Запрос авторизации Outlook при переключении БД Exchange или перезагрузке ноды NLB

imageБыло замечено, что при выполнении процедуры переключения активной копии БД Exchange Server 2010 в группе DAG с одного сервера на другой (Database Switchover), а так же при проверке механизма аварийного переключения (Database Failover) на клиентах Outlook 2007/2010 происходит кратковременный разрыв соединения с сервером Exchange, сопровождаемый появлением окна авторизации для ввода имени пользователя и пароля. При этом, если без ввода учетных данных просто перезапустить Outlook, — соединение успешно восстанавливается. После проведения изыскательных мероприятий выяснилось то, что клиент Outlook в момент кратковременной потери MAPI (RPC) соединения c активным экземпляром БД Exchange пытается использовать альтернативный метод доступа – RPC over HTTP, то есть пытается использовать встроенный механизм мобильного клиента Outlook Anywhere. И в нашем случае это происходит из-за того, что на стороне серверов клиентского доступа компонента Outlook Anywhere настроена на использование Basic Authentication.

Одним из методов решения данной проблемы может быть отключение использования встроенного механизма Outlook Anywhere в клиентах Outlook, включённого по умолчанию. Для этого в Outlook откроем свойства учетной записи > «Другие настройки» > перейдём на закладку «Подключение» и отключим флажок «Подключение к Microsoft Exchange по протоколу HTTP»:

image

Если стоит задача отключить данный механизм массово на всех клиентах, то можно это выполнить, например, с помощью доменных групповых политик – GPO. При попытке использовать ADMX шаблоны групповых политик в домене Windows Server 2008/2008 R2 имеющихся в комплекте с MS Office 2007/2010 вы можете убедиться в том, что они не имеют параметров для настройки мобильного клиента Outlook.
В базе знаний Microsoft можно найти две статьи описывающие проблему невозможности настройки параметров мобильного клиента Outlook c помощью стандартных шаблонов GPO:

В этих статьях нам доступны для загрузки шаблоны GPO в уже устаревшем формате – *.adm. Мы можем воспользоваться средством ADMX Migrator для того чтобы сконвертировать полученные ADM файлы в формат ADMX.

После конвертации из каждого файла *.adm мы получим по два файла – *.admx (шаблон GPO) и *.adml (файл языкового описания для шаблона GPO).
Зададим полученным файлам соответствующие имена:

  • Для Outlook 2007: outlk12_961112.admx и outlk12_961112.adml
  • Для Outlook 2010: outlk14_2426686.admx и outlk14_2426686.adml

Для того чтобы в консоли управления групповыми политиками наши новые шаблоны смотрелись более наглядно, чем в том виде в котором они представлены по умолчанию, внесём некоторые корректировки в языковые файлы:

В файле outlk12_961112.adml строку, описывающую отображаемое имя раздела GPO:

<string id=«L_MicrosoftOfficeOutlook12-Article961112»>Article 961112 Policy Settings</string>

заменим на строку:

<string id=«L_MicrosoftOfficeOutlook12-Article961112»>Microsoft Office Outlook 2007 KB961112</string>

В файле outlk14_2426686.adml строку, описывающую отображаемое имя раздела GPO:

<string id=«L_MicrosoftOfficeOutlook»>Microsoft Outlook 2010</string>

заменим на строку:

<string id=«L_MicrosoftOfficeOutlook»>Microsoft Outlook 2010 KB2426686</string>

Скопируем полученные в результате шаблоны outlk12_961112.admx и outlk14_2426686.admx в каталог центрального доменного хранилища шаблонов GPO — \domain.comSYSVOLdomain.comPoliciesPolicyDefinitions
Языковые файлы outlk12_961112.adml и outlk14_2426686.adml скопируем в это же размещение в подкаталог en-us.

