Недавно мы добавили в нашу среду новый внутренний сервер Exchange 2003, который состоял из одного внешнего сервера Exchange 2003 в DMZ и трех внутренних серверов Exchange 2003 в одной локальной сети. Сервер переднего плана предоставляет службы Outlook Web Access. Все серверы обмена в нашей организации работают под управлением Exchange SP2 на Server 2003 SP2. Все серверы работают под управлением OWA на IIS 6.0.
Проблема в том, что пользователи, чьи почтовые ящики находятся на новом сервере обмена BE, не могут получить к ним доступ через OWA на внешнем сервере. Они получают сообщение об ошибке «Не удалось войти в Outlook Web Access. Убедитесь, что ваш домен \ имя пользователя и пароль верны, а затем повторите попытку ». Это происходит как для пользователей, чьи почтовые ящики были созданы на новом сервере, так и для пользователей, чьи почтовые ящики были перемещены туда с одного из существующих внутренних серверов. Пользователи, почтовые ящики которых были перемещены, могли получить доступ к своим почтовым ящикам через OWA до перемещения. Эти же пользователи могут получить доступ к своим почтовым ящикам через OWA при прямом подключении к новому серверу BE с использованием неявных или явных методов входа в систему.
Сервер FE может проверить связь с новым сервером BE и подключиться к нему через порт 80. Фактически все порты между этим сервером FE в DMZ и нашими 3 DC и 4 серверами BE в LAN открыты. Сервер FE использует аутентификацию на основе форм. Все три сервера BE имеют обычную проверку подлинности с использованием домена по умолчанию «MYDomain» и встроенную проверку подлинности Windows, включенную в виртуальном каталоге обмена. Я проверил, что разрешения на виртуальных серверах, виртуальных каталогах обмена и разрешения NTFS для папки Exchweb одинаковы между старыми серверами BE и новым.
Просматривая журнал безопасности Windows на сервере FE, я вижу успешный аудит, когда один из затронутых пользователей пытается войти в систему через OWA. Однако при просмотре журналов IIS я вижу код ошибки http 401.5, который, согласно Microsoft, означает «Ошибка авторизации приложением ISAPI \ CGI». Ниже приводится сокращенная версия строки:
2011-04-19 16:21:31 192.168.1.50 GET /exchange - 443 mydomain\fsmith 10.0.0.100 ...[content removed for brevity] 401 5 0
Я выполнил LDAP-запрос к объекту пользователя в Active Directory и убедился, что у пользователя есть прокси-адрес в правильном домене и что атрибут сервера электронной почты пользователя правильно указывает на новый сервер BE.
Я не уверен, что это имеет значение, но на двух наших старых серверах BE есть веб-сайты администрирования Sharepoint. На всех трех старых серверах BE также установлено программное обеспечение Trend Mail Scan, для которого имеется веб-интерфейс, размещенный на IIS.
Я надеюсь, что кто-то здесь сможет обнаружить некоторую конфигурацию или шаг по устранению неполадок, который я пропустил. Кто-нибудь знает, почему наш сервер FE OWA не подключается к почтовым ящикам пользователей на нашем новом сервере обмена BE?
По-видимому, IIS на внешнем сервере Exchange считывает информацию с внутренних серверов Exchange при запуске. IIS не был перезапущен с момента добавления нового сервера. После перезапуска IIS все заработало.
"Вы пробовали выключить и снова включить?"
Это действительно похоже на проблему с разрешениями. Бьюсь об заклад, IUSR_MACHINENAME не имеет доступа к некоторым файлам, как должен. Вы можете попробовать запустить приложение File Monitor из sysinternals, чтобы увидеть, к чему осуществляется доступ, и привязать его к файлам или каталогам, которые нужно изменить.