none
Недоступны OWA и ECP RRS feed

  • Вопрос

  • Добрый день!

    После установки системы недоступны ECP и OWA. Установка осуществлялась пользователем с правами Администратор Домена, Схемы и Предприятия. После установки и попытке зайти в ECP выходит сообщение:

    403

    К сожалению, в доступе отказано :(


    Пользователь находится в группе Organization Manager. 

    При входе в OWA:

    X-OWA-Error: Microsoft.Exchange.Data.Storage.UserHasNoMailboxException
    X-OWA-Version: 15.0.775.32
    X-FEServer: EXCHANGE
    X-BEServer: ARCH
    Date: 24.12.2013 9:44:22

    Командная консоль Exchange Management Shell доступна и успешно подключается к серверу. Так же команда Get-MailBox выдает положительный результат.

    Роль клиентского доступа пере устанавливал несколько раз(

    В чем может быть проблема? 

    24 декабря 2013 г. 9:47

Ответы

Все ответы

  • От имени какого пользователя вы запускали ECP? Не того, из под которого разворачивался Exchange?

    Do not multiply entities beyond what is necessary

    24 декабря 2013 г. 9:57
  • Да. Для пользователя был создан почтовый ящик. Так же автоматом была добавлена роль Organization menager.
    24 декабря 2013 г. 10:29
  • Системные почтовые ящики у вас никуда не пропали?

    Get-Mailbox -Arbitration


    Do not multiply entities beyond what is necessary

    24 декабря 2013 г. 10:55
  • [PS] C:\Windows\system32>Get-ExchangeServer | Format-Table Name, *Version*

    Name                                    AdminDisplayVersion                     ExchangeVersion
    ----                                    -------------------                     ---------------
    ARCH                                    Version 15.0 (Build 775.38)             0.1 (8.0.535.0)
    EXCHANGE                                Version 15.0 (Build 775.38)             0.1 (8.0.535.0)


    [PS] C:\Windows\system32>Get-Mailbox -Arbitration

    Name                      Alias                ServerName       ProhibitSendQuota
    ----                      -----                ----------       -----------------
    FederatedEmail.4c1f4d8... FederatedEmail.4c... arch             1 MB (1,048,576 bytes)
    Migration.8f3e7716-201... Migration.8f3e771... arch             300 MB (314,572,800 bytes)
    SystemMailbox{1f05a927... SystemMailbox{1f0... arch             Unlimited
    SystemMailbox{bb558c35... SystemMailbox{bb5... arch             Unlimited
    SystemMailbox{e0dc1c29... SystemMailbox{e0d... arch             Unlimited

    Вроде на месте.

    24 декабря 2013 г. 11:08
  • Возможно ли, что каким то образом установленный изначально почтовый ящик, считается админским и при проблемах с ним будет блокирован доступ?
    24 декабря 2013 г. 11:12
  • Добрый день.

    Проверьте для всех системных ящиков и ящика учетной записи, из-под которой вы запускаете ECP, проставлен ли атрибут HomeMDB в AD.


    Blog - Smtp25.ru

    24 декабря 2013 г. 11:50
    Отвечающий
  • Да атрибут имеет значение. Имеется ошибка в логе ECP:

    2013-12-25T10:44:31.910Z,8a05d992-cdbd-43cc-a0b9-577d92db88a7,15,0,775,22,,Ecp,localhost,/ecp/,,FBA,True,BSSLOCAL\AdminExchange,,Sid~S-1-5-21-2420260721-615763074-1966607662-2609,Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0),::1,EXCHANGE,403,403,,GET,Proxy,arch.bss.local,15.00.0775.000,IntraForest,WindowsIdentity,Database~80eeafb0-2d13-4f5b-afba-ff8fde5dca2a~~12/25/2013 10:54:31,,,0,3926,1,,1,0,,0,,0,,0,0,46.8744,0,,,,41,0,0,0,44,0,42,3,3,4,45,,,BeginRequest=2013-12-25T10:44:31.863Z;BeginGetResponse=2013-12-25T10:44:31.863Z;OnResponseReady=2013-12-25T10:44:31.894Z;EndGetResponse=2013-12-25T10:44:31.910Z;,WebExceptionStatus=ProtocolError;ResponseStatusCode=403;WebException=System.Net.WebException: Удаленный сервер возвратил ошибку: (403) Запрещено.    в System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)    в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass20.<OnResponseReady>b__1e();

    25 декабря 2013 г. 10:48
  • Вы в конфигурацию виртуальных каталогов Exchange не лазили? 

