前端 Exchange 服务器与新的后端 Exchange 服务器之间的 Outlook Web 访问失败

我们最近在我们的环境中添加了一个新的 Exchange 2003 后端服务器，该服务器由 DMZ 中的单个前端 Exchange 2003 服务器和同一 LAN 上的三个后端 Exchange 2003 服务器组成。前端服务器提供 Outlook Web Access 服务。我们组织中的所有 Exchange 服务器都在 Server 2003 SP2 上运行 Exchange SP2。所有服务器都在 IIS 6.0 上运行 OWA。

问题是，邮箱位于新 BE Exchange 服务器上的用户无法通过前端服务器上的 OWA 访问邮箱。他们会收到错误消息“您无法登录 Outlook Web Access。请确保您的域\用户名和密码正确，然后重试。”这种情况发生在邮箱创建于新服务器上的用户和邮箱从现有后端服务器之一移动到新服务器上的用户身上。邮箱被移动的用户可以在移动之前通过 OWA 访问邮箱。这些用户在使用隐式或显式登录方法直接连接到新 BE 服务器时，可以通过 OWA 访问邮箱。

FE 服务器可以 ping 新的 BE 服务器并通过端口 80 连接到它。实际上，DMZ 中的此 FE 服务器与 LAN 上的 3 个 DC 和 4 个 BE 服务器之间的所有端口都是打开的。FE 服务器使用基于表单的身份验证。所有三个 BE 服务器都使用默认域“MYDomain”进行基本身份验证，并在 Exchange 虚拟目录上启用集成 Windows 身份验证。我已验证虚拟服务器、Exchange 虚拟目录上的权限以及 Exchweb 文件夹上的 NTFS 权限在旧 BE 服务器和新 BE 服务器之间都是相同的。

查看 FE 服务器上的 Windows 安全日志，当受影响的用户之一尝试通过 OWA 登录时，我可以看到成功审核。但是，查看 IIS 日志时，我看到 http 错误代码 401.5，根据 Microsoft 的说法，这意味着“ISAPI\CGI 应用程序授权失败”。以下是该行的缩写版本：

2011-04-19 16:21:31 192.168.1.50 GET /exchange - 443 mydomain\fsmith 10.0.0.100 ...[content removed for brevity] 401 5 0

我对 Active Directory 中的用户对象执行了 LDAP 查询，并确保用户在正确的域中具有代理地址，并且用户的电子邮件服务器属性正确指向新的 BE 服务器。

我不确定这是否有区别，但我们的两台旧 BE 服务器上有 Sharepoint 管理网站。所有三台旧 BE 服务器都安装了 Trend Mail Scan 软件，该软件的 Web 界面托管在 IIS 上。

我希望这里有人能发现我遗漏的一些配置或故障排除步骤。有人知道为什么我们的 FE OWA 服务器无法成功连接到我们新 BE 交换服务器上的用户邮箱吗？