Я использую Exchange 2003 для почтового сервера и Windows Server 2003 в качестве NOS.
Когда пользователи пытаются открыть Outlook 2003 и получить доступ к своему почтовому ящику, система запрашивает у них имя пользователя / пароль. Даже когда введены правильные учетные данные, окно просто запрашивает их снова и снова ...
У этих пользователей вчера был незапрошенный доступ к своим учетным записям без каких-либо проблем или запросов. Сегодня у меня есть запросы на учетные данные.
Для любого пользователя с администратором домена система НЕ запрашивает их. У них есть доступ, как и раньше - просто дважды щелкните значок Outlook, и почтовый ящик откроется.
Я могу пинговать сервер, пинговать по FQDN и пинговать по короткому DNS-имени. Я могу просматривать сайты и разрешать DNS-адреса вне моего домена и те, что находятся внутри.
Мне нужно предоставить пользователям доступ к их почтовым ящикам без запроса и без предоставления дополнительных привилегий. Обновление программного обеспечения или операционных систем невозможно.
Я понятия не имею, куда мне идти дальше ... любая помощь приветствуется.
Поскольку ваши «администраторы домена» могут без проблем получить доступ к своим почтовым ящикам, это не указывает на проблему с подключением базы данных. Кто-нибудь играл с разрешениями в Active Directory? Начните с опроса всех, у кого есть доступ для таких действий (администраторов предприятия, администраторов домена).
Вы видите что-нибудь неправильное в журналах событий на компьютере с сервером Exchange? Это абсолют первый место смотреть.
Возможно, это очевидный вопрос, поскольку вы говорите, что он работал вчера, но: клиентские компьютеры являются присоединился к домену, и пользователи входят в систему с учетными записями домена, а не с локальными учетными записями - правильно?
Я бы проверил разрешения по умолчанию для организации Exchange, включив вкладку «Безопасность» в диспетчере системы Exchange (создайте значение REG_DWORD с именем «ShowSecurityPage» в ключе «HKEY_CURRENT_USER \ Software \ Microsoft \ Exchange \ ExAdmin»).
У меня есть действительно Трудно найти документ от Microsoft, в котором описываются разрешения верхнего уровня организации по умолчанию для Exchange 2003! Вероятно, было бы проще всего, если бы вы сбросили копию ACL с помощью команды DSACLS и добавили ее в качестве редактирования к вашему вопросу.
Чтобы сформулировать командную строку для команды DSACLS, вам необходимо знать отличительное имя вашей организации Exchange. Самый простой способ сделать это - установить «Инструменты поддержки Windows» с компакт-диска W2K3 в папку «SUPPORT». После того, как вы его установили, запустите «ADSIEDIT.MSC» из меню «Пуск / Выполнить».
Разверните контейнер «Конфигурация» на левой панели, подузел «CN = Configuration, ...», контейнер «CN = Services» и «CN = Microsoft Exchange». В этом контейнере «CN = Microsoft Exchange» вы найдете свою организацию Exchange как узел «CN = Organization Name Here».
Вызовите свойства своей организации, прокрутите вниз до атрибута «visibleName», выделите его и нажмите «Изменить» и скопируйте содержимое текстового поля «Значение» (без изменений!).
Закройте ADSIEDIT. Нажмите кнопку «Пуск / Выполнить» и введите следующую команду, вставив в двойные кавычки скопированное вами значение «своеобразное имя» (оставив двойные кавычки в команде):
CMD /C DSACLS "paste distinguishedName value here" > %TEMP%\ACL.TXT
Окно ненадолго появится и закроется. Нажмите Пуск / Выполнить и введите команду:
%TEMP%\ACL.TXT
Это приведет к появлению ваших разрешений организации Exchange верхнего уровня в окне Блокнота.
Также проверьте наличие кешированных учетных данных в Панели управления | Учетные записи пользователей | Продвинутый | Управление паролями.
есть ли шанс, что DNS направляет ваших пользователей обратно в Интернет и обратно через rpc через http через ваш шлюз? Я предполагаю, что вы можете проверить, сделав userid@domain.local (или любой другой ваш внутренний домен), а пароль - их пароль AD.
Вы меняли какие-либо внутренние настройки DNS, чтобы это произошло? любые изменения сетевой инфраструктуры?
edit Я только что увидел, что вы указали в другом комментарии, что нет внешней или внутренней сети, поэтому комментарий выше, вероятно, не будет применяться.
Я думаю, судя по всему, группа «Я» отсутствует в разрешении для каждого почтового ящика. Я думаю, это я или группа владельцев.
Я думаю, что, возможно, что-то случилось с этим разрешением в почтовом ящике обмена ИЛИ, может быть, что-то случилось с этой группой, что не имеет ничего общего с сервером обмена, и это будет проблемой AD.