none
Не проходит авторизация в ECP RRS feed

  • Вопрос

  • Привет всем!

    Выполнили перенос Exchange 2010 SP3 на другой сервер, старый Exchange удалили. Включили Outlook Anywhere на новом, в OWA пользователи авторизуются без проблем, а вот при попытке перейти в Параметры - Установить автоматические ответы, сменить пароль или отобрать Все параметры, появляется страница авторизации ECP и при попытке пойти выдает: Введено неправильное имя пользователя или пароль. Повторите ввод.

     В журнале создается событие (ASP.NET 2.0.50727.0, ID 1314):

    Event code: 4007 
    Event message: Авторизация URL адреса по запросу не удалась. 
    Event time: 11.07.2019 7:50:54 
    Event time (UTC): 11.07.2019 4:50:54 
    Event ID: 4568ffaf8a61453b8136c236a74a8c51 
    Event sequence: 4 
    Event occurrence: 3 
    Event detail code: 0 
     
    Application information: 
        Application domain: /LM/W3SVC/1/ROOT/ecp-1-132072931834831596 
        Trust level: Full 
        Application Virtual Path: /ecp 
        Application Path: C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\ecp\ 
        Machine name: SBS 
     
    Process information: 
        Process ID: 16228 
        Process name: w3wp.exe 
        Account name: NT AUTHORITY\система 
     
    Request information: 
        Request URL: https://mail.***.ru:443/ecp/default.aspx?rfr=owa&p=Organize/AutomaticReplies.slab 
        Request path: /ecp/default.aspx 
        User host address: 10.10.15.9 
        User: DOMAIN\student 
        Is authenticated: True 
        Authentication Type: Basic 
        Thread account name: NT AUTHORITY\система 


    В консоле Exchange в разделе Клиентский Доступ, выставлены следующие параметры Проверки подлинности:

    Get-OwaVirtualDirectory

    Name                                                : owa (Default Web Site)
    InternalAuthenticationMethods                       : {Basic, Fba}
    MetabasePath                                        : IIS://SBS.***.local/W3SVC/1/ROOT/owa
    BasicAuthentication                                 : True
    WindowsAuthentication                               : False
    DigestAuthentication                                : False
    FormsAuthentication                                 : True
    LiveIdAuthentication                                : False
    DefaultDomain                                       : ***.local
    GzipLevel                                           : High
    WebSite                                             : Default Web Site
    DisplayName                                         : owa
    Path                                                : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\owa
    ExtendedProtectionTokenChecking                     : None
    ExtendedProtectionFlags                             : {}
    ExtendedProtectionSPNList                           : {}
    Server                                              : SBS
    InternalUrl                                         : https://sbs.***.local/owa
    ExternalUrl                                         : https://mail.***.ru/owa
    ExternalAuthenticationMethods                       : {Fba}

    Get-EcpVirtualDirectory

    Name                            : ecp (Default Web Site)
    InternalAuthenticationMethods   : {Basic, Fba}
    MetabasePath                    : IIS://SBS.***.local/W3SVC/1/ROOT/ecp
    BasicAuthentication             : True
    WindowsAuthentication           : False
    DigestAuthentication            : False
    FormsAuthentication             : True
    LiveIdAuthentication            : False
    DefaultDomain                   : ***.local
    GzipLevel                       : High
    WebSite                         : Default Web Site
    DisplayName                     : ecp
    Path                            : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\ecp
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    Server                          : SBS
    InternalUrl                     : https://sbs.***.local/ecp
    ExternalUrl                     : https://mail.***.ru/ecp
    ExternalAuthenticationMethods   : {Fba}

    В IIS проверка подлинности для Виртуальных каталогов 

    OWA

    ECP

    Примечательно что на старом Exchange 2010 SP3 который вывели из эксплуатации, все работало и OWA и ECP..

    Уже сломал всю голову, не могу понять где ошибка, почему не пускает в ECP, помогите!

    11 июля 2019 г. 5:33

Ответы

  • Все ключевые службы 2012 R2 AD/DNS/DHCP  были давно с мигрированы на Win 2012 R2,

    Похоже что да, всему причина это кастрированный мной SBS 2011 и это дает сбой в его работе совместно с Excahnge. 

