Pasar de Active Directory de un solo sitio a varios sitios ha roto el proxy OWA

Originalmente teníamos la siguiente configuración:

1. OfficeExch01 tiene función de buzón de correo y función CAS
2. OfficeExch01 está en la oficina.
3. CoLoExch01 acababa de tener función CAS.
4. CoLoExch01 está orientado a Internet y en un CoLo.
5. Tres controladores de dominio AD en el sitio predeterminado.

Los usuarios podrían ir ahttps://webmail.whatever.com/owa, acceda a OfficeExch01 y todo fue genial.

Bueno, recientemente configuramos un sitio AD separado y colocamos un controlador de dominio y el servidor ColoExch01 en el nuevo sitio. También hice que ese DC remoto fuera un catálogo global. Ahora, los usuarios reciben el siguiente error:

Outlook Web Access no está disponible. Si el problema continúa, comuníquese con el soporte técnico de su organización e infórmeles lo siguiente: No hay ningún servidor de acceso de cliente de Microsoft Exchange que tenga la configuración necesaria en el sitio de Active Directory donde está almacenado el buzón.

También veo errores del evento 41 en los registros:

El servidor de acceso de cliente "https://webmail.xxxxxxx.com/owa"Intentó representar el tráfico de Outlook Web Access para el buzón "/o=XXXXX/ou=Exchange Administrator Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=xxxxxxk". Esto falló porque no había ningún servidor de acceso de cliente con un directorio virtual de Outlook Web Access configurado para La autenticación Kerberos se puede encontrar en el sitio de Active Directory del buzón. La forma más sencilla de configurar un directorio virtual de Outlook Web Access para la autenticación Kerberos es configurarlo para que utilice la autenticación integrada de Windows mediante el cmdlet Set-OwaVirtualDirectory en el Shell de administración de Exchange. o mediante el uso de la Consola de administración de Exchange. Si ya tiene un servidor de acceso de cliente implementado en el sitio de Active Directory de destino con un directorio virtual de Outlook Web Access configurado para la autenticación Kerberos, es posible que el servidor de acceso de cliente proxy no encuentre ese servidor de acceso de cliente de destino porque. no tiene un parámetro internalUrl configurado. Puede configurar el parámetro internalUrl para el directorio virtual de Outlook Web Access en el servidor de acceso de cliente en el sitio de Active Directory de destino mediante el cmdlet Set-OwaVirtualDirectory.

Al buscar esto, veo que se habla mucho sobre la configuración de ExternalURL e InternalURL. Sin embargo, todo funcionó muy bien hasta que creamos el nuevo sitio AD. También me aseguré de que el directorio virtual /owa del servidor CAS interno esté configurado para utilizar la autenticación integrada.

¿Debo hacer algo para permitir que Exchange vea que he realizado estos cambios de AD?