最初我们的设置如下:
- OfficeExch01 具有邮箱角色和 CAS 角色
- OfficeExch01 在办公室。
- CoLoExch01 刚刚担任 CAS 角色。
- CoLoExch01 面向互联网并处于 CoLo 中。
- 默认站点中的三个 AD 域控制器。
用户可以访问https://webmail.whatever.com/owa,代理到OfficeExch01并且一切都很顺利。
好吧,我们最近设置了一个单独的 AD 站点,并在新站点中放置了一个域控制器和 ColoExch01 服务器。我还将该远程 DC 设为全局目录。现在,用户收到以下错误:
Outlook Web Access 不可用。如果问题仍然存在,请联系您组织的技术支持并告知他们以下信息:在存储邮箱的 Active Directory 站点中没有具有必要配置的 Microsoft Exchange 客户端访问服务器。
我还在日志中看到事件 41 错误:
客户端访问服务器https://webmail.xxxxxxx.com/owa“尝试代理邮箱“/o=XXXXX/ou=Exchange 管理组 (FYDIBOHF23SPDLT)/cn=Recipients/cn=xxxxxxk”的 Outlook Web Access 通信。此操作失败,因为在邮箱的 Active Directory 站点中找不到配置了 Kerberos 身份验证的 Outlook Web Access 虚拟目录的客户端访问服务器。配置 Outlook Web Access 虚拟目录以进行 Kerberos 身份验证的最简单方法是使用 Exchange 命令行管理程序中的 Set-OwaVirtualDirectory cmdlet 或使用 Exchange 管理控制台将其设置为使用集成 Windows 身份验证。如果您已在目标 Active Directory 站点中部署了客户端访问服务器,并且 Outlook Web Access 虚拟目录已配置为进行 Kerberos 身份验证,则代理客户端访问服务器可能找不到该目标客户端访问服务器,因为它没有配置 internalUrl 参数。您可以使用 Set-OwaVirtualDirectory cmdlet 在目标 Active Directory 站点中的客户端访问服务器上为 Outlook Web Access 虚拟目录配置 internalUrl 参数。
查找此内容时,我看到很多关于 ExternalURL 和 InternalURL 设置的讨论。但是,在我们创建新的 AD 站点之前,一切都运行良好。我还确保将内部 CAS 服务器的 /owa 虚拟目录设置为使用集成身份验证。
我需要做些什么才能让 Exchange 看到我所做的这些 AD 更改?
答案1
嗯,我猜是某种复制问题。今天早上我们试了一下,一切都很好。我建议遇到同样问题的人运行 dcdiag 和 replmon 以确保一切都已成功复制。