Síntomas
Imagine la siguiente situación:
-
Está ejecutando Microsoft Exchange Server 2013 o Microsoft Exchange Server 2016 en un entorno de coexistencia junto con una o ambas versiones de Microsoft Exchange Server 2010 o Exchange Server 2007.
-
Los buzones de este entorno se conectan a través de un servidor de acceso de cliente (CAS) de Exchange Server 2013 o un servicio de acceso de cliente de Exchange Server 2016.
-
Los usuarios de este entorno intentan conectar sus buzones de Exchange Server 2010 o Exchange Server 2007 mediante la característica Outlook en cualquier lugar.
En este escenario, estos usuarios no pueden establecer una conexión. En su lugar, se les solicitarán continuamente sus credenciales. Además, sus clientes de Outlook pueden permanecer desconectados. Este problema también puede afectar a las conexiones de Outlook Anywhere a Exchange Server 2010 o a las carpetas públicas heredadas de Exchange Server 2007 o a las libretas de direcciones sin conexión (OAB). Solución de problemas indica que los usuarios afectados no se pueden conectar directamente a los servidores de acceso de cliente (CAS) heredados con Outlook en cualquier lugar.
Causa
Este problema se produce si los servidores de Exchange Server 2010 o de Exchange Server 2007 que tienen el rol de CAS se están ejecutando en Windows Server 2008 R2. Este problema se produce porque se ha establecido una marca incorrecta en una credencial global después de cambiar la contraseña del equipo para las CA. Para obtener más información sobre este problema, vaya al paquete de hotfix que se menciona en la sección "resolución".
Resolución
Para resolver este problema, instale la siguiente actualización en todas las CA de Exchange Server 2010 y Exchange Server 2007 que se ejecutan en Windows Server 2008 R2:
3140410 Actualización de seguridad para Microsoft Windows para resolver la elevación de privilegios: 8 de marzo de 2016Nota Debe reiniciar el equipo después de aplicar esta actualización de seguridad.
Más información
Cuando se produce este problema, es posible que se registre un error en los registros del proxy RPC HTTP en la siguiente ubicación:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttpEsta entrada de registro es similar a la siguiente:Complete=PrepareServerRequest;,WebExceptionStatus=ProtocolError;ResponseStatusCode= 401;WebException=System.Net.WebException: The remote server returned an error: (401) Unauthorized. atSystem.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) atMicrosoft.Exchange.HttpProxy.RpcHttpProxyRequestHandler.<>c__DisplayClass1.nullb__0 ();HttpException=System.Web.HttpException (0x80004005): NegotiateSecurityContext failed with for host 'mail.contoso.com' with status 'InvalidToken' at Microsoft.Exchange.HttpProxy.KerberosUtilities.GenerateKerberosAuthHeader.
Solución alternativa
Para evitar este problema, configure el grupo de aplicaciones predeterminado de todas las entidades emisoras de 2010/2007 para que se ejecuten en la identidad del servicio de red en lugar de la identidad del grupo de aplicaciones. Esta solución alternativa es temporal. Para cambiar la configuración predeterminada del grupo de aplicaciones, siga estos pasos:
-
Inicie el Administrador de Internet Information Services (IIS).
-
Haga clic en grupos de aplicaciones, haga clic con el botón secundario en DefaultAppPooly luego haga clic en Configuración avanzada.
-
Haga clic en identidady, a continuación, haga clic en los puntos suspensivos (...) botones.
-
Haga clic en la flecha desplegable y, a continuación, busque servicio de red en la lista de la cuenta integrada.
-
Haga clic con el botón secundario en el grupo de aplicaciones predeterminado y, después, haga clic en reciclar