我们最近在我们的域中推出了密码策略,因此用户现在登录时会提示他们选择一个新密码,但是一旦完成此操作,Outlook 似乎也会提示他们输入新密码。
有什么方法可以将其集成,以便 Outlook 只使用用户自动选择的新密码?
答案1
不,事情是这样的:
Outlook 将用户凭据缓存在凭据管理器中,每次需要从 365/Exchange 获取某些信息时都会触发这些凭据。但是,当用户更改复制到 365/Exchange 的域密码时,Outlook 凭据仍然过期。当用户尝试连接时,他们会收到未经授权的响应,然后提示他们在 Outlook 中更新凭据。
恐怕这是无法避免的。
另外,Outlook 2010/13 有一个错误,它根本不会记住重新输入的凭据,因此每次打开 Outlook 时都会提示,还有一个解决办法。
答案2
具有基本身份验证的 Outlook
当您选择记住我的凭据选项。只要它不再起作用,它就会使用已保存的信息。这种身份验证方法无法使用 Windows 凭据,因此每个用户都需要手动更新密码。
Kerberos 身份验证
Microsoft Exchange 团队建议:为 MAPI 客户端启用 Kerberos 身份验证Ross Smith IV 解释了 Kerberos 身份验证并说明了它在 Exchange 2010 中发生了哪些变化。这可能是身份验证按您记忆中的方式工作但现在却不工作的原因:
通常,加入域的客户端/应用程序会利用 NTLM 或 Kerberos 进行身份验证。实际使用的身份验证机制取决于客户端和服务器的配置,它们会协商在建立连接期间要使用的身份验证。MAPI 支持 Kerberos 身份验证,Outlook 2007 及更高版本中的默认设置是在未以 Outlook Anywhere 模式运行时协商可用的最强身份验证。
在 Exchange 2010 中,MAPI 客户端连接到负载平衡的服务器阵列,而不是具有自己唯一网络身份的单个服务器。然而,消息传递架构的这种变化带来了挑战。在以前的 Exchange 版本中,客户端直接连接到邮箱服务器,该服务器在网络上具有单一身份。这意味着,如果客户端有能力,可以利用 Kerberos 身份验证与邮箱服务器建立会话。
建议部署替代服务帐户(ASA)凭证机制,用于为 MAPI 客户端启用 Kerberos 身份验证。请参阅文章了解详细信息。
部署 ASA 凭据的步骤如下:
- 创建一个用作 ASA 凭据的帐户。
- 将 ASA 凭证部署给 CAS 成员。
- 将 OAB 虚拟目录转换为应用程序。
- 将 SPN 分配给 ASA 凭据计算机帐户。
Office 365 现代身份验证
出于完整性考虑,Kerberos 身份验证仅适用于本地 Exchange Server。但是,Office 2013(及更高版本)和 Office 365 支持Active Directory 身份验证库(ADAL)登录。请参阅将 Office 365 现代身份验证与 Office 客户端结合使用。