    Решение тогда одно вырисовывается. Поднять Exchange на Win 2012 R2 и забыть о SBS 2011. 

    Всем спасибо за участие в расследование проблемы :) 

    • Помечено в качестве ответа car2ner 14 июля 2019 г. 7:45
    14 июля 2019 г. 7:45

Все ответы

  • Пробовали пересоздавать виртуальный каталог?

    Также желательно сравнить ваши настройки ECP с дефолтными.

    11 июля 2019 г. 6:05
  • Пробовали пересоздавать виртуальный каталог?

    Также желательно сравнить ваши настройки ECP с дефолтными.

    Такой именно ? OWA или ECP ?

    Сравнивал проверку подлинности IIS по этой статье https://docs.microsoft.com/en-us/exchange/default-settings-for-exchange-virtual-directories-exchange-2013-help правда там применительно к 2013 или это критично ?

    11 июля 2019 г. 6:10
  • ECP.

    Они могут отличаться (всё-таки в 13 переделали логику транспорта), т.ч. попробуйте на тестовой ВМ развернуть чистый Exch и сравнить ваши конфиги.

    11 июля 2019 г. 6:26
  • ECP.

    Они могут отличаться (всё-таки в 13 переделали логику транспорта), т.ч. попробуйте на тестовой ВМ развернуть чистый Exch и сравнить ваши конфиги.

    Только что выполнил сброс Виртуальных каталогов OWA, ECP, не помогло...

    Меня вот что смущает

    [PS] C:\Windows\system32>Get-OwaVirtualDirectory 'SBS\owa (Default Web Site)'|select-object InternalAuthenticationMethod
    s, ExternalAuthenticationMethods, BasicAuthentication, WindowsAuthentication, DigestAuthentication, FormsAuthentication,
     InternalUrl, ExternalUrl
    
    
    InternalAuthenticationMethods : {Basic, Fba}
    ExternalAuthenticationMethods : {Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : False
    DigestAuthentication          : False
    FormsAuthentication           : True
    InternalUrl                   : https://sbs.***.local/owa
    ExternalUrl                   : https://mail.***.ru/owa
    [PS] C:\Windows\system32>Get-EcpVirtualDirectory 'SBS\ecp (Default Web Site)'|select-object InternalAuthenticationMethod
    s, ExternalAuthenticationMethods, BasicAuthentication, WindowsAuthentication, DigestAuthentication, FormsAuthentication,
     InternalUrl, ExternalUrl
    Выполняется создание нового сеанса для неявного удаленного взаимодействия команды "Get-EcpVirtualDirectory"...
    
    
    InternalAuthenticationMethods : {Basic, Fba}
    ExternalAuthenticationMethods : {Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : False
    DigestAuthentication          : False
    FormsAuthentication           : True
    InternalUrl                   : https://sbs.***.local/ecp
    ExternalUrl                   : https://mail.***.ru/ecp

    А в настройках проверки подлинности IIS для OWA стоит включено только "Обычная проверка подлинности". Для ECP "Анонимная проверка подлинности" и "Обычная проверка подлинности". В обоих случая не указаны FormAuthentication.

    Уверен где то какая то мелочь, которая исправит проблему... 

    Так же по-умолчанию у всех же пользователей есть доступ в ECP ?

    11 июля 2019 г. 6:47
  • А в настройках проверки подлинности IIS для OWA стоит включено только "Обычная проверка подлинности". Для ECP "Анонимная проверка подлинности" и "Обычная проверка подлинности". В обоих случая не указаны FormAuthentication.

    С этим всё нормально.

    Слава России!

    11 июля 2019 г. 9:02
  • А в настройках проверки подлинности IIS для OWA стоит включено только "Обычная проверка подлинности". Для ECP "Анонимная проверка подлинности" и "Обычная проверка подлинности". В обоих случая не указаны FormAuthentication.

    С этим всё нормально.

    Забыл, возможно это важно, exchange стоит на Windows SBS 2011. Просто не понимаю, что за бубуйня..

    По умолчанию у всех пользователей есть туда доступ в ECP ? 


    11 июля 2019 г. 9:07
  • Ваши текущие настройки сейчас дефолтные. Не думаю, что как-то SBS влияет на проблему.

