症状
请考虑以下情况:
-
你在共存环境中运行 Microsoft Exchange Server 2013 或 Microsoft Exchange Server 2016 以及 Microsoft Exchange Server 2010 或 Exchange Server 2007。
-
此环境中的邮箱通过 Exchange Server 2013 客户端访问服务器(CAS)或 Exchange Server 2016 客户端访问服务连接。
-
此环境中的用户尝试使用 "Outlook Anywhere" 功能连接 Exchange Server 2010 或 Exchange Server 2007 邮箱。
在这种情况下,这些用户无法建立连接。 而是会不断提示他们输入凭据。 此外,其 Outlook 客户端可能仍处于断开连接状态。此问题还可能会影响到 Exchange Server 2010 或 Exchange Server 2007 旧版公用文件夹或脱机通讯簿(OAB)的 Outlook Anywhere 连接。疑难解答指示受影响的用户无法通过使用 Outlook Anywhere 直接连接到旧版客户端访问服务器(CAS)。
原因
如果在 Windows Server 2008 R2 中运行具有 CAS 角色的 Exchange Server 2010 或 Exchange Server 2007 服务器,则会出现此问题。 出现此问题的原因是在更改了 CA 的计算机密码后,全局凭据中设置了不正确的标志。 有关此问题的详细信息包括在 "解决方案" 部分所述的修补程序包中。
解决方案
若要解决此问题,请在 Windows Server 2008 R2 中运行的所有 Exchange Server 2010 和 Exchange Server 2007 CA 上安装以下更新:
3140410 Microsoft Windows 安全更新,用于解决权限提升:2016年3月8日注意 应用此安全更新后,必须重启计算机。
更多信息
出现此问题时,可能会在以下位置的 HTTP RPC 代理日志中记录错误:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp此日志条目类似于以下内容:Complete=PrepareServerRequest;,WebExceptionStatus=ProtocolError;ResponseStatusCode= 401;WebException=System.Net.WebException: The remote server returned an error: (401) Unauthorized. atSystem.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) atMicrosoft.Exchange.HttpProxy.RpcHttpProxyRequestHandler.<>c__DisplayClass1.nullb__0 ();HttpException=System.Web.HttpException (0x80004005): NegotiateSecurityContext failed with for host 'mail.contoso.com' with status 'InvalidToken' at Microsoft.Exchange.HttpProxy.KerberosUtilities.GenerateKerberosAuthHeader.
解决方法
要解决此问题,请将所有 2010/2007 CA 上的默认应用程序池配置为在网络服务标识下运行,而不是应用程序池标识。 此解决方法是临时性的。若要更改默认的应用程序池配置,请按照下列步骤操作:
-
启动 Internet Information Services (IIS)管理器。
-
单击 "应用程序池",右键单击 " DefaultAppPool",然后单击 "高级设置"。
-
单击 "标识",然后单击省略号(...) button.
-
单击下拉箭头,然后在 "内置帐户" 下的列表中找到 "网络服务"。
-
右键单击默认应用程序池,然后单击 "回收"
