我不确定这是否是 Exchange 的问题,但由于目前它只会在网络邮件中弹出,因此我将在这里发布它并希望任何人都能知道...
场景:单个 Exchange 2016 环境。为 webmail.domain.com 拆分 DNS。OWA 使用基本身份验证。所有客户端都已加入域并位于内部网络上。使用的浏览器为 Internet Explorer 11、Edge 和 Chrome。
症状:当用户尝试打开 webmail.domain.com 时,会出现一个凭据弹出窗口,无论是否提供了正确的凭据,都会不断弹出,并且无法访问邮箱。此问题有 2 个解决方法:
打开 autodiscover.domain.com/owa => 这也会弹出一个凭证窗口,但可以登录并成功。请注意,autodiscover.domain.com 指向与 webmail.domain.com 完全相同的 IP 地址,即 Exchange 服务器的内部 IP 地址。通过 IP 地址进行连接也有效。
使用 Chrome 打开 webmail.domain.com => 这也可以正常工作。
我一直不知道是什么原因导致的,但我感觉这与身份/身份验证有关。为什么?
当我在 Exchange 服务器上打开 Internet Explorer 并打开 webmail.domain.com 时,我也会看到一个凭据弹出窗口,但系统已填写用户 ID,它不是我在 Exchange 服务器上登录时使用的用户 ID。在此特定情况下,它填写的是“存档”帐户,这是一个用于日志邮箱/存档应用程序的功能帐户。因此,似乎与网站的连接是使用错误的用户实例建立的。当我尝试从 Exchange 服务器打开 autodiscover.domain.com 时,我会看到一个空的凭据弹出窗口(未填写用户 ID),我认为这应该是这样的。
这不是我第一次遇到这样的问题:在另一个客户那里,大多数用户的互联网都被代理/防火墙阻止了。互联网访问是按用户允许的。我在 Exchange 服务器上使用的用户有权访问互联网,但是,有时我的互联网仍然被阻止,阻止页面显示以下内容:“应用程序被阻止,用户“domain.local\HealthMailbox04ca435d49044cf4b4f41c48dg52641”
因此,在这里,访问站点似乎也是由错误的用户实例发起的。我不知道这两个问题是否完全相同,但无论如何它们看起来非常相似。
有人遇到过这样的事情吗?有人知道我应该朝哪个方向解决这个问题,或者我应该在哪个论坛上发布这种问题吗?
附加信息:如果将客户端计算机移出域,则问题消失。如果再次加入域,问题会再次出现。有人知道我需要朝哪个方向看吗?
感谢并致以亲切问候
答案1
第一个问题 - 您为什么不使用基于表单的身份验证?这是访问 OWA 的默认且最安全的方式。
我的直觉告诉我,代理会妨碍访问,并尝试使用缓存的信息进行访问。您需要确保只使用 HTTPS,这样就不会缓存内容,使用基于表单的身份验证可实现最大安全性,如果您在内部使用代理,则 Exchange URL 会被排除,以便客户端直接连接。
几乎可以肯定这不是 Exchange 的问题,除非 OWA 的身份验证设置出现严重问题。