    В качестве теста можно попробовать включить WindowsAuthentication вместо Forms и попробовать залогиниться.

    11 июля 2019 г. 9:18
  • 1. Проверьте, что у вас содержится в компоненте .NET authorization Rules в IIS manager для /ecp

    Там для этого пути определяются свои правила: запрещается унаследованное правило для All Users и добавляется правило для ролевых групп (всевозможные MyXXX). Проверьте, какая политика назначения ролей действует для проблемных пользователей (Get-Mailbox имя_п/я | fl Name,RoleAssignmentPolicy), посмотрите, какие роли назначаются пользователю (Get-RoleAssignmentPolicy имя_политики | select -expand AssignedRoles | ft Name) и сравните со списком в правиле для ролевых групп.


    Слава России!

    11 июля 2019 г. 9:42
  • Ваши текущие настройки сейчас дефолтные. Не думаю, что как-то SBS влияет на проблему.

    В качестве теста можно попробовать включить WindowsAuthentication вместо Forms и попробовать залогиниться.

    Изменил для OWA и ECP 

    InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated}
    ExternalAuthenticationMethods : {Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : True
    DigestAuthentication          : False
    FormsAuthentication           : False

    Теперь при попытке войти в ECP выдает Basic запрос, который так же не пропускает авторизацию..

    Скажите может какие то права пользователям надо назначать для доступа в панель управления ? Как это направление проверить ? 

    11 июля 2019 г. 9:51
  • Выходит что человек зашел в owa, решил зайти в параметры и его редиректит в ECP?
    Кажись так быть не должно.

    Права пользователям даются на основе дефолтной политики, там проставлено что чел может делать.
    11 июля 2019 г. 10:22
  • Выходит что человек зашел в owa, решил зайти в параметры и его редиректит в ECP?
    Кажись так быть не должно.

    Права пользователям даются на основе дефолтной политики, там проставлено что чел может делать.

    Да, любой пользователь без проблем авторизуется в OWA, но к примеру кто то хочет установить автоответ, то его редиректит на ECP, я так понимаю, а там уже эта проклятая авторизация которая не пропускает! 

    В тоже время из Outlook успешно можно задать Автоответ, там не вознимает ошибок и т.д.

    Просто я четко точно помню что я через OWA путем нажатия "Параметры" - "Показать все параметры" проваливался в ECP. Но все это было на удаленном уже сервере Exchange.. 

    А как посмотреть у кого какая политика стоит и как назначить пользователю админский доступ !? Может на моей учетке просто нет этого права входа в ECP !? 

    11 июля 2019 г. 10:30
  • Выходит что человек зашел в owa, решил зайти в параметры и его редиректит в ECP?
    Кажись так быть не должно.

    Однако оно именно так и есть: ссылки в разделе "Параметры" ведут как раз в ECP

    Права пользователям даются на основе дефолтной политики, там проставлено что чел может делать.

    Чисто для справки: права пользователям можно дать также при помощи специально назначенной конкретно им политики назначения ролей. А что и как конкретно настроено в этом плане у спрашивающего - сие нам неведомо.


    Слава России!

    11 июля 2019 г. 10:36
  • Попробуй, обрати внимание на п5:
    1. On your Exchange Server launch IIS (be sure to right click and RUN AS ADMINISTRATOR)
    2. Expand the SITES and click ECP
    3. Make sure ANONYMOUS AUTHENTICATION is ENABLED
    4. Make sure BASIC AUTHENTICATION is ENABLED
    5. If  you are configured to NOT require users to enter their domain (like most companies), double click on BASIC AUTHENTICATION and enter the name of your domain in the DEFAULT DOMAIN field.  THIS IS THE STEP THAT I HAVE NOT READ IN ANY OTHER BLOG OR KBASE ARTICLE WHICH WAS THE ROOT OF MY ISSUE.
    6. Make sure ALL of the other authentication types are set to DISABLED
    7. Click START, type CMD, right click on CMD and select RUN AS ADMINISTRATOR, then type IISRESET