    покажите вывод Get-EcpVirtualDirectory | select *auth* | FL

    и Get-OWAVirtualDirectory | select *auth* | FL


    Do not multiply entities beyond what is necessary

    25 декабря 2013 г. 11:03
  • Все стоит по дефолту. Данная проблема после установки на чистую ОС. 

    [PS] C:\Windows\system32>Get-EcpVirtualDirectory | select *auth* | FL

    InternalAuthenticationMethods : {Basic, Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : False
    DigestAuthentication          : False
    FormsAuthentication           : True
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}

    [PS] C:\Windows\system32>Get-OWAVirtualDirectory | select *auth* | FL

    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Basic, Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : False
    DigestAuthentication          : False
    FormsAuthentication           : True
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}

    26 декабря 2013 г. 3:21
  • Добавил сам сервер (компьютер) в AD в группу Organization Manager. После этого вход в ECP был выполнен но от имени сервера. Доступа к OWA так и нет. В статье http://support.microsoft.com/kb/2898571/en-us?sd=rss&spid=16662 описана данная проблема и решение вывести сервер из групп:

    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • Organization Management

    Если сделать это то после перезапуска сервера не запускаются службы. Установка без этих групп так же не возможно, пришлось добавить сервер в данные группы. Может я что то изначально не правильно сделал?

    26 декабря 2013 г. 3:57
  • какой URL используете для подключения?

    Do not multiply entities beyond what is necessary

    26 декабря 2013 г. 4:44
  • https://<имя сервера.домен>/ecp
    26 декабря 2013 г. 5:18
  • У вас сейчас самоподписные сертификаты на серверах Exchange?

    Do not multiply entities beyond what is necessary

    26 декабря 2013 г. 5:26
  • Имеется сертификат которые создаются автоматом при установке Exchange.
    26 декабря 2013 г. 5:31
  • Необходимо ли давать роли Администратора схемы и предприятия на компьютер при установке Exchange client access role? Если нет то какие должны быть разрешения?
    26 декабря 2013 г. 5:32
  • Учетную запись компьютера вообще не нужно включать в какие-либо группы. Нужно смотреть, почему у вас установка проходила с ошибками. Лог можно посмотреть тут "C:\ExchangeSetupLogs\ExchangeSetup.log"

    Выложите результат команды (из KB2898571):

    Get-ADPermission -Identity <ExchangeComputerObject> | where {($_.ExtendedRights -like "ms-Exch-EPI-Token-Serialization") -and ($_.Deny -like "True")} | ft -autosize User,ExtendedRights


    Blog - Smtp25.ru


    26 декабря 2013 г. 5:41
    Отвечающий
  • удалите сервера с этих групп:

    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • Organization Management

    их там не должно быть! там только учетные записи пользователей!

    перегрузите почтовые сервера и попробуйте

    службы не стартуют по какой причине? возможно для старта необходимо время минут 10-15, ошибки есть в логах? Exchange 2013 со всеми обновлениями?


