Outlook-användare uppmanas att ange autentiseringsuppgifter när de försöker ansluta till Exchange Server 2013 eller Exchange Server 2016

Symptom

Tänk dig följande situation:

• Du kör Microsoft Exchange Server 2013 eller Microsoft Exchange Server 2016 i en miljö med flera eller båda Microsoft Exchange Server 2010-eller Exchange Server-2007.

• Post lådor i denna miljö ansluter via en Exchange Server 2013-klient åtkomst Server (ca) eller Exchange Server 2016-klient åtkomst.

• Användare i den här miljön försöker ansluta sina Exchange Server 2010-eller Exchange Server 2007-postlådor genom att använda funktionen Outlook överallt.

I det här scenariot kan de här användarna inte skapa en anslutning. I stället uppmanas de att ange sina autentiseringsuppgifter hela tiden. Dessutom kan deras Outlook-klienter vara i frånkopplat skick. Det här problemet kan även påverka Outlooks nätverks anslutningar till Exchange Server 2010 eller Exchange Server 2007 gamla offentliga mappar eller offlineadressboken. Fel sökning visar att de berörda användarna inte kan ansluta direkt till äldre klient åtkomst servrar med hjälp av Outlook överallt.

Orsak

Det här problemet uppstår om Exchange Server 2010-servern eller Exchange Server 2007-servrar med CAS-rollen körs i Windows Server 2008 R2. Det här problemet beror på att en felaktig flagga är angiven i en global autentiseringsuppgift efter att dator lösen ordet för CAS har ändrats. Mer information om det här problemet finns i snabb korrigerings paketet som nämns i avsnittet "lösning".

Lösning

Lös det här problemet genom att installera följande uppdatering på alla Exchange Server 2010-och Exchange Server 2007-certifikat som körs i Windows Server 2008 R2:

3140410 Säkerhets uppdatering för Microsoft Windows för att hantera behörighets höjning: 8 mars 2016Obs! Du måste starta om datorn när du har installerat den här säkerhets uppdateringen.

Mer information

När det här problemet uppstår kan ett fel loggas i HTTP RPC-proxy-loggar på följande plats:

C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttpDenna loggpost ser ut ungefär så här:Complete=PrepareServerRequest;,WebExceptionStatus=ProtocolError;ResponseStatusCode= 401;WebException=System.Net.WebException: The remote server returned an error: (401) Unauthorized. atSystem.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) atMicrosoft.Exchange.HttpProxy.RpcHttpProxyRequestHandler.<>c__DisplayClass1.nullb__0 ();HttpException=System.Web.HttpException (0x80004005): NegotiateSecurityContext failed with for host 'mail.contoso.com' with status 'InvalidToken' at Microsoft.Exchange.HttpProxy.KerberosUtilities.GenerateKerberosAuthHeader.

Lösning

Om du vill undvika det här problemet konfigurerar du standard programpoolen på alla 2010/2007-CERTIFIKATen så att de körs under nätverks tjänstens identitet i stället för programpoolsidentiteten. Den här lösningen är tillfällig. Följ de här stegen om du vill ändra standard konfigurationen för programpooler:

1. Starta IIS-hanteraren (Internet Information Services).

2. Klicka på programpooler, högerklicka på DefaultAppPooloch klicka sedan på Avancerade inställningar.

3. Klicka på identitetoch sedan på ellipsen (...) Stäng.

4. Klicka på pilen i den nedrullningsbara List rutan och leta sedan upp nätverks tjänsten i listan under inbyggt konto.

5. Högerklicka på standard programpoolen och klicka sedan på Återvinn