none
Проблема с доступом по веб-интерфейсу RRS feed

  • Вопрос

  • У некоторых пользователей упорно не работает OWA. Говорит A problem occurred while trying to use your mailbox. Please contact technical support for your organization.

    И выдаёт следующую ошибку:

    Request
    Url: https://mail.company.ru:443/owa/lang.owa
    User host address: 213.128.1xx.xxx

    Exception
    Exception type: Microsoft.Exchange.Data.Storage.StoragePermanentException
    Exception message: There was a problem accessing Active Directory.

    Call stack

    Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()

    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostLocally(OwaContext owaContext, OwaIdentity logonIdentity, CultureInfo culture, String timeZoneKeyName, Boolean isOptimized)

    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostRequest(OwaContext owaContext)

    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.PrepareRequestWithoutSession(OwaContext owaContext, UserContextCookie userContextCookie)

    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.InternalDispatchRequest(OwaContext owaContext)

    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchRequest(OwaContext owaContext)

    System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()

    System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)


    Inner Exception
    Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
    Exception message: Active Directory operation failed on pdc.company.loc. This error is not retriable. Additional information: Insufficient access rights to perform the operation. Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    Call stack

    Microsoft.Exchange.Data.Directory.ADSession.AnalyzeDirectoryError(PooledLdapConnection connection, DirectoryRequest request, DirectoryException de, Int32& retries, Int32 maxRetries)

    Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId)

    Microsoft.Exchange.Data.Directory.ADSession.Save(ADObject instanceToSave, IEnumerable`1 properties)

    Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()


    Inner Exception
    Exception type: System.DirectoryServices.Protocols.DirectoryOperationException
    Exception message: The user has insufficient access rights.

    Call stack

    System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32 messageId, LdapOperation operation, ResultAll resultType, TimeSpan requestTimeOut, Boolean exceptionOnTimeOut)

    System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout)

    Microsoft.Exchange.Data.Directory.PooledLdapConnection.SendRequest(DirectoryRequest request, LdapOperation ldapOperation)

    Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId)

    • Перемещено Hengzhe Li 18 марта 2012 г. 6:51 forum merge (От:Exchange Server 2007)
    20 января 2007 г. 0:27

Ответы

  • Дело в следующем. Когда пользователь заходит в OWA 2007, с его объекта в Active Directory считывается список предпочитаемых языков. Это новый атрибут в Exchange 2007. В самый первый раз этого атрибута там нет, поэтому OWA предлагает пользователю выбрать язык и сохраняет его.

     k-f написано:
    У некоторых пользователей упорно не работает OWA. Говорит A problem occurred while trying to use your mailbox. Please contact technical support for your organization.
    ...
    Inner Exception
    Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
    Exception message: Active Directory operation failed on pdc.company.loc. This error is not retriable. Additional information: Insufficient access rights to perform the operation. Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    В отличие от Exchange 2000/2003, в 2007й версии учетные записи серверов Exchange имеют минимальные права в Active Directory. Но вот конкретно этот атрибут любой Exchange сервер может изменить. Поскольку, согласно сообщению об ошибке, это право не действует, необходимо разобраться почему это так. В 90% случаев дело в том, что где-то в иерархии контейнеров над этим пользователем убрана галочка "наследовать разрешения" (inherit permissions), как и написал MC_PM выше. В результате разрешения, установленные на уровне домена, не распространяются вниз на какие-то контейнеры или индивидуальные объекты.

    Второе сообщение об ошибке вызвано другой причиной.

     Andrey Larin написано:
    Inner Exception
    Exception type: Microsoft.Exchange.Data.Directory.InvalidADObjectOperationException
    Exception message: Property Languages cannot be set on this object because it requires the object to have version 0.1 (8.0.535.0) or later. Current version of the object is 0.0 (6.5.6500.0).

    Все объекты, которые Exchange 2007 модифицирует, теперь имеют специальный атрибут, в котором хранится минимальная версия Exchange, которая нужна для модификации объекта. Ранее подобный механизм существовал для некоторых системных объектов, теперь он распространен на получателей и имеет более широкие возможности. Все это нужно для того, чтобы несколько версий Exchange могли сосуществовать, работать с одними и теми же объектами, и ничего друг у друга не поломать.

    Так вот, при создании нового почтового ящика средствами Exchange 2007 (в том числе для уже существующего пользователя), этот пользователь получит несколько новый атрибутов, в том числе и версию (0.1 (8.0.535.0)). При изменении объектов Exchange не даст себе записать "новый" атрибут в "старый" объект, что в данном случае и произошло. Скорее всего, этот почтовый ящик был создан старыми средствами Exchange 2003 либо вообще вручную через LDAP скрипт. В будущем я рекомендую пользоваться исключительно средствами Exchange 2007.

