我们最近在我们的环境中添加了一个新的Exchange 2003后端服务器,它包括DMZ中的单个前端Exchange 2003服务器和同一LAN上的三个后端Exchange 2003服务器。 前端服务器正在提供Outlook Web Access服务。 我们组织中的所有Exchange服务器都在Server 2003 SP2上运行Exchange SP2。 所有服务器都在IIS 6.0上运行OWA。
问题是邮箱驻留在新的BE交换服务器上的用户无法通过前端服务器上的OWA访问它们。 他们收到错误消息“您无法login到Outlook Web Access。 确保你的域名\用户名和密码是正确的,然后再试一次。“对于邮箱是在新服务器上创build的用户,以及其邮箱从其中一个现有后端服务器移到那里的用户,都会发生这种情况。 邮箱被移动的用户可以在移动之前通过OWA访问他们的邮箱。 当使用隐式或显式login方法直接连接到新的BE服务器时,这些相同的用户可以通过OWA访问他们的邮箱。
FE服务器可以ping通新的BE服务器并通过端口80连接到它。实际上,DMZ中的FE服务器和LAN上的3个DC和4个BE服务器之间的所有端口都是打开的。 FE服务器使用基于表单的身份validation。 所有三个BE服务器都使用默认域“MYDomain”进行基本身份validation,并在交换虚拟目录上启用集成Windows身份validation。 我已经validation了旧的BE服务器和新的BE服务器之间的虚拟服务器上的权限,交换虚拟目录和Exchweb文件夹上的NTFS权限都是相同的。
通过FE服务器上的Windows安全日志查看,当其中一个受影响的用户尝试通过OWAlogin时,我可以看到成功的审核。 然而,当通过IIS日志看,我看到有一个HTTP错误代码401.5,根据微软的意思是“授权失败的ISAPI \ CGI应用程序”。 该行的缩写版本如下:
2011-04-19 16:21:31 192.168.1.50 GET /exchange - 443 mydomain\fsmith 10.0.0.100 ...[content removed for brevity] 401 5 0 我对Active Directory中的用户对象执行LDAP查询,并确保用户在正确的域中有一个代理地址,并且用户的电子邮件服务器属性正确地指向新的BE服务器。
我不确定它是否有所作为,但是在我们的两台旧的BE服务器上有Sharepointpipe理网站。 所有三台旧的BE服务器都安装了趋势邮件扫描软件,在IIS上有一个Web界面托pipe。
我希望这里有人能够发现一些我错过的configuration或故障排除步骤。 有谁知道为什么我们的FE OWA服务器没有成功连接到我们新的BE交换服务器上的用户邮箱?
显然,前端Exchange服务器上的IIS在启动时会在后端Exchange服务器上读取信息。 自添加新服务器以来,IIS尚未重新启动。 一旦我们重新启动IIS一切开始工作。
“你试过把它关掉吗?”
这听起来像一个权限问题。 我敢打赌,IUSR_MACHINENAME不能访问一些像它应该的文件。 您可以尝试从sysinternals运行文件监视器应用程序,以查看访问什么来将其固定到要更改的文件或目录。