Symptômes
Prenons l’exemple du scénario suivant :
-
Vous exécutez Microsoft Exchange Server 2013 ou Microsoft Exchange Server 2016 dans un environnement de coexistence conjointement avec Microsoft Exchange Server 2010 ou Exchange Server 2007.
-
Les boîtes aux lettres de cet environnement se connectent par le biais d’un serveur d’accès au client Exchange Server 2013 ou d’un service d’accès au client Exchange Server 2016.
-
Les utilisateurs de cet environnement essaient de connecter leurs boîtes aux lettres Exchange Server 2010 ou Exchange Server 2007 à l’aide de la fonctionnalité Outlook Anywhere.
Dans ce scénario, ces utilisateurs ne peuvent pas établir une connexion. Au lieu de cela, ils sont invités en permanence à entrer leurs informations d’identification. Par ailleurs, leurs clients Outlook peuvent rester dans un état déconnecté. Ce problème risque également d’affecter les connexions Outlook Anywhere aux dossiers publics Exchange Server 2010 ou Exchange Server 2007 hérités ou les carnets d’adresses en mode hors connexion. Résoudre les problèmes indiquent que les utilisateurs concernés ne peuvent pas se connecter directement aux serveurs d’accès client hérités (CAS) à l’aide d’Outlook Anywhere.
Cause
Ce problème se produit si les serveurs Exchange Server 2010 ou Exchange Server 2007 dotés du rôle CAS s’exécutent dans Windows Server 2008 R2. Ce problème se produit car un indicateur incorrect est défini dans une information d’identification globale après le changement du mot de passe d’ordinateur pour le CAS. Pour plus d’informations sur ce problème, voir le package de correctif mentionné dans la section « résolution ».
Résolution
Pour résoudre ce problème, installez la mise à jour suivante sur toutes les autorités de certification Exchange Server 2010 et Exchange Server 2007 qui s’exécutent dans Windows Server 2008 R2 :
3140410 Mise à jour de sécurité de Microsoft Windows pour corriger les privilèges d’élévation de privilèges : 8 mars 2016Remarque Vous devez redémarrer l’ordinateur après avoir appliqué cette mise à jour de sécurité.
Informations supplémentaires
Lorsque ce problème se produit, il est possible qu’une erreur soit enregistrée dans les journaux du proxy RPC HTTP à l’emplacement suivant :
C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttpCette entrée du journal ressemble à ce qui suit :Complete=PrepareServerRequest;,WebExceptionStatus=ProtocolError;ResponseStatusCode= 401;WebException=System.Net.WebException: The remote server returned an error: (401) Unauthorized. atSystem.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) atMicrosoft.Exchange.HttpProxy.RpcHttpProxyRequestHandler.<>c__DisplayClass1.nullb__0 ();HttpException=System.Web.HttpException (0x80004005): NegotiateSecurityContext failed with for host 'mail.contoso.com' with status 'InvalidToken' at Microsoft.Exchange.HttpProxy.KerberosUtilities.GenerateKerberosAuthHeader.
Solution de contournement
Pour contourner ce problème, configurez le pool d’applications par défaut sur toutes les autorités de certification 2010/2007 pour qu’ils s’exécutent sous l’identité du service réseau au lieu de l’identité du pool d’applications. Cette solution de contournement est temporaire. Pour modifier la configuration de pool d’applications par défaut, procédez comme suit :
-
Démarrez le gestionnaire des services Internet (IIS).
-
Cliquez sur pools d’applications, cliquez avec le bouton droit sur DefaultAppPool, puis cliquez sur Paramètres avancés.
-
Cliquez sur identité, puis cliquez sur les points de suspension (...) boutons.
-
Cliquez sur la flèche déroulante, puis recherchez service réseau dans la liste sous compte intégré.
-
Cliquez avec le bouton droit sur le pool d’applications par défaut , puis cliquez sur recycler