Anmeldung im Outlook Add-In oder im Web Access schlägt fehl
Posted by on 12 Jul 2022 15:55
|
Problem: Die Authentifizierung im MailStore Outlook Add-In oder im Web Access schlägt fehl. Hintergrund: Bei der Authentifizierung an MailStore spielen diverse Komponenten eine Rolle, z.B. die Anbindung an den Verzeichnisdienst, die Domänenmitgliedschaft, Client-Einstellungen und weitere. Da ein Fehler in einer dieser Komponenten zu einem Fehler bei der Authentifizierung führen kann, ist häufig nicht auf den ersten Blick ersichtlich, wo genau der Fehler liegt. Die häufigsten Ursachen sind hier aufgelistet. Damit die Anmeldung erfolgreich durchgeführt werden kann, muss der Client Cookies vom MailStore Server akzeptieren. Dies kann durch Sicherheitsrichtlinien eingeschränkt sein. Sie können die Einstellungen unter "Systemsteuerung" > "Internetoptionen" > "Datenschutz" überprüfen. Dieser Fehler ist häufig daran zu erkennen, dass ein weiterer Anmeldebildschirm oder die Weiterleitung zum neuen Web Access innerhalb von Outlook eingeblendet wird. Die Anmeldung schlägt fehl, wenn der Hostname des MailStore Servers einen Unterstrich enthält. Der Internet Explorer und die Internet Explorer Komponente in Outlook prüfen, ob der Hostname ein gültiger DNS Name ist. Da Unterstriche in DNS-Hostnamen nicht erlaubt sind, verweigert der Internet Explorer die Annahme der Cookies und die Anmeldung schlägt fehl. Gelingt die Anmeldung bei der Verwendung der IP-Adresse des MailStore Servers, jedoch nicht bei der Verwendung des Hostnamens, kann ein Problem im DNS vorliegen. Wenn Sie in Ihrem Unternehmen einen HTTP-Proxy einsetzen, sollten Sie sicherstellen, dass die Benutzer unter Umgehung des Proxy-Servers auf den MailStore Web Access zugreifen können, da es sonst zu Problemen bei der Windows-Authentifizierung bzw. dem Single Sign-On kommen kann. Um solch eine Umgehung im Internet Explorer einzurichten, gehen Sie wie folgt vor:
Diese Einstellungen können von einem Administrator per Gruppenrichtlinie zentral gesteuert werden und sind unter Umständen vom Endanwender nicht veränderbar. Die Anmeldung am Outlook Add-In mit Standard-Authentifizierung schlägt fehl, wenn das Kennwort eines der folgenden Zeichen enthält: € Š š Ž ž Œ œ Ÿ Die Ursache ist eine unterschiedliche Kodierung dieser Zeichen in den Zeichensätzen, die beim Senden (Windows-1252) und Empfangen (ISO 8859-15) verwendet werden. Ursache 6:
Die Windows-Authentifizierung funktioniert grundsätzlich nur dann, wenn Sie den Verzeichnisdienste-Typ Active Directory verwenden. Andere Typen, wie z.B LDAP Generic oder Office 365, unterstützen die Windows-Authentifizierung nicht. Auch wenn Sie Ihren E-Mail-Server mit einem Active Directory synchronisieren und MailStore wiederum mit dem E-Mail-Server synchronisieren, wird die Windows-Authentifizierung nicht funktionieren. Die in MailStore synchronisierten Benutzer sind nicht mehr aktuell. Damit die Anmeldung dauerhaft gelingt, müssen die Benutzer vom Synchronisierungsprozess erfasst werden können. Wenn sich Ihre Benutzer oder deren Eigenschaften häufiger ändern, weil z.B. ein Benutzer in eine andere Organisationseinheit verschoben wird, sollten Sie die Synchronisierung regelmäßig und automatisiert durchführen. Dies kann z.B. von einem Job oder bei einigen Archivierungsprofilen vor der Ausführung durchgeführt werden. Wenn mehrere MailStore Benutzer dieselbe LDAP DN-Zeichenfolge (Distinguished Name) in den Eigenschaften hinterlegt haben, kann es vorkommen, dass die Windows Authentifizierung nicht funktioniert. Wenn ein Benutzer im Active Directory umbenannt worden ist, z.B. wegen Heirat, und in MailStore das automatische Löschen von Benutzern in den Synchronisierungseinstellungen nicht aktiviert ist, wird der Benutzer unter neuem Namen erneut angelegt. Die LDAP DN-Zeichenfolge ist jedoch mit dem des alten Benutzers identisch. In diesem Fall gelingt die Zuordnung zwischen MailStore Benutzer und Active Directory Benutzer unter Umständen nicht mehr und der Benutzer kann nicht authentifiziert werden. Damit die Windows-Authentifizierung im Outlook Add-In und im Internet Explorer gelingt, muss in den Internetoptionen die entsprechende Funktionalität aktiviert sein. Um die Windows-Authentifizierung zu aktivieren, gehen Sie wie folgt vor:
Diese Einstellungen können von einem Administrator per Gruppenrichtlinie zentral gesteuert werden und sind unter Umständen vom Endanwender nicht veränderbar. Damit die Windows Authentifizierung im Outlook Add-In und im Internet Explorer gelingt, muss der Server, auf dem MailStore installiert ist, vom Internet Explorer der Lokalen Intranetzone zugeordnet werden. Um diese Zuordnung herzustellen, gehen Sie wie folgt vor:
Diese Einstellungen können von einem Administrator per Gruppenrichtlinie zentral gesteuert werden und sind unter Umständen vom Endanwender nicht veränderbar. Wird Windows-Authentifizierung verwendet, werden die Zugangsdaten im Windows-Anmeldeinformationsspeicher abgelegt. Unter Umständen sind die dort gespeicherten Informationen ungültig oder fehlerhaft und die Anmeldung mit den diesen Anmeldeinformationen schlägt fehl. In der Windows Ereignisanzeige befinden sich unter Umständen Kerberos Ereignisse mit der ID 14.
Beispiel Bei der Windows-Authentifizierung wird unter Umständen der Kerberos-Mechanismus verwendet. Damit dieser Mechanismus funktioniert, müssen alle beteiligten Systeme korrekt konfiguriert sein. Diese Systeme sind der Client, der MailStore Server und der Domain Controller, auf dem das Key Distribution Center (KDC) läuft. So darf z.B. die Systemzeit auf diesen Systemen um nicht mehr als 5 Minuten differieren und die Zeitzonen müssen korrekt eingestellt sein. Allgemeine Kerberos Fehler werden im Windows System-Eventlog protokolliert. Konkrete misslungene Anmeldeversuche werden im Windows Sicherheits-Eventlog protokolliert. Erscheint bei der Anmeldung mit Windows-Authentifizierung der Fehler "Authentifizierungsfehler auf der Remoteseite (der Stream ist möglicherweise trotzdem für weitere Authentifizierungsversuche verfügbar).", hilft es unter Umständen, den Computer auf dem MailStore Server installiert ist, aus der Domäne herauszunehmen und anschließend der Domäne wieder hinzuzufügen. Die Windows-Anmeldung gelingt nur dann, wenn der MailStore Server Service unter dem Lokalen Systemkonto läuft. Dies lässt sich in Windows in Dienste bzw. wenn Sie services.msc ausführen prüfen und gegebenenfalls korrigieren. Sollte die Windows-Authentifizierung weiterhin nicht gelingen, können Sie folgenden Schritten unternehmen, um den Fehler einzugrenzen:
Artikel-ID: KB20160127-0-DE (English Version) |
|
Knowledgebase