    Но не отчаивайтесь - вам совершенно не обязательно удалять учетную запись, и даже пересоздавать почтовый ящик не нужно. С большой вероятностью вам поможет следующая команда:

    set-mailbox userName -ApplyMandatoryProperties

    Она создана как раз для этого случая и пропишет все недостающие атрибуты.  Чтобы автоматически "исправить" все ящики можно вызвать что-нибудь в таком духе:

    get-mailbox | where {$_.ExchangeVersion.ToString() -ne "0.1 (8.0.535.0)"} | set-mailbox -ApplyMandatoryProperties}

    (можно еще отфильтровать по серверам и т.д.)

    27 февраля 2007 г. 21:04

Все ответы

  • По всей видимости проблема в разрешениях на объект пользователя в AD. Проверьте разрешения, особенно обратите внимание на  запрещающие.
    20 января 2007 г. 0:55
  • Запрещающих не выставлял.
    22 января 2007 г. 9:16
  • А есть какие-нибудь ошибки в журнале на Client Access сервере?
    22 января 2007 г. 9:50
  • Имеем практически тоже самое, за исключением Inner Exception

    Request

    Url: https://exch2007.test:443/owa/lang.owa
    User host address: 192.168.0.105

    Exception
    Exception type: Microsoft.Exchange.Data.Storage.StoragePermanentException
    Exception message: There was a problem accessing Active Directory.

    Call stack
    Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostLocally(OwaContext owaContext, OwaIdentity logonIdentity, CultureInfo culture, String timeZoneKeyName, Boolean isOptimized)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostRequest(OwaContext owaContext)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchIfLanguagePost(OwaContext owaContext)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.PrepareRequestWithoutSession(OwaContext owaContext, UserContextCookie userContextCookie)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.InternalDispatchRequest(OwaContext owaContext)
    Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchRequest(OwaContext owaContext)
    Microsoft.Exchange.Clients.Owa.Core.OwaModule.OnPostAuthorizeRequest(Object sender, EventArgs e)
    System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
    System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

    Inner Exception
    Exception type: Microsoft.Exchange.Data.Directory.InvalidADObjectOperationException
    Exception message: Property Languages cannot be set on this object because it requires the object to have version 0.1 (8.0.535.0) or later. Current version of the object is 0.0 (6.5.6500.0).

    Call stack
    Microsoft.Exchange.Data.Directory.PropertyBag.set_Item(PropertyDefinition key, Object value)
    Microsoft.Exchange.Data.Directory.ADObject.set_Item(PropertyDefinition propertyDefinition, Object value)
    Microsoft.Exchange.Data.Directory.ADObject.StampCachedCaculatedProperties(Boolean retireCachedValue)
    Microsoft.Exchange.Data.Directory.ADObject.ValidateWrite(List`1 errors)
    Microsoft.Exchange.Data.Directory.Recipient.ADRecipient.ValidateWrite(List`1 errors)
    Microsoft.Exchange.Data.Directory.Recipient.ADUser.ValidateWrite(List`1 errors)
    Microsoft.Exchange.Data.Directory.ADSession.Save(ADObject instanceToSave, IEnumerable`1 properties)
    Microsoft.Exchange.Data.Directory.Recipient.ADRecipientSession.Save(ADRecipient instanceToSave)
    Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()

    OWA при этом не работает вообще.
    Кто-нибудь встречался с данной проблемой?

    24 января 2007 г. 8:01
  • Мне почему-то кажется, что имеет место быть какая-то проблема с языковыми версиями. Чисто интуитивно, поэтому не настаиваю. Может такое быть? (скажем, сервера AD русские, или клиенты OWA русские, или и то и другое)?
    24 января 2007 г. 8:16
  • :) мне почему-то показалось тоже самое.
    Сервера AD английские - локаль русская, клиент OWA запущен на одном из серверов, Exchange 2007 сожительствует с Exchange 2003

    И ключ зла кажется как раз в Exchange 2003 :)
    24 января 2007 г. 9:45
  •  PM - MCSE написано:
    А есть какие-нибудь ошибки в журнале на Client Access сервере?

