MailStore WebAccess
Anmeldung/Windows-Authentifizierung im Outlook Add-In oder im Web Access schlägt fehl
Problem: Die Authentifizierung im MailStore Outlook Add-In oder im Web Access schlägt fehl.
Hintergrund: Bei der Authentifizierung an MailStore spielen diverse Komponenten eine Rolle, z.B. die Anbindung an den Verzeichnisdienst, die Domänenmitgliedschaft, Client-Einstellungen und weitere. Da ein Fehler in einer dieser Komponenten zu einem Fehler bei der Authentifizierung führen kann, ist häufig nicht auf den ersten Blick ersichtlich, wo genau der Fehler liegt. Die häufigsten Ursachen sind hier aufgelistet.
Die Windows-Authentifizierung funktioniert grundsätzlich nur dann, wenn Sie den Verzeichnisdienste-Typ Active Directory verwenden. Andere Typen, wie z.B LDAP Generic, unterstützen die Windows-Authentifizierung nicht.
Auch wenn Sie Ihren E-Mail-Server mit einem Active-Directory synchronisieren und MailStore wiederum mit dem E-Mail-Server synchronisieren, wird die Windows-Authentifizierung nicht funktionieren.
Die in MailStore synchronisierten Benutzer sind nicht mehr aktuell.
Damit die Anmeldung dauerhaft gelingt, müssen die Benutzer vom Synchronisierungsprozess erfasst werden können. Wenn sich Ihre Benutzer oder deren Eigenschaften häufiger ändern, weil z.B. ein Benutzer in eine andere Organisationseinheit verschoben wird, sollten Sie die Synchronisierung regelmäßig und automatisiert durchführen. Dies kann z.B. von einem Job oder bei einigen Archivierungsprofilen vor der Ausführung durchgeführt werden.
Prüfen Sie in den MailStore Verzeichnisdienst-Synchronisierungseinstellungen, ob bei einem Klick auf Sync testen der betroffene Benutzer als nicht geändert, geändert oder hinzugefügt angezeigt wird. Wird der betroffene Benutzer bei gelöschte Benutzer oder gar nicht angezeigt, müssen Sie Ihre Synchronisierungsoptionen so anpassen, dass der Benutzer wieder vom Synchronisierungsprozess erfasst wird.
Wenn mehrere MailStore Benutzer dieselbe LDAP DN-Zeichenfolge (Distinguished Name) in den Eigenschaften hinterlegt haben, kann es vorkommen, dass die Windows Authentifizierung nicht funktioniert.
Wenn ein Benutzer im Active Directory umbenannt worden ist, z.B. wegen Heirat, und in MailStore das automatische Löschen von Benutzern in den Synchronisierungseinstellungen nicht aktiviert ist, wird der Benutzer unter neuem Namen erneut angelegt. Die LDAP DN-Zeichenfolge ist jedoch mit dem des alten Benutzers identisch. In diesem Fall gelingt die Zuordnung zwischen MailStore Benutzer und Active Directory Benutzer unter Umständen nicht mehr und der Benutzer kann nicht authentifiziert werden.
Damit die Windows-Authentifizierung im Outlook Add-In und im Internet Explorer gelingt, muss in den Internetoptionen die entsprechende Funktionalität aktiviert sein.
Um die Windows-Authentifizierung zu aktivieren, gehen Sie wie folgt vor:
- Beenden Sie Outlook.
- Öffnen Sie den Internet Explorer und klicken Sie im Menü Extras auf Internetoptionen. Ist das Menü nicht sichtbar, halten sie die Alt-Taste gedrückt.
- Wählen Sie die Registerkarte Erweitert.
- Aktivieren Sie im Abschnitt Sicherheit den Punkt Integrierte Windows-Authentifizierung aktivieren.
- Starten Sie den Internet Explorer neu.
- Starten Sie nun Outlook und öffnen Sie im Menü Extras den Punkt Optionen...
- Wählen Sie die Registerkarte MailStore und klicken Sie auf die Schaltfläche Gespeicherte Zugangsdaten entfernen.
- Schließen Sie das Fenster und versuchen Sie anschließend erneut, das MailStore Outlook Add-In mittels Windows Authentifizierung mit dem MailStore Server zu verbinden.
Diese Einstellungen können von einem Administrator per Gruppenrichtlinie zentral gesteuert werden und sind unter Umständen vom Endanwender nicht veränderbar.
Damit die Windows Authentifizierung im Outlook Add-In und im Internet Explorer gelingt, muss der Server, auf dem MailStore installiert ist, vom Internet Explorer der Lokalen Intranetzone zugeordnet werden.
Um diese Zuordnung herzustellen, gehen Sie wie folgt vor:
- Beenden Sie Outlook.
- Öffnen Sie den Internet Explorer und klicken Sie im Menü Extras auf Internetoptionen. Ist das Menü nicht sichtbar, halten sie die Alt-Taste gedrückt.
- Wählen Sie die Registerkarte Sicherheit.
- Markieren Sie die Zone Lokales Intranet.
- Wählen Sie Sites -> Erweitert und fügen Sie die Adresse des MailStore Servers der Zone hinzu.
- Starten Sie den Internet Explorer neu.
- Rufen Sie die Archivseite auf.
- Klicken Sie auf Datei -> Eigenschaften und prüfen Sie ob bei Zone Lokales Intranet eingetragen ist.
- Starten Sie Outlook.
- Wählen Sie die Registerkarte MailStore, anschließend öffnen Sie die MailStore Outlook Add-In Einstellungen und klicken auf die Schaltfläche Gespeicherte Zugangsdaten entfernen.
