A mudança do Active Directory de site único para vários sites quebrou o proxy do OWA

tag-icon tag-icon active-directory exchange exchange-2007 outlook-web-app cas
A mudança do Active Directory de site único para vários sites quebrou o proxy do OWA

Originalmente tínhamos a seguinte configuração:

  1. OfficeExch01 tem função de caixa de correio e função CAS
  2. OfficeExch01 está no escritório.
  3. CoLoExch01 tinha apenas função CAS.
  4. CoLoExch01 está voltado para a Internet e em um CoLo.
  5. Três controladores de domínio AD no site padrão.

Os usuários podem ir parahttps://webmail.whatever.com/owa, faça proxy para OfficeExch01 e tudo foi ótimo.

Bem, recentemente configuramos um site AD separado e colocamos um controlador de domínio e o servidor ColoExch01 no novo site. Também fiz aquele DC remoto ser um Catálogo Global. Agora, os usuários recebem o seguinte erro:

O Outlook Web Access não está disponível. Se o problema persistir, entre em contato com o suporte técnico da sua organização e informe o seguinte: Não há nenhum servidor de Acesso para Cliente Microsoft Exchange que tenha a configuração necessária no site do Active Directory onde a caixa de correio está armazenada.

Também vejo erros do evento 41 nos logs:

O servidor de acesso para cliente "https://webmail.xxxxxxx.com/owa"tentou fazer proxy do tráfego do Outlook Web Access para a caixa de correio "/o=XXXXX/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=xxxxxxk". Isso falhou porque nenhum servidor de Acesso para Cliente com um diretório virtual do Outlook Web Access configurado para A autenticação Kerberos pode ser encontrada no site do Active Directory da caixa de correio. A maneira mais simples de configurar um diretório virtual do Outlook Web Access para autenticação Kerberos é configurá-lo para usar a autenticação integrada do Windows usando o cmdlet Set-OwaVirtualDirectory no Shell de Gerenciamento do Exchange. ou usando o Console de Gerenciamento do Exchange. Se você já tiver um servidor de Acesso para Cliente implantado no site de destino do Active Directory com um diretório virtual do Outlook Web Access configurado para autenticação Kerberos, o servidor proxy de Acesso para Cliente poderá não estar encontrando esse servidor de Acesso para Cliente de destino. ele não tem um parâmetro internalUrl configurado. Você pode configurar o parâmetro internalUrl para o diretório virtual do Outlook Web Access no servidor de Acesso para Cliente no site de destino do Active Directory usando o cmdlet Set-OwaVirtualDirectory.

Olhando isso, vejo muita conversa sobre configurações de URL externo e URL interno. Porém, tudo funcionou muito bem até fazermos o novo site do AD. Também me certifiquei de que o diretório virtual /owa do servidor CAS interno esteja configurado para usar autenticação integrada.

Há algo que preciso fazer para permitir que o Exchange veja que fiz essas alterações no AD?

Responder1

Bem, acho que foi algum tipo de problema de replicação. Esta manhã tentamos e estava tudo bem. Sugiro que qualquer pessoa que tenha o mesmo problema execute dcdiag e replmon para ter certeza de que tudo foi replicado com sucesso.

informação relacionada