none
Запутался в методах авторизации IIS 7 - не работает OWA RRS feed

  • Вопрос

  • Добрый вечер всем! Нужна помощь :-) На днях развернул новый почтовый сервер в новом домене (2 ВМ - одна в роли DC, вторая - собственно, Exchange 2010, обе на базе Windows Server 2008 R2). Все установилось корректно, подключил членов домена через MAPI, для работающих удаленно - задействовал IMAP и OWA. И вот решил человек пароль к почтовому ящику сменить при помощи OWA. Зашел, нажал на "Сменить пароль", в итоге его OWA выбросил и больше он зайти не смог. Решилось только при помощи iisreset /noforce на Exchange. Более того, если попробовать выбрать там же (в owa) "Все параметры" - тот же эффект. Я начал копать авторизацию на IIS 7, но что-то запутался. Есть каталог owa, есть ecp и есть EWS. Авторизации на owa были такими - Forms и Windows. Начал было менять, вообще owa отказался работать - то Bad request http 400, то owa can't initialize. Вернул, как было - проверку авторизации проходит, а потом - HTTP 400.

    Проблема выползла и на MAPI - сотрудник запускает Outlook 2010, письма видит, но постоянно выскакивает окно с требованием ввода пароля, как будто Exchange "не узнает" доменную учетку. Вы не могли бы подсказать, как вообще должна выглядеть аутентификация в IIS в моем случае? Понятно, что обязательно должна быть Forms-based, так и настроено в Exchange по умолчанию. А вот что с остальными каталогами (ecp, EWS) и их методами авторизации? Заранее спасибо ;-)

    31 января 2013 г. 12:51

Ответы

  • Если у вас в OWA установлена Windows Authentication, то у ECP тоже обязательно должна быть установлена Windows Authentication. После исправления не забудьте сделать iisreset /noforce /timeout:180

    Blog - Smtp25.ru

    • Помечено в качестве ответа Yuriy Lenchenkov 6 февраля 2013 г. 11:10
    1 февраля 2013 г. 7:57
    Отвечающий

Все ответы

  • Добрый день. В EMC выставите (в разделе серверов клинтского доступа) OWA - forms based ECP - forms based Через IIS: EWS - anonymous, windows integrated И на всякий случай сбросьте пароль пользователя через AD и проверьте, чтобы старый не был сохранен на рабочей станции.

    Blog - Smtp25.ru

    31 января 2013 г. 13:20
    Отвечающий
  • Проверил все, как Вы сказали - проверку авторизации owa точно проходит (специально набирал неправильный пароль - протестует). А вот если набрать правильный логин-пароль, выдается вот такое:


    Outlook Web App didn't initialize. If the problem continues, please contact your helpdesk.


    Request
    Url: https://real_IP:443/owa/auth/error.aspx
    User host address: client_IP
    OWA version: 14.2.328.9

    Забыл сказать, что установил RollUp 5-v2 (для Exchange 2010 SP2). Может быть, в нем проблема?

    31 января 2013 г. 18:45
  • Попробуйте тогда сделать Reset для OWA: Reset Client Access Virtual Directories

    Blog - Smtp25.ru

    1 февраля 2013 г. 6:11
    Отвечающий
  • Вы знаете, после очередной неудачной попытки посмотрел Events - там было сказано буквально следующее:

    The authentication type specified in the C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\owa\web.config file is incorrect. The correct authentication type is "Windows".

    Открыл этот файл, сменил строку authentication mode="Forms" на authentication mode="Windows". Заработало. Но теперь та же проблема вернулась, с которой все началось. Мне нужно, чтобы сотрудники сами назначили себе пароли через owa. А при попытке зайти в "Параметры"->"Показать все параметры" или же в "Сменить пароль" сессия закрывается без лишних слов. Что бы это могло значить?

    1 февраля 2013 г. 6:17
  • То, что не пускает в Параметры - это нужно смотреть как работает ECP. Для него установлен тот же метод аутентификации, что и для OWA?

    Вас пускает по адресу: https://exchange.server.fqdn/ecp ?


    Blog - Smtp25.ru

    1 февраля 2013 г. 6:39
    Отвечающий
  • Пускает только до появления стартовой страницы с логином-паролем. А дальше - "Введено неправильное имя пользователя или пароль". То есть все-таки авторизация в ecp неправильная?
    1 февраля 2013 г. 7:31
  • Если у вас в OWA установлена Windows Authentication, то у ECP тоже обязательно должна быть установлена Windows Authentication. После исправления не забудьте сделать iisreset /noforce /timeout:180

    Blog - Smtp25.ru

    • Помечено в качестве ответа Yuriy Lenchenkov 6 февраля 2013 г. 11:10
    1 февраля 2013 г. 7:57
    Отвечающий
  • Все, заработало :-) Спасибо огромное.

    P.S. Если при подключении по MAPI выскакивает окно с требованием авторизации - тоже в IIS проверить авторизацию нужно? Мелькнуло несколько раз, после сброса виртуальных каталогов вроде не появлялось больше... 

    1 февраля 2013 г. 8:54
  • Да, но там чуть посложнее найти конкретную причину, т.к. добавляются еще каталоги oab, autodiscover, ews

    Blog - Smtp25.ru

    1 февраля 2013 г. 9:05
    Отвечающий