- Schließen Sie das Fenster und versuchen Sie anschließend erneut, das MailStore Outlook Add-In mittels Windows Authentifizierung mit dem MailStore Server zu verbinden.
Diese Einstellungen können von einem Administrator per Gruppenrichtlinie zentral gesteuert werden und sind unter Umständen vom Endanwender nicht veränderbar.
Wird Windows-Authentifizierung verwendet, werden die Zugangsdaten im Windows-Anmeldeinformationsspeicher abgelegt. Unter Umständen sind die dort gespeicherten Informationen ungültig oder fehlerhaft und die Anmeldung mit den diesen Anmeldeinformationen schlägt fehl.
- Öffnen Sie den Ausführen Dialog durch drücken der Windowstaste + R.
- Geben Sie "rundll32 keymgr.dll,KRShowKeyMgr" ohne Anführungsstriche ein und bestätigen Sie mit der Enter-Taste.
- Entfernen Sie alle Einträge, die von MailStore verwendet werden könnten.
- Verwenden Sie nicht die Systemsteuerung > Anmeldeinformationsverwaltung um die Einträge zu löschen, da dieser Dialog fehlerhafte Einträge unter Umständen nicht anzeigt.
- Falls der Benutzer keine Berechtigung hat, um den oben genannten Befehl auszuführen, öffnen Sie eine Kommandozeile als Administrator und starten Sie den Befehl "runas /\ rundll32 keymgr.dll,KRShowKeyMgr", wobei Sie und durch die Werte Ihres Benutzers ersetzen und entfernen Sie die Einträge.
Damit die Anmeldung erfolgreich durchgeführt werden kann, muss der Client Cookies vom MailStore Server akzeptieren. Dies kann durch Sicherheitsrichtlinien eingeschränkt sein.
Die Anmeldung schlägt fehl, wenn der Hostname des MailStore Servers einen Unterstrich enthält.
Der Internet Explorer und die Internet Explorer Komponente in Outlook prüfen, ob der Hostname ein gültiger DNS Name ist. Da Unterstriche in DNS-Hostnamen nicht erlaubt sind, verweigert der Internet Explorer die Annahme der Cookies und die Anmeldung schlägt fehl.
Dieser Fehler ist häufig daran zu erkennen, dass ein weiterer Anmeldebildschirm innerhalb von Outlook eingeblendet wird.
Bei der Windows-Authentifizierung wird unter Umständen der Kerberos-Mechanismus verwendet. Damit dieser Mechanismus funktioniert, müssen alle beteiligten Systeme korrekt konfiguriert sein. Diese Systeme sind der Client, der MailStore Server und der Domain Controller, auf dem das Key Distribution Center (KDC) läuft.
So darf z.B. die Systemzeit auf diesen Systemen um nicht mehr als 5 Minuten differieren.
Allgemeine Kerberos Fehler werden im Windows System-Eventlog protokolliert.
Konkrete misslungene Anmeldeversuche werden im Windows Sicherheits-Eventlog protokolliert.
Gelingt die Anmeldung bei der Verwendung der IP-Adresse des MailStore Servers, jedoch nicht bei der Verwendung des Hostnamens, kann ein Problem im DNS vorliegen.
Wenn Sie in Ihrem Unternehmen einen HTTP-Proxy einsetzen, sollten Sie sicherstellen, dass die Benutzer unter Umgehung des Proxy-Servers auf den MailStore Web Access zugreifen können, da es sonst zu Problemen bei der Windows-Authentifizierung bzw. dem Single Sign-On kommen kann.
Um solch eine Umgehung im Internet Explorer einzurichten, gehen Sie wie folgt vor:
- Öffnen Sie im Menü Extras den Menüpunkt Internet Optionen. Ist das Menü nicht sichtbar, halten sie die Alt-Taste gedrückt.
- Öffnen Sie die Registerkarte Verbindungen.
- Klicken Sie auf die Schaltfläche LAN Einstellungen.
- Klicken Sie auf die Schaltfläche Erweitert im Abschnitt Proxy Server.
- Fügen Sie die IP-Adresse oder den Hostnamen (abhängig von der Konfiguration des Web Access) zur Liste der Ausnahmen hinzu.
- Schließen Sie alle zuvor geöffneten Fenster mit der Schaltfläche OK.
Diese Einstellungen können von einem Administrator per Gruppenrichtlinie zentral gesteuert werden und sind unter Umständen vom Endanwender nicht veränderbar.
Die Windows-Anmeldung gelingt nur dann, wenn der MailStore Server Service unter dem Lokalen Systemkonto läuft. Dies lässt sich in Windows in Dienste bzw. services.msc prüfen und gegebenenfalls korrigieren.
Sonstiges:
Sollte die Windows-Authentifizierung weiterhin nicht gelingen, können Sie folgenden Schritten unternehmen, um den Fehler einzugrenzen:
- Testen Sie die Anmeldung mit Standard-Authentifizierung. Geben Sie dabei den Benutzernamen ohne Domäne an und verwenden Sie das Domänenkennwort des Benutzers.
- Sollte die Anmeldung mit Standard-Authentifizierung gelingen, so liegt das Problem eher bei der Verbindung vom Client zum MailStore Server.
- Sollte die Anmeldung mit Standard-Authentifizierung nicht gelingen, so liegt das Problem eher zwischen der Verbindung vom MailStore Server zum Active Directory.
Quelle - Artikel-ID: KB201601270-DE