Outlook e autenticazione NTLM e Kerberos
Oggi mi sono trovato a dover risolvere un problema di accesso di Outlook ad Exchange la situazione era la seguente:
- Due sedi (sede1 e sede2) connesse da una VPN Site-to-Site in ogni sede c’è un DC Windows 2003 Server.
- L’Exchange 2003 è nella sede1.
- Ogni sede appartiene ad una subnet separata.
- Ogni sede ha un proprio Sito di Active Directory.
- A causa di un problema successo tempo fa i due siti sono di fatto separati quindi è come avere due Active Directory diverse ma con lo stesso domino DNS.
- Gli Outlook della Sede2 continuano a richiere continuamente la password ed annullando la richiesta alcuni si avviavano rimando in stato disconnesso, eseguendo l’operazione di inva e ricevi, ma senza accedere alle cartella pubbliche.
Ovviamente la criticità è il punto 5 ed è inutile dire che la situazione precaria è solo temporanea, ma occorreva trovare una soluzione momentanea affinchè fosse possibile utilizzare Oulook come client di posta in quanto l’OWA in certe situazioni casa le ridotte funzionalità dell’interfaccia grafica non era utilizzabile.
Siccome di fatto il problema era legato all’autenticazione Kerberos ho provveduto ad impostare gli account in Outlook della sede2 per l’utilizzo dell’autenticazione NTLM nella scheda Protezione sotto la voce Protezione di accesso alla rete.
L’autenticazione NTLM (che fa uso di hash NT) viene usata:
- Quando Membri esterni al domino si autenticano a Membri di dominio.
- Quando ci si autentica a Membri diu dominio usando l’indirizzo IP:
- \\IpAddress\Share -> NTLM
- \\ComputerName\Share -> Kerberos
- Quando ci si autentica a Membri esterni al domino
Di fatto il mio scenario ricadeva nel caso 1 in quanto era come avere due foreste Active Directory separate.
Per ulteriori approfondimenti si vedano: