Nach dem Update von Exchange 2013 CU8 auf CU9 macht plötzlich das Ticketsystem in der Umegbung Probleme, welches per Fetchmail über IMAP die Mails abruft. Das Log sieht in etwa so aus:
fetchmail: IMAP> A0004 AUTHENTICATE GSSAPI fetchmail: IMAP< + fetchmail: Sending credentials fetchmail: Error exchanging credentials fetchmail: IMAP< + QsUaBisGAQUFAqBsMGqgPDA6BgorBgEEAYI3AgIeBgkqhkiC9xIBAgIGCSqGS3iBzgECAg8UGhkaAQICAwYKKwYBBALOAPICCqMqMCigJhskbm90X2RlZmluZWRfaW59aBGWNDE3OEBwbGVhc2VfaWdub3Jl fetchmail: IMAP> A0005 * fetchmail: IMAP> A0006 AUTHENTICATE NTLM fetchmail: IMAP< A0004 NO AUTHENTICATE failed. fetchmail: IMAP> A0007 * fetchmail: IMAP> A0008 LOGIN "SVC_User@domain.local" * fetchmail: IMAP< + fetchmail: IMAP< A0006 NO AUTHENTICATE failed.
Die Authentifizierungseinstellungen im ECP beider Server für IMAP waren nach wie vor auf SSL konfiguriert.
Foldender Technet Artikel liefert die Lösung: seit dem CU9 wird standardmäßig die Kerberos Authentifizierung in Verbindung mit GSSAPI für IMAP angeboten. Wer dies nicht möchte, oder wessen Clients damit Probleme haben, der kann diese Authentifizierung allerdings auch wieder deaktivieren.
Set-IMAPSettings -EnableGSSAPIAndNTLMAuth $false
Ein Neustart der IMAP-Dienste bringt dann den Erfolg. Praktischer wäre es natürlich, wenn das CU9 den neuen Authentifizierungsmechanismus mitbringt, man ihn aber manuell aktivieren muss. Das würde mit Sicherheit die Nerven einiger Administratoren schonen.
Mein Gott habt ihr es einmal versucht mit Release Notes lesen oder sind eure Kunden Versuchskaninchen. Sowas unprofessionelles selten.
Hallo Herr Müller,
vielen Dank für Ihre Kritik. Natürlich werden Updates von uns vorher getestet und auch nicht gleich nach dem Release installiert. Leider lassen sich aber nicht alle Konstellationen testen, da sich jede Umgebung von der nächsten unterscheidet. In diesem Fall konnte das Problem aber Dank der Release Notes zügig behoben werden, da ja der Hinweis schon gegeben war. Der Beitrag dient daher als Hilfe für Leute, die eben mit dem Fehlerbild nichts anfangen können – das ist ja der Sinn eines Blogs.
Wenn Ihr fachliches Niveau diesen Blog übersteigt – es zwingt Sie niemand uns zu abonnieren 🙂
Unprofessionel finde ich nur diesen „kritischen Kommentar von Herrn Müller!
„Mein Gott habt ihr es einmal versucht mit Release Notes lesen oder sind eure Kunden Versuchskaninchen. Sowas unprofessionelles selten“
Und ich kann bestätigen das sehr wohl von den Herren ausgiebig getestet wird bevor es produktiv geht. Ich sehe die saubere, gewissenhafte sorgfälltige Arbeit der Herren als Kunde immer wieder.
Deren Arbeit ist immer professionel und …
Es ist unmöglich jedes Exchange Systeme auf alle Vorkomnisse im Vorfeld 100% anzupassen, dies sollte eigentlich auch jedem klar sein der mit Exchange Organisationen arbeitet. Das eine Laie wie der Herr Müller dies nicht verstehen kann – ist verständlich!