Outlook réclame aléatoirement le mot de passe de l’utilisateur si il est connecté à MS Exchange et à un contrôleur de domaine 2008

0Commentaires

La consolidation est à la mode, Exchange n'y échappe pas. Moins de serveurs donc plus de BALs sur le même serveur. Idem pour les contrôleurs de domaine AD.

Récemment, un client en pleine phase de consolidation m'a fait part d'un problème d'authentification impactant uniquement les utilisateur d’Outlook et ce de manière récurrente: “aléatoirement”, les utilisateurs reçoivent une boîte de dialogue émanant d’Outlook leur demandant de se ré-authentifier. Les administrateurs Messagerie ayant tôt fait de décréter qu’il s’agissait d’un problème AD, l’équipe en charge dudit AD a commencé à chercher les problèmes d’ouvertures de session, de comptes verrouillés etc… Mais rien de visible au niveau des contrôleurs de domaine: pas de “logon failed”, de mot de passe expiré, en tout cas pas pour les utilisateurs subissant ce désagrément. Plus étrange encore, ce sont les utilisateurs d’un même site qui se plaignent, mais les utilisateurs impactés sont différents chaque jour (!).

Décision fut prise de prendre une trace réseau à partir du contrôleur de domaine dédicacé à ce site et également utilisé pour les opérations MAPI/NSPI. Verdict: le DC retourne à certains clients le message “MAPI_E_LOGON_FAILED” alors que l’utilisateur est bel et bien authentifié avec certitude. Après investigation, le coupable est une nouvelle option de sécurité au niveau AD qui limite le nombre de connections MAPI/NSPI concurrentes à 50 (par défaut) sur les DC tournant sous Server 2008 et retourne donc l’erreur MAPI_E_LOGON_FAILED à Outlook. Celui-ci l’interprétant correctement cad en demandant de saisir nom d’utilisateur et mot de passe à nouveau.

Fort heureusement, il est possible d’augmenter cette limite de conncetions voire de revenir au comportment d’application sur les versions antéreures de Windows (2000-2003). L’article du support MS ci-dessous fournit les explications, la solution ainsi que le niveau de logging à configurer pour qu’un événement soit écrit de le log de Windows dès que la limite est atteinte.

On aurait évidemment préféré que le protocole côté serveur retourne un message plus en rapport avec la cause exacte, dans le style “Too many concurrent connections” par ex…

Marc

By Marc Lognoul on août 3, 2009 at 09:56

 Limite de Responsabilité

Le contenu de ce site, échantillons de codes, scripts ou fichiers de configuration sont délivrés "TEL QUEL" et ne confèrent aucun droit ni garantie.

Ce site ne reflète en aucun cas les pensées, intentions, projets ou stratégies de mes employeurs, clients, amis ou membre de nos familles. Il est uniquement l’expression de mes opinions personnelles.

Les billets plus anciens ne reflètent pas forcément mes pensées et opinions actuelles.

 Annonces

Stage on Rails Tribute Festival

Tweets Recents

Twitter mai 22, 10:46
#SkyDrivePro client for #Windows recently updated http://t.co/RJIaCiGL5q

Twitter mai 17, 20:01
@jlebutte @PascalMeurisse Pas besoin de toute une équipe de tournage: http://t.co/bQpIwyoUBb

Twitter mai 12, 09:56
Wikipedia recent changes map http://t.co/pxDQyax3Wp @jlebutte @J3rrr3 @PascalMeurisse

Twitter mai 12, 09:41
Pas fait pour @J3rrr3 ni pour moi :) @jlebutte https://t.co/uiwSQU4cAv

Twitter mai 10, 15:03
RT @ch9 Building an Arduino Door Entry Alarm http://t.co/JAXp5Weq7H @jlebutte

Twitter mai 10, 14:30
Identity and Authentication in the cloud: Office 2013 and Office 365 (Poster) http://t.co/5RLeqd2rK1

Suivez-moi sur Twitter

 Articles & Tutos

     Blogroll

    Télécharger le fichier OPML OPML