    11 июля 2019 г. 10:44
  • Попробуй, обрати внимание на п5:
    1. On your Exchange Server launch IIS (be sure to right click and RUN AS ADMINISTRATOR)
    2. Expand the SITES and click ECP
    3. Make sure ANONYMOUS AUTHENTICATION is ENABLED
    4. Make sure BASIC AUTHENTICATION is ENABLED
    5. If  you are configured to NOT require users to enter their domain (like most companies), double click on BASIC AUTHENTICATION and enter the name of your domain in the DEFAULT DOMAIN field.  THIS IS THE STEP THAT I HAVE NOT READ IN ANY OTHER BLOG OR KBASE ARTICLE WHICH WAS THE ROOT OF MY ISSUE.
    6. Make sure ALL of the other authentication types are set to DISABLED
    7. Click START, type CMD, right click on CMD and select RUN AS ADMINISTRATOR, then type IISRESET

    Видел эту статью , вот сейчас у меня ровно так как там описано. Но в ecp не пускает, хоть убей, с любой учетки..

    Если перейти из консоли управления Exchange - Инструменты - Редактор пользователей с управлением доступом на основе ролей (RBAC), то открыватеся страница ECP с просьбой авторизоватся и хрен авторизовывает...

    11 июля 2019 г. 10:55
  • При каждой попытке входа в ECP и не удачной авторизации вот такая запись в журнале появляется


    • Изменено car2ner 11 июля 2019 г. 11:04
    11 июля 2019 г. 11:03
  • День добрый.

    1. Проверьте несколько видов логина для сайтов

    https://sbs.***.local/owa

    https://mail.***.ru/owa

    domain\user

    user@domain.local

    user@domain.ru 

    2. Покажите настройки.

    Get-OwaVirtualDirectory | fl
     Get-EcpVirtualDirectory | fl
     Get-WebServicesVirtualDirectory | fl

    3. Покажите вывод теста.

    Test-EcpConnectivity -ClientAccessServer Server01
    
    Test-OutlookWebServices
    
    Get-ClientAccessServer | Test-OutlookWebServices -Identity user@doamin.ru -MailboxCredential (Get-Credential)

    PS Возможно нужно снова задать настройки после проверки предыдущих шагов. Выполнять вне бизнес время. Понадобиться перезапуск IIS.

    Set-OwaVirtualDirectory -Identity "Server\owa (default Web site)" -FormsAuthentication $true -LogonFormat UserName -DefaultDomain domain.local
    Set-EcpVirtualDirectory -Identity "Server\ecp (default Web site)" -FormsAuthentication:$true

    iisreset /noforce

    После перезапуска проверить настройки OWA/ECP снова.


    PS2. Использовать домен по умолчанию, как у вас выбрано скриншоте не рекомендуется.


    MCITP, MCSE. Regards, Oleg

    11 июля 2019 г. 14:35
    Модератор
  • 1) Попробовал разные виды логина, не пускает.