    26 декабря 2013 г. 11:45
  • Если удалить сервер из группы "Администраторы домена" то при установке Exchange ошибка:

    [01.06.2014 06:37:48.0620] [1] Processing component 'Active Directory Topology Service Configuration' (Настройка службы топологии Microsoft Exchange Active Directory).
    [01.06.2014 06:37:48.0620] [1] Executing: 
              $maxWait = New-TimeSpan -Minutes 8
              $timeout = Get-Date;
              $timeout = $timeout.Add($maxWait);
              $currTime = Get-Date;
              $successfullySetConfigDC = $false;

              while($currTime -le $timeout)
              {
                $setSharedCDCErrors = @();
                try
                {
                  Set-SharedConfigDC -DomainController $RoleDomainController -ErrorVariable setSharedCDCErrors -ErrorAction SilentlyContinue;
                  $successfullySetConfigDC = ($setSharedCDCErrors.Count -eq 0);

                  if($successfullySetConfigDC)
                  {
                    break;
                  }
                  Write-ExchangeSetupLog -Info ("An error ocurred while setting shared config DC. Error: " + $setSharedCDCErrors[0]);
                }
                catch
                {
                  Write-ExchangeSetupLog -Info ("An exception ocurred while setting shared config DC. Exception: " + $_.Exception.Message);
                }

                Write-ExchangeSetupLog -Info ("Waiting 30 seconds before attempting again.");
                Start-Sleep -Seconds 30;
                $currTime = Get-Date;
              }

              if( -not $successfullySetConfigDC)
              {
                Write-ExchangeSetupLog -Error "Unable to set shared config DC.";
              }
            
    [01.06.2014 06:37:48.0698] [2] Параметры сеанса Active Directory для 'Set-SharedConfigDC': Просмотреть весь лес: 'True', Контроллер домена конфигурации: "File.bss.local", Предпочтительный глобальный каталог: "File.bss.local", Предпочтительные контроллеры домена: "{ File.bss.local }"
    [01.06.2014 06:37:48.0698] [2] User specified parameters:  -DomainController:'File.bss.local' -ErrorVariable:'setSharedCDCErrors' -ErrorAction:'SilentlyContinue'
    [01.06.2014 06:37:48.0698] [2] Beginning processing Set-SharedConfigDC
    [01.06.2014 06:37:49.0448] [2] The call to Microsoft Exchange Active Directory Topology service on server 'TopologyClientTcpEndpoint (localhost)' returned an error. Error details Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны..
    [01.06.2014 06:37:49.0448] [2] Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны.
    [01.06.2014 06:37:49.0464] [2] The call to Microsoft Exchange Active Directory Topology service on server 'TopologyClientTcpEndpoint (localhost)' returned an error. Error details Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны..
    [01.06.2014 06:37:49.0464] [2] Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны.
    [01.06.2014 06:37:49.0464] [2] Ending processing Set-SharedConfigDC
    [01.06.2014 06:37:49.0510] [2] Beginning processing Write-ExchangeSetupLog
    [01.06.2014 06:37:49.0510] [2] An error ocurred while setting shared config DC. Error: Вызов к службе топологии Microsoft Exchange Active Directory на сервере "TopologyClientTcpEndpoint (localhost)" возвратил ошибку. Сведения об ошибке: Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны..
    [01.06.2014 06:37:49.0510] [2] Ending processing Write-ExchangeSetupLog
    [01.06.2014 06:37:49.0510] [2] Beginning processing Write-ExchangeSetupLog
    [01.06.2014 06:37:49.0510] [2] Waiting 30 seconds before attempting again.
    [01.06.2014 06:37:49.0510] [2] Ending processing Write-ExchangeSetupLog

    6 января 2014 г. 6:39
  • Что-то у вас не так с учетной записью, из-под которой запускаете установку. В System эвент логе у вас нету события с номером 6?

    Blog - Smtp25.ru

    6 января 2014 г. 8:29
    Отвечающий
  • Обнаружил что в ForeignSecurityPrincipals пропала запись администратора внешней безопасности NT AUTHORITY\СИСТЕМА. Скорее всего после изменения режима работы до 2003. Может здесь проблема? Так как с правами админа все устанавливается успешно.
    6 января 2014 г. 9:17
  • Событий с номером 6 нету. В логах на службах Exchange ошибки: Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны. ----> Сбой операции Active Directory в . Представлены недопустимые учетные данные для 'NT AUTHORITY\СИСТЕМА'. ----> Представленные учетные данные неверны.
    8 января 2014 г. 5:34
  • 1. Сервер для Exchange у вас виртуальный? Как вы его создавали?