    Да вот нет никаких кроме warning`а одного

    Event Type:    Warning
    Event Source:    MSExchangeTransport
    Event Category:    SmtpReceive
    Event ID:    1037
    Date:        25.01.2007
    Time:        0:08:55
    User:        N/A
    Computer:    MAIL16
    Description:
    Inbound direct trust certificate with thumbprint <здесь был thumbprint> has expired. Run New-ExchangeCertificate to generate a new direct trust certificate.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    24 января 2007 г. 21:22
  • У Вас в лесу один домен?

    Проблемные пользователи из того же домена, где установлен Exchange 2007?

    25 января 2007 г. 10:22
  • Да, один.
    25 января 2007 г. 22:09
  • А у Вас эти пользователи не входят в административные группы AD?

    Если входят, то это не рекомендуемая конфигурация, если нет, то проверьте разрешения:

    Original post: http://blog.justinho.com/SyndicationService.asmx/GetRssCategory?categoryName=Exchange%202007

    Update: Fix 'em permissions


    If your Exchange 2007 OWA is failing for a user after the mailbox is migrated from
    Exchange 2003 to Exchange 2007, the user account should be checked on the security
    tab under advanced to see if it has "Allow inheritable permissions from the parent
    to propagate to this object and all child objects. Include these with entries explicitly
    defined here."

       1.      Open up Active Directory Users and Computers
       2.      Go to the View menu, Advanced.
       3.   Locate the user in AD, right click, properties.  Jump to the security tab.
       4.  Click "Advanced" next to the "For special permissions or for advanced settings, click
         Advanced.
       5.      Click "Allow inheritable permissions from the parent to propagate to this object and
          all child objects. Include these with entries explicitly defined here." Check box
          and apply.
       6.      Click OK and OK again.

    Once changed and replicated OWA works. This is checked by default but is turned off
    for accounts with administrative privileges.

    So how does this get turned off? Well if the account is an administrative account
    or was ever an administrative account previously. It will be turned off automatically.
    Reference the following.


    XADM: Do Not Assign Mailboxes to Administrative Accounts
    http://support.microsoft.com/kb/328753 which says

    By not assigning mailboxes to accounts with administrative permissions, you avoid security issues related to "elevation of privilege" attacks. For example, in an elevation of privilege attack, a security hole exists in which Group X is made a member of the Domain Administrators group, and access control lists (ACLs) exist on Group X that permit Group Y to modify Group X. In this situation, members of Group Y can make themselves members of Group X and so become a member of the Domain Administrators group.

    To help guard against such security issues, the Administrator account and accounts that are members of these security groups are not permitted to inherit permissions. On the Security tab of the group or account's properties page, you can see that the Allow inheritable permissions from parent to propagate to this object check box is not selected. Moreover, if you click to select this check box, a Microsoft Windows 2000 system task soon clears it automatically. Clearing the check box is a function of Windows 2000 intended to prevent hackers from playing with security and inappropriately increasing their permissions to the level of administrator.

    As a side effect of this inheritance setting, if you do try to use a mailbox assigned to an administrative account, you may not be able to log on to or resolve the mailbox. Also, in Exchange System Manager, although the Administrator account can have an Exchange 2000 alias and an Exchange 2000 mailbox, it does not have e-mail addresses. The Recipient Update Service, which updates the e-mail addresses and several other attributes, does not have the authority to update objects if the Allow inheritable permissions from parent to propagate to this object check box is not selected.

    28 января 2007 г. 15:14
  • Нет. Как раз у тех, что входят проблем не наблюдается.
    29 января 2007 г. 11:57
  • Разрешения удалось проверить?
    29 января 2007 г. 12:37
  • Несколько раз наблюдал похожую картину, когда в одной конторе (впервые за их существование) был установлен Exchange 2007. До этого никакого Exchange ни разу не стояло, а AD была на уровне w2k, которую затем проапгрейдили до w2k3.

    После успешной установки Exchange 2007 несколько "древних" юзеров не могли зайти по OWA, тогда как никаких других проблем они не испытывали. Возымело действие лишь одно решение: пришлось убить, а затем заново создать их аккаунты.