    2) Выводы 

    [PS] C:\Windows\system32>Get-OwaVirtualDirectory | fl
    
    
    RunspaceId                                          : d2be0b2c-c7cb-4348-8c8b-60c868dbbb43
    DirectFileAccessOnPublicComputersEnabled            : True
    DirectFileAccessOnPrivateComputersEnabled           : True
    WebReadyDocumentViewingOnPublicComputersEnabled     : True
    WebReadyDocumentViewingOnPrivateComputersEnabled    : True
    ForceWebReadyDocumentViewingFirstOnPublicComputers  : False
    ForceWebReadyDocumentViewingFirstOnPrivateComputers : False
    RemoteDocumentsActionForUnknownServers              : Block
    ActionForUnknownFileAndMIMETypes                    : ForceSave
    WebReadyFileTypes                                   : {.xlsx, .pptx, .docx, .xls, .rtf, .ppt, .pps, .pdf, .dot, .doc}
    WebReadyMimeTypes                                   : {application/vnd.openxmlformats-officedocument.presentationml.pre
                                                          sentation, application/vnd.openxmlformats-officedocument.wordproc
                                                          essingml.document, application/vnd.openxmlformats-officedocument.
                                                          spreadsheetml.sheet, application/vnd.ms-powerpoint, application/x
                                                          -mspowerpoint, application/vnd.ms-excel, application/x-msexcel, a
                                                          pplication/msword, application/pdf}
    WebReadyDocumentViewingForAllSupportedTypes         : True
    WebReadyDocumentViewingSupportedMimeTypes           : {application/msword, application/vnd.ms-excel, application/x-msex
                                                          cel, application/vnd.ms-powerpoint, application/x-mspowerpoint, a
                                                          pplication/pdf, application/vnd.openxmlformats-officedocument.wor
                                                          dprocessingml.document, application/vnd.openxmlformats-officedocu
                                                          ment.spreadsheetml.sheet, application/vnd.openxmlformats-officedo
                                                          cument.presentationml.presentation}
    WebReadyDocumentViewingSupportedFileTypes           : {.doc, .dot, .rtf, .xls, .ppt, .pps, .pdf, .docx, .xlsx, .pptx}
    AllowedFileTypes                                    : {.rpmsg, .xlsx, .xlsm, .xlsb, .tiff, .pptx, .pptm, .ppsx, .ppsm,
                                                          .docx, .docm, .zip, .xls, .wmv, .wma, .wav...}
    AllowedMimeTypes                                    : {image/jpeg, image/png, image/gif, image/bmp}
    ForceSaveFileTypes                                  : {.vsmacros, .ps2xml, .ps1xml, .mshxml, .gadget, .psc2, .psc1, .as
                                                          px, .wsh, .wsf, .wsc, .vsw, .vst, .vss, .vbs, .vbe...}
    ForceSaveMimeTypes                                  : {Application/x-shockwave-flash, Application/octet-stream, Applica
                                                          tion/futuresplash, Application/x-director}
    BlockedFileTypes                                    : {.vsmacros, .msh2xml, .msh1xml, .ps2xml, .ps1xml, .mshxml, .gadge
                                                          t, .mhtml, .psc2, .psc1, .msh2, .msh1, .aspx, .xml, .wsh, .wsf...
                                                          }
    BlockedMimeTypes                                    : {application/x-javascript, application/javascript, application/ms
                                                          access, x-internet-signup, text/javascript, application/xml, appl
                                                          ication/prg, application/hta, text/scriplet, text/xml}
    RemoteDocumentsAllowedServers                       : {}
    RemoteDocumentsBlockedServers                       : {}
    RemoteDocumentsInternalDomainSuffixList             : {}
    FolderPathname                                      :
    Url                                                 : {}
    LogonFormat                                         : UserName
    ClientAuthCleanupLevel                              : High
    FilterWebBeaconsAndHtmlForms                        : UserFilterChoice
    NotificationInterval                                : 120
    DefaultTheme                                        :
    UserContextTimeout                                  : 60
    ExchwebProxyDestination                             :
    VirtualDirectoryType                                :
    OwaVersion                                          : Exchange2010
    ServerName                                          : SBS
    InstantMessagingCertificateThumbprint               :
    InstantMessagingServerName                          :
    RedirectToOptimalOWAServer                          : True
    DefaultClientLanguage                               : 0
    LogonAndErrorLanguage                               : 0
    UseGB18030                                          : False
    UseISO885915                                        : False
    OutboundCharset                                     : AutoDetect
    GlobalAddressListEnabled                            : True
    OrganizationEnabled                                 : True
    ExplicitLogonEnabled                                : True
    OWALightEnabled                                     : True
    DelegateAccessEnabled                               : True
    IRMEnabled                                          : True
    CalendarEnabled                                     : True
    ContactsEnabled                                     : True
    TasksEnabled                                        : True
    JournalEnabled                                      : True
    NotesEnabled                                        : True
    RemindersAndNotificationsEnabled                    : True
    PremiumClientEnabled                                : True
    SpellCheckerEnabled                                 : True
    SearchFoldersEnabled                                : True
    SignaturesEnabled                                   : True
    ThemeSelectionEnabled                               : True
    JunkEmailEnabled                                    : True
    UMIntegrationEnabled                                : True
    WSSAccessOnPublicComputersEnabled                   : True
    WSSAccessOnPrivateComputersEnabled                  : True
    ChangePasswordEnabled                               : True
    UNCAccessOnPublicComputersEnabled                   : True
    UNCAccessOnPrivateComputersEnabled                  : True
    ActiveSyncIntegrationEnabled                        : True
    AllAddressListsEnabled                              : True
    RulesEnabled                                        : True
    PublicFoldersEnabled                                : True
    SMimeEnabled                                        : True
    RecoverDeletedItemsEnabled                          : True
    InstantMessagingEnabled                             : True
    TextMessagingEnabled                                : True
    ForceSaveAttachmentFilteringEnabled                 : False
    SilverlightEnabled                                  : True
    CalendarPublishingEnabled                           : True
    OWAMiniEnabled                                      : True
    InstantMessagingType                                : None
    Exchange2003Url                                     :
    FailbackUrl                                         :
    LegacyRedirectType                                  : Silent
    CrossSiteRedirectType                               : Manual
    Name                                                : owa (Default Web Site)
    InternalAuthenticationMethods                       : {Basic, Fba}
    MetabasePath                                        : IIS://SBS.***.local/W3SVC/1/ROOT/owa
    BasicAuthentication                                 : True
    WindowsAuthentication                               : False
    DigestAuthentication                                : False
    FormsAuthentication                                 : True
    LiveIdAuthentication                                : False
    DefaultDomain                                       : ***.local
    GzipLevel                                           : High
    WebSite                                             : Default Web Site
    DisplayName                                         : owa
    Path                                                : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\owa
    ExtendedProtectionTokenChecking                     : None
    ExtendedProtectionFlags                             : {}
    ExtendedProtectionSPNList                           : {}
    Server                                              : SBS
    InternalUrl                                         : https://sbs.***.local/owa
    ExternalUrl                                         : https://mail.***.ru/owa
    ExternalAuthenticationMethods                       : {Fba}
    AdminDisplayName                                    :
    ExchangeVersion                                     : 0.10 (14.0.100.0)
    DistinguishedName                                   : CN=owa (Default Web Site),CN=HTTP,CN=Protocols,CN=SBS,CN=Servers,
                                                          CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrat
                                                          ive Groups,CN=First Organization,CN=Microsoft Exchange,CN=Service
                                                          s,CN=Configuration,DC=***,DC=local
    Identity                                            : SBS\owa (Default Web Site)
    Guid                                                : 1b0ef356-cb2f-4235-a47a-fd37e86ec34c
    ObjectCategory                                      : ***.local/Configuration/Schema/ms-Exch-OWA-Virtual-Directory
    ObjectClass                                         : {top, msExchVirtualDirectory, msExchOWAVirtualDirectory}
    WhenChanged                                         : 11.07.2019 16:12:50
    WhenCreated                                         : 11.07.2019 16:12:29
    WhenChangedUTC                                      : 11.07.2019 13:12:50
    WhenCreatedUTC                                      : 11.07.2019 13:12:29
    OrganizationId                                      :
    OriginatingServer                                   : DC1.***.local
    IsValid                                             : True
    [PS] C:\Windows\system32>Get-EcpVirtualDirectory | fl
    
