_MicrosoftOfficeOutlook">Microsoft Outlook 2010</string>

заменим на строку:

<string id="L_MicrosoftOfficeOutlook">Microsoft Outlook 2010 KB2426686</string>

Скопируем полученные в результате шаблоны outlk12_961112.admx и outlk14_2426686.admx в каталог центрального доменного хранилища шаблонов GPO - \domain.com\SYSVOL\domain.com\Policies\PolicyDefinitions
Языковые файлы outlk12_961112.adml и outlk14_2426686.adml скопируем в это же размещение в подкаталог en-us.

После этого, при работе с оснасткой редактирования доменных групповых политик Group Policy Management Editor (gpmc.msc) у нас появится возможность задавать соответствующие параметры:

image

Для того чтобы полностью отключить попытки Outlook использовать протокол HTTP, параметр RPC/HTTP Connection Flags должен быть включён и его значение должно быть установлено в No Flags:

image

После вступления в силу данного параметра GPO, для всех клиентских профилей будет добавлено соответствующее значение в куст реестра HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\RPC (для Outlook 2007) или HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Outlook\RPC (для Outlook 2010):

image

…а в свойствах учетной записи Outlook параметры настройки мобильного клиента Outlook станут недоступны для изменений:

image

В развитие темы запросов авторизации Outlook можно также отметить то, что из практики замечено то, что в некоторых случаях перезагрузка одной из нод NLB кластера, обслуживающего массив Client Access Array, так же может порождать подобную проблему. Поэтому в случае если в рабочее время нам потребуется выполнить обслуживание серверов Client Access входящих в NLB кластер с необходимостью их перезагрузки, - перед выполнением перезагрузки в оснастке Network Load Balancing Manager соответствующий сервер желательно перевести в режим DRAINSTOP

image

При этом после перезагрузки нода NLB будет автоматически включаться в работу кластера если в оснастке NLB Manager в свойствах этого хоста значение параметра Default state установлено в Starded:

image

Дополнительная информация:

Обновление 20.02.2018

По просьбам трудящихся, у которых не получается самостоятельно сконвертировать ADM шаблоны, добавляю ссылку на готовые файлы: KB961112 & KB2426686 ADMX

Всего комментариев: 16 Комментировать

  1. Обратная ссылка: FAQ по Microsoft Exchange Server » Как настроить Outlook Anywhere (RPC/HTTP) с помощью групповых политик? /

  2. Alex /

    Спасибо. Помогло

    1. Дмитрий /

      Можно как-то получить эти файлы (outlk14_2426686.admx и прочие конвертированные),
      утилита конвертирования обругалась и не конвертит?

      1. Алексей Максимов /

        Напишите мне в почту и я вам вышлю интересующий вас admx шаблон.

        1. Андрей /

          Здравствуйте.
          Конвертируются шаблон с ошибками.
          Помогите пожалуйста.
          Можно мне скинуть admx шаблоны outlk12_961112.admx, outlk12_961112.adml и outlk14_2426686.admx, outlk14_2426686.adml?

          ошибки:
          2426686_template.adm:5 -- String L_MicrosoftOfficeOutlook is not defined in the string table.
          2426686_template.adm:7 -- String L_ToolsAccounts is not defined in the string ta ble.

          1. Алексей Максимов / Автор записи

            Здравствуйте, Андрей.

            Добавил ссылку на архивы с готовыми шаблонами ADMX в конец заметки.

        2. Андрей /

          Алексей спасибо большое за ссылку на архивы.

        3. Андрей /

          Алексей можно еще вопрос.
          У меня конвертируется почти также.
          Как сделать так чтобы была возможность выбора в шаблонах проверка аутентификации согласованием?
          Сейчас доступна только проверка NTLM.

          NTLM authentication
          ADMX Migrator encountered a string that is not present in the source ADM string table.
          ADMX Migrator encountered a policy that does not have a supportedOn value.

          1. Алексей Максимов / Автор записи

            Вникать в структуру ADMX и дополнять её под свои нужны.

  3. Ruslan /

    а если вариант отключения RPC over HTTP на клиенте крайне не желателен (например в домене ноутбук, которые часто ездит по командировкам), какие еще допустимы варианты решения проблемы? отключить Basic Authentication на стороне сервера?

    1. Алексей Максимов / Автор записи

      Пробуйте. Наши изыскания в этой области ограничились отключением RPC over HTTP в Outlook. В крайнем случае командировочных можно проинструктировать о самостоятельном включении данной опции когда они выезжают за пределы организации.

      1. Ruslan /

        наших командировочных сложно обучить чему либо. Слишком низкий уроверь грамотности в компьютерной области. Хорошо, спасибо. будем проводить собственные изыскания.

  4. Илья Домышев /

    Здравствуйте!

    Алексей, спасибо за пост. Он помог разобраться с проблемой постоянно появляющегося запроса пароля при входе в Outlook 2010 при подключении к Exchange 2010 SP3 для пользователей в домене. Хотел бы заметить несколько моментов, которые мне удалось обнаружить:
    1. Запрос пароля в Outlook на компьютере в домене при включенной опции "Подключение к Microsoft Exchange по протоколу HTTP" появляется не только в конфигурации DAG, но и в конфигурации одиночного сервера. Для этого действительно достаточно, чтобы просто пропала сеть и программа начинает пытаться подключиться по HTTP к Exchange, соответственно выводя запрос пароля.
    2. По моим наблюдениям опция "Способ проверки подлинности при подключении к прокси-серверу Exchange" в "Параметры прокси-сервера Exchange" локально в Outlook берется из соответствующей настройки на самом Exchang-е из раздела "Конфигурация сервера" - "Клиентский доступ" - далее открываем вверху свойства нужного сервера (у меня он один) - закладка Outlook Anywhere - и здесь как раз этот параметр "Способ проверки подлинности клиента". При выборе параметра через некоторое время такое же значение появляется в настройках Outlook. Когда точно сказать не могу, но скорее всего при перезапуске клиента, когда он делает автонастройку через Autodiscovery/Outlook Anywhere.
    3. Из пункта два я сделал вывод, что, возможно, есть опция не только поменять тип проверки подлинности, но и вообще отключить использование прокси. Как я понимаю это обеспечивается отключением Outlook Anywhere. Однако, как сказал Ruslan в прошлом комментарии не ясно, как тогда быть с мобильными клиентами. Хотя если мобильные клиенты не в домене, то описанную в статье политику можно спокойно применять, т.к. она сработает только на доменных пользователей. Или же создать группу безопасности "Локальные клиенты" для всех рабочих станций (не ноутов) и применить политику только для нее.

    Надеюсь мои замечания помогут кому-то, наведут на мысль!

  5. Александр /

    Новая ссылка для ADMX Migrator https://www.microsoft.com/en-gb/download/details.aspx?id=15058

  6. Roman M. /

    Добрый день!
    В первую очередь спасибо за Вашу работу, выручаете, но у нас есть такая же ситуация с запросом пароля при перезагрузки MS Exchange 2010. Попробовали добавить Ваши групповые политки, но к сожалению они почему то не отображаются в Административных шаблонах.

    1. Алексей Максимов / Автор записи

      Здравствуйте, Роман.
      Могу только предполагать, что как-то не так Вы их "добавили". С отображением шаблонов проблем у нас точно в своё время не было.
      В конце концов, если не получается с ADMX шаблонами, то можно ведь и GPP использовать, напрямую настраивая нужные параметры реестра на клиентских машинах. В таком случае гибкости будет даже больше. А то, какие ключи реестра нужно настраивать через GPP, можете увидеть в файлах ADMX.

Добавить комментарий