Sintomas
Considere o seguinte cenário:
-
Você está executando o Microsoft Exchange Server 2013 ou o Microsoft Exchange Server 2016 em um ambiente de coexistência juntamente com o Microsoft Exchange Server 2010 ou o Exchange Server 2007.
-
As caixas de correio nesse ambiente se conectam por meio de um servidor de acesso para cliente (CAS) do Exchange Server 2013 ou do Exchange Server 2016 serviço de acesso de cliente.
-
Os usuários neste ambiente tentam conectar suas caixas de correio do Exchange Server 2010 ou do Exchange Server 2007 usando o recurso Outlook em qualquer lugar.
Nesse cenário, esses usuários não podem fazer uma conexão. Em vez disso, eles são solicitados continuamente por suas credenciais. Além disso, os clientes do Outlook podem permanecer em um estado desconectado. Esse problema também pode afetar as conexões do Outlook em qualquer lugar com o Exchange Server 2010 ou o Exchange Server 2007 pastas públicas herdadas ou catálogos de endereços offline (OAB). A solução de problemas indica que os usuários afetados não podem se conectar diretamente aos servidores de acesso para cliente (CAS) herdados usando o Outlook em qualquer lugar.
Causa
Esse problema ocorre se os servidores Exchange Server 2010 ou Exchange Server 2007 que têm a função CAS estiverem sendo executados no Windows Server 2008 R2. Esse problema ocorre porque um sinalizador incorreto está definido em uma credencial global após a alteração da senha do computador para as CAS. Mais informações sobre esse problema estão incluídas no pacote de hotfix mencionado na seção "resolução".
Resolução
Para solucionar esse problema, instale a seguinte atualização em todas as CAS do Exchange Server 2010 e do Exchange Server 2007 em execução no Windows Server 2008 R2:
3140410 Atualização de segurança do Microsoft Windows para endereçar a elevação do privilégio: 8 de março de 2016Observação É necessário reiniciar o computador depois de aplicar essa atualização de segurança.
Informações adicionais
Quando esse problema ocorre, um erro pode ser registrado nos logs de proxy HTTP RPC no seguinte local:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttpEssa entrada de log é semelhante à seguinte:Complete=PrepareServerRequest;,WebExceptionStatus=ProtocolError;ResponseStatusCode= 401;WebException=System.Net.WebException: The remote server returned an error: (401) Unauthorized. atSystem.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) atMicrosoft.Exchange.HttpProxy.RpcHttpProxyRequestHandler.<>c__DisplayClass1.nullb__0 ();HttpException=System.Web.HttpException (0x80004005): NegotiateSecurityContext failed with for host 'mail.contoso.com' with status 'InvalidToken' at Microsoft.Exchange.HttpProxy.KerberosUtilities.GenerateKerberosAuthHeader.
Solução alternativa
Para contornar esse problema, configure o pool de aplicativos padrão em todas as CAS do 2010/2007 para executar sob a identidade do serviço de rede em vez da identidade do pool de aplicativos. Esta solução alternativa é temporária. Para alterar a configuração do pool de aplicativos padrão, siga estas etapas:
-
Inicie o Gerenciador do IIS (Serviços de informações da Internet).
-
Clique em pools de aplicativos, clique com o botão direito do mouse em DefaultAppPoole clique em Configurações avançadas.
-
Clique em identidadee, em seguida, clique nas reticências (...) botão.
-
Clique na seta suspensa e localize serviço de rede na lista em conta interna.
-
Clique com o botão direito do mouse no pool de aplicativos padrão e clique em reciclar