    24 февраля 2007 г. 12:56
  • Дело в следующем. Когда пользователь заходит в OWA 2007, с его объекта в Active Directory считывается список предпочитаемых языков. Это новый атрибут в Exchange 2007. В самый первый раз этого атрибута там нет, поэтому OWA предлагает пользователю выбрать язык и сохраняет его.

     k-f написано:
    У некоторых пользователей упорно не работает OWA. Говорит A problem occurred while trying to use your mailbox. Please contact technical support for your organization.
    ...
    Inner Exception
    Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
    Exception message: Active Directory operation failed on pdc.company.loc. This error is not retriable. Additional information: Insufficient access rights to perform the operation. Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    В отличие от Exchange 2000/2003, в 2007й версии учетные записи серверов Exchange имеют минимальные права в Active Directory. Но вот конкретно этот атрибут любой Exchange сервер может изменить. Поскольку, согласно сообщению об ошибке, это право не действует, необходимо разобраться почему это так. В 90% случаев дело в том, что где-то в иерархии контейнеров над этим пользователем убрана галочка "наследовать разрешения" (inherit permissions), как и написал MC_PM выше. В результате разрешения, установленные на уровне домена, не распространяются вниз на какие-то контейнеры или индивидуальные объекты.

    Второе сообщение об ошибке вызвано другой причиной.

     Andrey Larin написано:
    Inner Exception
    Exception type: Microsoft.Exchange.Data.Directory.InvalidADObjectOperationException
    Exception message: Property Languages cannot be set on this object because it requires the object to have version 0.1 (8.0.535.0) or later. Current version of the object is 0.0 (6.5.6500.0).

    Все объекты, которые Exchange 2007 модифицирует, теперь имеют специальный атрибут, в котором хранится минимальная версия Exchange, которая нужна для модификации объекта. Ранее подобный механизм существовал для некоторых системных объектов, теперь он распространен на получателей и имеет более широкие возможности. Все это нужно для того, чтобы несколько версий Exchange могли сосуществовать, работать с одними и теми же объектами, и ничего друг у друга не поломать.

    Так вот, при создании нового почтового ящика средствами Exchange 2007 (в том числе для уже существующего пользователя), этот пользователь получит несколько новый атрибутов, в том числе и версию (0.1 (8.0.535.0)). При изменении объектов Exchange не даст себе записать "новый" атрибут в "старый" объект, что в данном случае и произошло. Скорее всего, этот почтовый ящик был создан старыми средствами Exchange 2003 либо вообще вручную через LDAP скрипт. В будущем я рекомендую пользоваться исключительно средствами Exchange 2007.

    Но не отчаивайтесь - вам совершенно не обязательно удалять учетную запись, и даже пересоздавать почтовый ящик не нужно. С большой вероятностью вам поможет следующая команда:

    set-mailbox userName -ApplyMandatoryProperties

    Она создана как раз для этого случая и пропишет все недостающие атрибуты.  Чтобы автоматически "исправить" все ящики можно вызвать что-нибудь в таком духе:

    get-mailbox | where {$_.ExchangeVersion.ToString() -ne "0.1 (8.0.535.0)"} | set-mailbox -ApplyMandatoryProperties}

    (можно еще отфильтровать по серверам и т.д.)

    27 февраля 2007 г. 21:04
  •  Vladimir Grebenik - MSFT написано:

    Дело в следующем. Когда пользователь заходит в OWA 2007, с его объекта в Active Directory считывается список предпочитаемых языков. Это новый атрибут в Exchange 2007. В самый первый раз этого атрибута там нет, поэтому OWA предлагает пользователю выбрать язык и сохраняет его.

     k-f написано:
    У некоторых пользователей упорно не работает OWA. Говорит A problem occurred while trying to use your mailbox. Please contact technical support for your organization.
    ...
    Inner Exception
    Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
    Exception message: Active Directory operation failed on pdc.company.loc. This error is not retriable. Additional information: Insufficient access rights to perform the operation. Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    В отличие от Exchange 2000/2003, в 2007й версии учетные записи серверов Exchange имеют минимальные права в Active Directory. Но вот конкретно этот атрибут любой Exchange сервер может изменить. Поскольку, согласно сообщению об ошибке, это право не действует, необходимо разобраться почему это так. В 90% случаев дело в том, что где-то в иерархии контейнеров над этим пользователем убрана галочка "наследовать разрешения" (inherit permissions), как и написал MC_PM выше. В результате разрешения, установленные на уровне домена, не распространяются вниз на какие-то контейнеры или индивидуальные объекты.

    Сори, йа криветко и не знаю где именно посмотреть разрешения на нужные мне контейнеры AD. Могу сказать только, что OU все прекрасно наследуют друг друга и у пользователей из того же OU всё работает.

    12 марта 2007 г. 11:52
  •  

    А если пользователи из дочернего домена, и они вновь созданные, и стоит галочка что наследовать разрешения...что делать?
    11 января 2008 г. 17:44
  • Да, пользователи с основного домена заходят без проблем.

     

    Я так понимаю проблема в разрешениях на учетные записи? Или на доступ к ГК?

    14 января 2008 г. 4:58