    Blog - Smtp25.ru

    8 января 2014 г. 7:02
    Отвечающий
  • Сервера клиентского и почтовых ящиков виртуальные и крутятся на Hyper-V. Server 2012. 
    8 января 2014 г. 11:45
  • Как вы создавали эти виртуальные машины?

    Blog - Smtp25.ru

    8 января 2014 г. 13:24
    Отвечающий
  • Через пункт создать далее установка с диска с оригинальным Windows Server 2012 скаченным с портала microsoft. Такое ощущение что нет каких то прав в AD. Сегодня пробую поставить с раздельной политикой управления.
    9 января 2014 г. 6:16
  • При установке та же ошибка:

     $maxWait = New-TimeSpan -Minutes 8
              $timeout = Get-Date;
              $timeout = $timeout.Add($maxWait);
              $currTime = Get-Date;
              $successfullySetConfigDC = $false;

              while($currTime -le $timeout)
              {
                $setSharedCDCErrors = @();
                try
                {
                  Set-SharedConfigDC -DomainController $RoleDomainController -ErrorVariable setSharedCDCErrors -ErrorAction SilentlyContinue;
                  $successfullySetConfigDC = ($setSharedCDCErrors.Count -eq 0);

                  if($successfullySetConfigDC)
                  {
                    break;
                  }
                  Write-ExchangeSetupLog -Info ("An error ocurred while setting shared config DC. Error: " + $setSharedCDCErrors[0]);
                }
                catch
                {
                  Write-ExchangeSetupLog -Info ("An exception ocurred while setting shared config DC. Exception: " + $_.Exception.Message);
                }

                Write-ExchangeSetupLog -Info ("Waiting 30 seconds before attempting again.");
                Start-Sleep -Seconds 30;
                $currTime = Get-Date;
              }

              if( -not $successfullySetConfigDC)
              {
                Write-ExchangeSetupLog -Error "Unable to set shared config DC.";
              }
            
    [01.09.2014 06:22:47.0898] [2] Параметры сеанса Active Directory для 'Set-SharedConfigDC': Просмотреть весь лес: 'True', Контроллер домена конфигурации: "AD1.bss.local", Предпочтительный глобальный каталог: "AD1.bss.local", Предпочтительные контроллеры домена: "{ AD1.bss.local }"
    [01.09.2014 06:22:47.0898] [2] User specified parameters:  -DomainController:'AD1.bss.local' -ErrorVariable:'setSharedCDCErrors' -ErrorAction:'SilentlyContinue'
    [01.09.2014 06:22:47.0898] [2] Beginning processing Set-SharedConfigDC
    [01.09.2014 06:22:49.0102] [2] The call to Microsoft Exchange Active Directory Topology service on server 'TopologyClientTcpEndpoint (localhost)' returned an error. Error details Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны..
    [01.09.2014 06:22:49.0102] [2] Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны.
    [01.09.2014 06:22:49.0102] [2] The call to Microsoft Exchange Active Directory Topology service on server 'TopologyClientTcpEndpoint (localhost)' returned an error. Error details Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны..
    [01.09.2014 06:22:49.0102] [2] Сервер Active Directory  недоступен. Сообщение об ошибке: Отклик Active Directory: Представленные учетные данные неверны.
    [01.09.2014 06:22:49.0102] [2] Ending processing Set-SharedConfigDC
    [01.09.2014 06:22:49.0117] [2] Beginning processing Write-ExchangeSetupLog

    9 января 2014 г. 6:33
  • Проблема решилась установкой системы на Windows Server 2008 R2)))
    • Помечено в качестве ответа Maksim BarakinEditor 17 января 2014 г. 8:39
    17 января 2014 г. 8:04