none
Erro de acesso OWA RRS feed

  • Pergunta

  • Olá, estou com problemas de login no OWA.

    Fiz a transição do Exchange 2003 para 2007 e após remover o Exchange 2003, alguns usuarios não consegue "logar" no OWA.

    O erro ocorre para usuarios que nunca acessaram o OWA, que carregam a pagina para selecionar a localidade.

    Segue erro:

    Request
    Url: https://mail.dominio.com.br:443/owa/lang.owa
    User host address: 10.1.1.10

    Exception
    Exception type: Microsoft.Exchange.Data.Storage.StoragePermanentException
    Exception message: There was a problem accessing Active Directory.

    Call stack
    Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostLocally(OwaContext owaContext, OwaIdentity logonIdentity, CultureInfo culture, String timeZoneKeyName, Boolean isOptimized)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostRequest(OwaContext owaContext)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.PrepareRequestWithoutSession(OwaContext owaContext, UserContextCookie userContextCookie)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.InternalDispatchRequest(OwaContext owaContext)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchRequest(OwaContext owaContext)
    System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
    System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

    Inner Exception
    Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
    Exception message: Active Directory operation failed on SRVAD.dominio.local. This error is not retriable. Additional information: Insufficient access rights to perform the operation. Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    Call stack
    Microsoft.Exchange.Data.Directory.ADSession.AnalyzeDirectoryError(PooledLdapConnection connection, DirectoryRequest request, DirectoryException de, Int32 totalRetries, Int32 retriesOnServer)
    Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId)
    Microsoft.Exchange.Data.Directory.ADSession.Save(ADObject instanceToSave, IEnumerable`1 properties)
    Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()

    Inner Exception
    Exception type: System.DirectoryServices.Protocols.DirectoryOperationException
    Exception message: The user has insufficient access rights.

    Call stack
    System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32 messageId, LdapOperation operation, ResultAll resultType, TimeSpan requestTimeOut, Boolean exceptionOnTimeOut)
    System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout)
    Microsoft.Exchange.Data.Directory.PooledLdapConnection.SendRequest(DirectoryRequest request, LdapOperation ldapOperation)
    Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId)

    Já analizei outros tópicos e documentos da Microsoft:

    http://technet.microsoft.com/en-us/library/bb885050.aspx

    Meu AD esta tudo certo, a herança está ativada para os usuários e o grupo "Exchange Servers" tem permissão no AD.

    Um teste que fiz foi colocar o usuario no grupo "Domain Admins" e fazer o logon no OWA. Funcionou corretamente, depois disso, tiro o usuário do grupo, e continua funcionando.

    Alguem pode me ajudar.

    Obrigado

    Rodrigu
    domingo, 9 de agosto de 2009 21:11

Respostas

  • Rodrigu, de uma olhada nas permissões do AD.

    Já peguei este erro.

    1. Habilite o "Advanced Features";
    2. Clique com o botao direito em cima do dominio e em seguida em propriedades;
    3. Clique na guia security e depois em Advanced;
    4. Verifique se o grupo "Exchange Servers" aparece com as permissões de Modify;
    5. Em seguida, verifique a coluna "Apply To", as permissões devem se propagar aos objetos filhos "This object and all descendant objects".

    Att,
    Eduardo Oliveira
    • Marcado como Resposta Suporte PWS quarta-feira, 19 de agosto de 2009 14:12
    terça-feira, 11 de agosto de 2009 18:51

Todas as Respostas

  • Ola Rodrigo,

    O Erro é permissão, como mostra na linha " Insufficient access rights to perform the operation. Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 ""

    O mais fácil é ver o que foi modificado se antes estava funcionando. Também é importante roar um exbpa e habiliatar debug e olhar o eventviewer.
    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org http://msmvps.org/blogs/andersonpatricio
    domingo, 9 de agosto de 2009 22:54
  • Obrigado pela resposta Anderson.

    Eu ativei o debug e agora aparece o seguinte erro:

    Logon Failure on database "SG05-DB01\MB-General" - Windows account NT AUTHORITY\NETWORK SERVICE; mailbox /o=Company/ou=First Administrative Group/cn=Recipients/cn=joao.

    Error: 1245

    Client Machine: EXSERVER

    Client Process: edgetransport.exe

    Client ProcessId: 0

    Client ApplicationId: Client=Hub Transport

    Eu achei estranho aparecer o "First Administrative Group"

    att,

    Rodrigu

    terça-feira, 11 de agosto de 2009 13:37
  • Ola Suporte,

    Junto com a dica do Anderson, esse erro é conhecido e já foi discutido aqui no fórum, dê uma pesquisada...
    Veja esse KB se aplica ao teu problema: http://support.microsoft.com/default.aspx/kb/941146

    Abs.
    Rodrigo Rodrigues .:. www.andersonpatricio.org .:. blog.rodrigorodrigues.org
    terça-feira, 11 de agosto de 2009 13:50
  • Ola Rodrigo, já consultei outros posts, mas não achei nada que me ajude.

    Quanto ao link da MS, não é o meu caso.

    Segue versão:
    ExchangeVersion : 0.1 (8.0.535.0)

    Att,
    Rodrigu

    terça-feira, 11 de agosto de 2009 17:13
  • Ola Suporte,

    Quanto ao link, você validou e viu que não é o seu caso?
    Caso não, segue a linha do Anderson e olha os logs, esse que você citou não tem a ver com o problema. E olha herança de permissões, também pode estar aí o problema.

    Abs.
    Rodrigo Rodrigues .:. www.andersonpatricio.org .:. blog.rodrigorodrigues.org
    terça-feira, 11 de agosto de 2009 17:34
  • Rodrigu, de uma olhada nas permissões do AD.

    Já peguei este erro.

    1. Habilite o "Advanced Features";
    2. Clique com o botao direito em cima do dominio e em seguida em propriedades;
    3. Clique na guia security e depois em Advanced;
    4. Verifique se o grupo "Exchange Servers" aparece com as permissões de Modify;
    5. Em seguida, verifique a coluna "Apply To", as permissões devem se propagar aos objetos filhos "This object and all descendant objects".

    Att,
    Eduardo Oliveira
    • Marcado como Resposta Suporte PWS quarta-feira, 19 de agosto de 2009 14:12
    terça-feira, 11 de agosto de 2009 18:51
  • Obrigado pela ajuda pessoal e desculpe pela demora em responder.

    Eduardo, obrigado pela dica.

    Era isso mesmo, as permissões do grupo "Exchange Server" não estavam aplicadas aos objetos filhos!

    Att,
    Rodrigu

    quarta-feira, 19 de agosto de 2009 14:15