[Exchange 2010] Authentification impossible avec OWA [Résolu]

[DomiM]

Bonjour,
Je viens de migrer un SBS 2003 vers un contrôleur de domaine 2008 R2 et un Exchange serveur 2010 sur deux serveurs différents.
Ca marche et nous venons de stopper définitivement le SBS.

Le pb vien d'OWA. En effet, la page d'authentification s'affiche, mais j'ai beau saisir les codes, adresse mail et pw (j'ai choisi UPN), rien n'y fait il n'y a pas de connection possible.
"erreur : Le nom d'utilisateur ou le mot de passe que vous avez entré n'est
pas correct. Essayez de l'entrer à nouveau"

Avez vous une idée ?

Amicalement

[Michaël]

salut,
dans tes paramètres owa (dans l'admin), t'es sûr d'avoir l'authentification par upn ? l'upn de tes utilisateurs est bon ? as-tu relancé iis sur ton serveur owa lors du changement de l'authentification ?

[DomiM]

Merci de ta réponse,
Oui j'ai fait ce que tu dis, cad vérification de l'authentification par upn et relance du service IIS.
Ça n'a pas fonctionné , mais j'ai fait autre chose .
J'ai ré appliquer les prérequis avant installation :
Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy

j'ai redémarrer IIS
J'ai tester avec ça :
Test-OwaConnectivity -MailboxCredential (get-credential domain\user) -URL https://ExchCASServerName.domain.com/owa -TrustAnySSLCertificate | FL
avec le bon nom de serveur bien sur, et là j'ai eu une invite Windows classique qui me proposait de me logger sous cette forme : domaine\user
ce que j'ai fait avec le compte administrateur. Ça a marché ...
J'ai de suite essayé avec OWA, qui me demande toujours d'entrer mon adresse mail. Et bien ça marche en saisissant soit user1@domaine.local ou domaine/user1 par exemple.
Pourtant au niveau de la console exchange je suis bien en authentification UPN.
J'aimerais que les utilisateurs se connecte avec leur adresse mail, pas le compte AD.
Si ce que j'ai fait peu aider d'autre gens ... tant mieux.
Si vous avez une idée pour me faire avancé, je suis preneur.
Qu'en penses tu Michaël ?
Amicalement

[Michaël]

Quand tu t'es connecté avec user1@domaine.local, tu t'es connecté avec un upn donc ton owa fonctionne bien

Regardes les propriétés de compte de ton utilisateur user1. Le nom d'ouverture de session de l'utilisateur est l'upn.
owaUpn.jpg

Dans l'image jointe, tu verras que j'ai pris l'upn de mon utilisateur Michael (michael -at- todorovic.fr) Là, j'ai fait en sorte que l'upn soit égal à mon adresse mail (c'est pas la peine d'essayer cette adresse, elle n'est pas active sur le web ). Ensuite, dans owa je me connecte avec mon adresse mail qui est en fait mon upn

[DomiM]

Merci Mickael,
Là tu éclaires bien ce que je percevais dans le noir ... merci.
Par contre moi je n'ai que mondomaine.local dans la liste, j'ai du sauter une étape pour avoir aussi mondomaine.fr
C'est une zone DNS que je dois faire ?

[Michaël]

non c'est un suffixe upn qu'il faut ajouter
tu vas dans les Domaines et approbations active directory. tu ouvres les propriétés de Domaines et approbations active directory (haut de l'arborescence, ouvrir les propriétés du domaine ne servira à rien) et tu ajoutes le suffixe upn qui t'intéresse ensuite tu pourras changer l'upn de tes utilisateurs

[DomiM]

Tu es rapide Mickael,
J'ai fait une recherche Google et j'ai trouver ce que tu viens de m'expliquer, si j'avais été patient j'aurai même pas eu besoin de chercher ...

Merci de ton aide précieuse.

Question subsidiaire, moi, je fais toujours comme ça, un domaine.local et un domaine.fr public, comment fais tu toi ?
J'ai pris cette habitude avec les AD sous 2000 ou à l'époque il y avait peu de boite avec leur ndd.
Mais aujourd'hui ...
Quelle est ta position le dessus ?
Amicalement
et encore merci.

[Michaël]

déjà, je ne nomme aucun domaine en .local : microsoft souhaite abandonner cela dans les futures versions de windows server (on sait pas quand). un domaine en .local interdit les clients mac : sur mac, la zone .local est définie par le service bonjour et désigne l'ordinateur local : en gros, *.local tombera toujours sur le mac donc impossible de joindre un domaine nommé comme ça. bref, pour être tranquille, je nomme jamais mes domaines en .local.

après il y a la question de domaine public utilisé comme domaine ad : est-ce que je peux utiliser un domaine AD nommé developpez.com ? dans l'absolu oui mais attention à la gestion du dns interne ! developpez.com existera dans ton entreprise mais aussi sur internet (site web). il faut donc faire très attention à la gestion du dns et s'assurer qu'il soit hautement disponible sinon les postes iront consulter la zone dns d'internet (si toutefois le firewall d'entreprise les y autorise).

bref pour éviter ça, je nomme mes domaines quelquechose.adds. le tld adds est pas prêt d'être utilisé sur internet à mon avis donc on est tranquille de ce côté.
utiliser un domaine qui n'existe pas sur internet (et donc inacessible sur internet) peut poser des problèmes pour les services internes que l'on souhaiterait rendre disponible en externe (comme office communications server : les comptes sip auront l'adresse interne et donc ne seront pas utilisables sur internet : dommage pour la mobilité !)
en dehors des problèmes de ce genre, il y a la gymnastique que doivent faire les utilisateurs pour choisir le bon nom de domaine pour accéder à un extranet ou à owa. en interne, on peut accéder à owa avec https://webmail.monentreprise.adds ou https://webmail et à l'extérieur, il faut y accéder avec https://webmail.monentreprise.fr. il faut retenir plusieurs adresses (bien qu'avec un marque-page, ça le fasse bien) donc c'est chiant.
c'est pour cela que je créé une deuxième zone dns dans mon ad nommée monentreprise.fr : ça s'appelle le split-dns et je t'invite à lire une partie d'un de mes articles parlant de ça
grâce au split-dns, les utilisateurs n'auront plus qu'une adresse à retenir : https://webmail.monentreprise.fr qu'ils soient à l'intérieur ou à l'extérieur de l'entreprise mais avec une petite différence sur le chemin utilisé dans le réseau

voilà un peu ce que je fais sur la partie dns

[DomiM]

Ouaip, je vois ...
JE ne savais pas pour les MAC, et le protocole bonjour, je vais faire attention à ça sur les prochaines installations.
De fait j'utilise plutôt, .dom comme tld, mais j'ai déja fais la connerie du .local chez quelques client ... je recommencerais plus.
Je vais m'empresser de voir ce que tu me conseils (split-dns), effectivement c'est toujours un pb.
Je suis rassurer sur la méthode du domaine privé et local ...

Puis je abuser pour te demander autre chose ? ou la t'es au max de ta gentillesse ?

Merci

[Michaël]

on commence à dériver donc à part si ça a un rapport avec le problème original, ouvre une nouvelle discussion

si le problème est résolu :

[DomiM]

Merci.