Exchange - EAC mit SSO (ohne separate Eingabe von User/Passwort)

[wznutzer 32]

Guten Abend,

wie kann ich erreichen, dass ich bei einem Exchange 2019 beim Aufruf des EAC auf dem Server selber mich nicht nochmals authentifizieren muss. Der angemeldete User hat bereits die notwendigen Rechte. Ich meine beim Exchange 2016 irgendwas separat gemacht zu haben, aber leider war die Doku damals so eher mittelgut .

 

Für einen kleinen Schubs in die richtige Richtung wäre ich dankbar.

[NorbertFe 1.805]

Wenn Formularbasierte Anmeldung aktiv ist, wirst du dich immer erstmalig am Exchange anmelden müssen. Ansonsten nimm SAML oder eine der anderen Möglichkeiten zur Authentifizierung, die dann durchgereicht werden kann.

[wznutzer 32]

vor 15 Stunden schrieb NorbertFe:

Wenn Formularbasierte Anmeldung aktiv ist, wirst du dich immer erstmalig am Exchange anmelden müssen. Ansonsten nimm SAML oder eine der anderen Möglichkeiten zur Authentifizierung, die dann durchgereicht werden kann.

Ich stehe auf der Leitung.

• Für "Exchange Back End/ecp" ist die Formularauthentifizierung deaktivert
• Für "Exchange Back End/ecp" ist die Windows-Authentifizierung aktiviert (HTTP 401 - Abfrage)
• Windows-Authentifizierung Anbieter sind Negotiate, NTLM (in dieser Reihenfolge)
• Die Webseite https://exchange ist in "Lokales Intranet" zugeordnet
• Die verstärkte Sicherheitskonfiguration ist deaktiviert (sonst lässt sich HCW nicht ausführen)

Habe ich was falsch verstanden?

[NorbertFe 1.805]

Da ist bestimmt ein Copy'n'paste error und du meinst "Front End", oder? Falls ja, dann sieht das alles soweit gut aus. Gibts nen Grund, warum man das direkt aufrufen können soll/muss? Ich hab das so gut wie nirgends konfiguriert, aber da wo FBA abgeschaltet ist, ging das eigentlich problemlos.

[wznutzer 32]

vor 4 Minuten schrieb NorbertFe:

Da ist bestimmt ein Copy'n'paste error und du meinst "Front End", oder?

Im IIS heißt das Exchange Back End

Ich habe noch weitere IIS, da funktioniert das so. In einem anderen Forum schreibt einer ohne nähere Angabe man müsse Delegierungen für das Computerobjekt einrichten. Aber das gibt es auch beim alten Exchange nicht.

vor 7 Minuten schrieb NorbertFe:

Gibts nen Grund, warum man das direkt aufrufen können soll/muss?

Ich verwalte da den Exchange, lege User an usw. die dann zu Azure sychronisiert werden. Die Powershell ist mir da etwas unbequem. Machst Du alles per Powershell?

vor 7 Minuten schrieb wznutzer:

Ich habe noch weitere IIS, da funktioniert das so.

Oh nein, Kopf wie Sieb. Da hat es auch nicht mit einem selbstsignierten Zertifikat funktioniert, sondern erst nach dem ich mir ein Zertifikat von der lokalen CA ausgestellt und zugewiesen habe. Muss ich probieren.

[NorbertFe 1.805]

Am Backup musst du nix "rumfummeln", deswegen ist das im Allgemeinen egal. Und Frontend is dann eben Default. ;) 

[Sunny61 773]

vor einer Stunde schrieb wznutzer:

Machst Du alles per Powershell?

Das ist erst dann so richtig sinnvoll, wenn Du dir ein passendes Script mit Abfrage der variablen Daten erstellst. Viel lässt sich hart voreinstellen.

[wznutzer 32]

vor einer Stunde schrieb NorbertFe:

Am Backup musst du nix "rumfummeln", deswegen ist das im Allgemeinen egal. Und Frontend is dann eben Default. ;) 

Ja, da bin ich jetzt in die völlig falsche Richtung abgebogen. Aber bei Default (ist ja an 443 gebunden) ist Windows-Authentifizierung per default nicht aktiv, aber wenn ich das aktiviere, geht es auch nicht. Das Zertifikat ist es auch nicht, das war auf dem anderen Server auch nur Remote ein Problem.

Default bei einen frisch installierten Exchange sieht das so aus:

 

Default Web Site/ecp | Anonyme Authentifizierung aktiviert

Default Web Site/ecp | Standardauthentifizierung aktiviert

(alles andere deaktiviert)

 

Default Web Site/owa | Standardauthentifizierung aktiviert

(alles andere deaktiviert)

 

/ecp leitet bei einem Exchange 2019 nach /owa um.

 

Ich dachte Windows-Authentifizierung aktivieren bringt mir den Erfolg, dass ich mich auf dem Exchange selber nicht nochmals einloggen muss, aber da fehlt mir noch was. Ich muss weiter schauen.

 

Für den Fall, dass ich da falsch denke. Um den Exchange zu verwalten ruft Ihr auch https://exchange/ecp auf, oder?

bearbeitet 20. Oktober 2023 von wznutzer
Schreibfehler, Ergänzung

[wznutzer 32]

So, nun klappt das. Mal wieder ein klarer Fall von: "Kaum macht man es richtig, geht es." Ich habe die Einstellungen direkt im IIS geändert, das mag der Exchange wohl nicht. Man muss es im Exchange machen.

 

Merker: Fummel nicht am IIS rum, wenn es dafür eine Option im Exchange selber gibt!

[NorbertFe 1.805]

vor 5 Minuten schrieb wznutzer:

Merker: Fummel nicht am IIS rum, wenn es dafür eine Option im Exchange selber gibt!

Und diese Erkenntnis hast du jetzt? Das ist seit Exchange 2007 so ;)

[wznutzer 32]

vor 19 Minuten schrieb NorbertFe:

Und diese Erkenntnis hast du jetzt? Das ist seit Exchange 2007 so ;)

Aber besser spät als nie .

[wznutzer 32]

Am 23.10.2023 um 13:03 schrieb wznutzer:

Man muss es im Exchange machen.

Für den Fall, dass das hier jemand, so wie ich, das mit klick und bunt macht. Ich habe das jetzt einige Male probiert, mann muss diese Reihenfolge einhalten, sonst kann man sich nicht mehr an /ecp anmelden. Dann muss es mit Powershell repariert werden.

 

Windows-Authentifizierung einschalten: zuerst OWA und dann ECP

Windows-Authentifizierung abschalten (z. B. FBA): zuerst ECP und dann OWA.

 

Hoffentlich ist das jetzt nicht auch schon seit Exchange 2007 so  *duckundweg*.

bearbeitet 28. Oktober 2023 von wznutzer