После этого, при работе с оснасткой редактирования доменных групповых политик Group Policy Management Editor (gpmc.msc) у нас появится возможность задавать соответствующие параметры:

image

Для того чтобы полностью отключить попытки Outlook использовать протокол HTTP, параметр RPC/HTTP Connection Flags должен быть включён и его значение должно быть установлено в No Flags:

image

После вступления в силу данного параметра GPO, для всех клиентских профилей будет добавлено соответствующее значение в куст реестра HKEY_CURRENT_USERSoftwarePoliciesMicrosoftOffice12.0OutlookRPC (для Outlook 2007) или HKEY_CURRENT_USER SoftwarePoliciesMicrosoftOffice14.0OutlookRPC (для Outlook 2010):

image

…а в свойствах учетной записи Outlook параметры настройки мобильного клиента Outlook станут недоступны для изменений:

image

В развитие темы запросов авторизации Outlook можно также отметить то, что из практики замечено то, что в некоторых случаях перезагрузка одной из нод NLB кластера, обслуживающего массив Client Access Array, так же может порождать подобную проблему. Поэтому в случае если в рабочее время нам потребуется выполнить обслуживание серверов Client Access входящих в NLB кластер с необходимостью их перезагрузки, — перед выполнением перезагрузки в оснастке Network Load Balancing Manager соответствующий сервер желательно перевести в режим DRAINSTOP

image

При этом после перезагрузки нода NLB будет автоматически включаться в работу кластера если в оснастке NLB Manager в свойствах этого хоста значение параметра Default state установлено в Starded:

image

Дополнительная информация:

Всего комментариев: 9 Комментировать

  1. Обратная ссылка: FAQ по Microsoft Exchange Server » Как настроить Outlook Anywhere (RPC/HTTP) с помощью групповых политик? /

  2. Alex /

    Спасибо. Помогло

    1. Дмитрий /

      Можно как-то получить эти файлы (outlk14_2426686.admx и прочие конвертированные),
      утилита конвертирования обругалась и не конвертит?

      1. Алексей Максимов /

        Напишите мне в почту и я вам вышлю интересующий вас admx шаблон.

  3. Ruslan /

    а если вариант отключения RPC over HTTP на клиенте крайне не желателен (например в домене ноутбук, которые часто ездит по командировкам), какие еще допустимы варианты решения проблемы? отключить Basic Authentication на стороне сервера?

    1. Алексей Максимов / Автор записи

      Пробуйте. Наши изыскания в этой области ограничились отключением RPC over HTTP в Outlook. В крайнем случае командировочных можно проинструктировать о самостоятельном включении данной опции когда они выезжают за пределы организации.

      1. Ruslan /

        наших командировочных сложно обучить чему либо. Слишком низкий уроверь грамотности в компьютерной области. Хорошо, спасибо. будем проводить собственные изыскания.

  4. Илья Домышев /

    Здравствуйте!

    Алексей, спасибо за пост. Он помог разобраться с проблемой постоянно появляющегося запроса пароля при входе в Outlook 2010 при подключении к Exchange 2010 SP3 для пользователей в домене. Хотел бы заметить несколько моментов, которые мне удалось обнаружить:
    1. Запрос пароля в Outlook на компьютере в домене при включенной опции «Подключение к Microsoft Exchange по протоколу HTTP» появляется не только в конфигурации DAG, но и в конфигурации одиночного сервера. Для этого действительно достаточно, чтобы просто пропала сеть и программа начинает пытаться подключиться по HTTP к Exchange, соответственно выводя запрос пароля.
    2. По моим наблюдениям опция «Способ проверки подлинности при подключении к прокси-серверу Exchange» в «Параметры прокси-сервера Exchange» локально в Outlook берется из соответствующей настройки на самом Exchang-е из раздела «Конфигурация сервера» — «Клиентский доступ» — далее открываем вверху свойства нужного сервера (у меня он один) — закладка Outlook Anywhere — и здесь как раз этот параметр «Способ проверки подлинности клиента». При выборе параметра через некоторое время такое же значение появляется в настройках Outlook. Когда точно сказать не могу, но скорее всего при перезапуске клиента, когда он делает автонастройку через Autodiscovery/Outlook Anywhere.
    3. Из пункта два я сделал вывод, что, возможно, есть опция не только поменять тип проверки подлинности, но и вообще отключить использование прокси. Как я понимаю это обеспечивается отключением Outlook Anywhere. Однако, как сказал Ruslan в прошлом комментарии не ясно, как тогда быть с мобильными клиентами. Хотя если мобильные клиенты не в домене, то описанную в статье политику можно спокойно применять, т.к. она сработает только на доменных пользователей. Или же создать группу безопасности «Локальные клиенты» для всех рабочих станций (не ноутов) и применить политику только для нее.

    Надеюсь мои замечания помогут кому-то, наведут на мысль!

  5. Александр /

    Новая ссылка для ADMX Migrator https://www.microsoft.com/en-gb/download/details.aspx?id=15058

Добавить комментарий