Symptomy
Rozpatrzmy następujący scenariusz:
-
Korzystasz z programu Microsoft Exchange Server 2013 lub Microsoft Exchange Server 2016 w środowisku współistnienia razem z jednym lub programem Microsoft Exchange Server 2010 lub Exchange Server 2007.
-
Skrzynki pocztowe w tym środowisku nawiązują połączenie za pośrednictwem usługi programu Exchange Server 2013 Client Access Server (CAS) lub programu Exchange Server 2016.
-
Użytkownicy tego środowiska próbują połączyć się ze skrzynkami pocztowymi programu Exchange Server 2010 lub Exchange Server 2007, korzystając z funkcji wolny Microsoft Outlook.
W tym scenariuszu użytkownicy nie mogą nawiązać połączenia. Zamiast tego są oni nieustannie monitowani o podanie poświadczeń. Ponadto ich klienci programu Outlook mogą pozostawać w stanie rozłączenia. Ten problem może również mieć wpływ na połączenia z dowolnego miejsca w programie Outlook na dowolnym komputerze z programem Exchange Server 2010 lub Exchange Server 2007 starsze foldery publiczne lub książki adresowe offline (OAB). Rozwiązywanie problemów oznacza, że użytkownicy, których dotyczy problem, nie mogą połączyć się bezpośrednio ze starszymi serwerami dostępu klienta (CAS) przy użyciu programu Outlook gdziekolwiek.
Przyczyna
Ten problem występuje, jeśli serwery programu Exchange Server 2010 lub Exchange Server 2007 z rolą CAS są uruchomione w systemie Windows Server 2008 R2. Ten problem występuje, ponieważ w poświadczeniach globalnych jest ustawiana niepoprawna flaga po zmianie hasła komputera dla urzędu certyfikacji. Więcej informacji na temat tego problemu zawiera pakiet poprawek wymieniony w sekcji "rozwiązanie".
Rozwiązanie
Aby rozwiązać ten problem, zainstaluj następującą aktualizację na wszystkich serwerach CAS programu Exchange Server 2010 i Exchange Server 2007, które są uruchomione w systemie Windows Server 2008 R2:
3140410 Aktualizacja zabezpieczeń dla systemu Microsoft Windows mająca na celu podniesienie uprawnień: 8 marca 2016 r.Uwaga Po zastosowaniu tej aktualizacji zabezpieczeń należy ponownie uruchomić komputer.
Więcej informacji
W przypadku wystąpienia tego problemu w dziennikach serwera proxy HTTP RPC może być rejestrowany błąd w następującej lokalizacji:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttpTen wpis dziennika przypomina następujące:Complete=PrepareServerRequest;,WebExceptionStatus=ProtocolError;ResponseStatusCode= 401;WebException=System.Net.WebException: The remote server returned an error: (401) Unauthorized. atSystem.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) atMicrosoft.Exchange.HttpProxy.RpcHttpProxyRequestHandler.<>c__DisplayClass1.nullb__0 ();HttpException=System.Web.HttpException (0x80004005): NegotiateSecurityContext failed with for host 'mail.contoso.com' with status 'InvalidToken' at Microsoft.Exchange.HttpProxy.KerberosUtilities.GenerateKerberosAuthHeader.
Obejście
Aby obejść ten problem, Skonfiguruj domyślną pulę aplikacji na wszystkich urzędach certyfikacji usługi 2010/2007 w celu uruchamiania pod tożsamością usługa sieciowa zamiast tożsamości puli aplikacji. To obejście jest tymczasowe. Aby zmienić domyślną konfigurację puli aplikacji, wykonaj następujące czynności:
-
Uruchom Menedżera internetowych usług informacyjnych (IIS).
-
Kliknij pozycję Pule aplikacji, kliknij prawym przyciskiem myszy pozycję Domyślna pulaaplikacji, a następnie kliknij polecenie Ustawienia zaawansowane.
-
Kliknij pozycję tożsamość, a następnie kliknij wielokropek (...) przyciski.
-
Kliknij strzałkę listy rozwijanej, a następnie Znajdź usługę sieciową na liście w obszarze wbudowane konto.
-
Kliknij prawym przyciskiem myszy domyślną pulę aplikacji, a następnie kliknij polecenie Odtwórz .