Назад | Перейти на главную страницу

Переход от односайтовой к многосайтовой Active Directory нарушил проксирование OWA

Изначально у нас была следующая установка:

  1. OfficeExch01 имеет роль почтового ящика и роль CAS
  2. OfficeExch01 находится в офисе.
  3. CoLoExch01 имел только роль CAS.
  4. CoLoExch01 выходит в Интернет и находится в CoLo.
  5. Три контроллера домена AD на сайте по умолчанию.

Пользователи могли перейти на https://webmail.whatever.com/owa, подключитесь к OfficeExch01, и все было отлично.

Что ж, недавно мы установили отдельный сайт AD и разместили контроллер домена и сервер ColoExch01 на новом сайте. Я также сделал этот удаленный DC глобальным каталогом. Теперь пользователи получают следующую ошибку:

Outlook Web Access недоступен. Если проблема не исчезнет, ​​обратитесь в службу технической поддержки своей организации и сообщите им следующее: На сайте Active Directory, где хранится почтовый ящик, нет сервера клиентского доступа Microsoft Exchange с необходимой конфигурацией.

Я также вижу в журналах ошибку события 41:

Сервер клиентского доступа "https://webmail.xxxxxxx.com/owa«Попытка проксировать трафик Outlook Web Access для почтового ящика» / o = XXXXX / ou = Административная группа Exchange (FYDIBOHF23SPDLT) / cn = Recipients / cn = xxxxxxk ». Это не удалось, потому что нет сервера клиентского доступа с виртуальным каталогом Outlook Web Access, настроенным для Проверка подлинности Kerberos может быть найдена на сайте Active Directory почтового ящика. Самый простой способ настроить виртуальный каталог Outlook Web Access для проверки подлинности Kerberos - настроить его на использование встроенной проверки подлинности Windows с помощью командлета Set-OwaVirtualDirectory в командной консоли Exchange, или с помощью консоли управления Exchange. Если у вас уже есть сервер клиентского доступа, развернутый на целевом сайте Active Directory с виртуальным каталогом Outlook Web Access, настроенным для проверки подлинности Kerberos, проксирующий сервер клиентского доступа может не найти этот целевой сервер клиентского доступа, потому что для него не настроен параметр internalUrl. Параметр internalUrl можно настроить для Outlook Web Acce. ss на сервере клиентского доступа на целевом сайте Active Directory с помощью командлета Set-OwaVirtualDirectory.

Глядя на это, я вижу много разговоров о настройках ExternalURL и InternalURL. Однако все работало отлично, пока мы не создали новый сайт AD. Я также убедился, что виртуальный каталог / owa внутреннего сервера CAS настроен на использование встроенной аутентификации.

Что мне нужно сделать, чтобы сервер Exchange увидел, что я внес эти изменения в AD?

Думаю, это была какая-то проблема с репликацией. Сегодня утром мы попробовали, и все было хорошо. Я предлагаю всем, у кого есть такая же проблема, запустить dcdiag и replmon, чтобы убедиться, что все реплицируется успешно.