- Betrifft: Microsoft Exchange Server 2013 und Microsoft Exchange Server 2016 während der Koexistenz
- System: Microsoft Windows Server 2012 R2
- Problem: Nutzung der empfohlenen Kerberos-Authentifizierung auch während der Koexistenz zwischen alter und neuer Infrastruktur
Hintergrund
Bereits unter Exchange Server 2013 wurde die Kerberos-Authentifizierung für Outlook-Anywhere bzw. MAPI over HTTP empfohlen. Die Einrichtung entsprechend bei Microsoft Technet unter Configuring Kerberos authentication for load-balanced Client Access servers dokumentiert. Bekanntlich wird im Active Directory ein eigenes Computerkonto benötigt.
Für die Initialisierung wird das mitgelieferte RollAlternateServiceAccountPassword.ps1 Skript verwendet. Jedoch in einer gemixten Umgebung mit Exchange 2013 und 2016 liefert das Skript auf beiden Systemen eine Fehlermeldung bzw. setzt das Kennwort nur für einen Emailserver. Weniger ideal, da dann der jeweils andere Probleme mit der Authentifizierung hat und die Anmeldung von Outlook scheitert. Der Benutzer erhält wiederholt Benutzer- / Kennwortabfragen.
Behebung
Die Lösung ist eigentlich recht simpel. Das Skript RollAlternateServiceAccountPassword.ps1 von Exchange Server 2013 muss zum Exchange Server 2016 in den gleichen Pfad z.B. als RollAlternateServiceAccountPassword13.ps1 kopiert werden. Der richtige Pfad lautet bei der Standardinstallation: “C:\Program Files\Microsoft\Exchange Server\V15\scripts”.
Danach einfach dieses Skript (RollAlternateServiceAccountPassword13.ps1) unter Exchange Server 2016 ausführen und beide Server werden wieder korrekt die Kerberos-Authentifizierung bearbeiten können. Die zahlreichen Warnungen sind nebensächlich, da ein veralteter Befehl genutzt wird, der in einer zukünftigen Exchange Version nicht mehr unterstützt wird.