    
    RunspaceId                      : d2be0b2c-c7cb-4348-8c8b-60c868dbbb43
    Name                            : ecp (Default Web Site)
    InternalAuthenticationMethods   : {Basic, Fba, Ntlm, WindowsIntegrated}
    MetabasePath                    : IIS://SBS.***.local/W3SVC/1/ROOT/ecp
    BasicAuthentication             : True
    WindowsAuthentication           : False
    DigestAuthentication            : False
    FormsAuthentication             : True
    LiveIdAuthentication            : False
    DefaultDomain                   : ***.local
    GzipLevel                       : High
    WebSite                         : Default Web Site
    DisplayName                     : ecp
    Path                            : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\ecp
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    Server                          : SBS
    InternalUrl                     : https://sbs.***.local/ecp
    ExternalUrl                     : https://mail.***.ru/ecp
    ExternalAuthenticationMethods   : {Fba}
    AdminDisplayName                :
    ExchangeVersion                 : 0.10 (14.0.100.0)
    DistinguishedName               : CN=ecp (Default Web Site),CN=HTTP,CN=Protocols,CN=SBS,CN=Servers,CN=Exchange Administ
                                      rative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Micr
                                      osoft Exchange,CN=Services,CN=Configuration,DC=***,DC=local
    Identity                        : SBS\ecp (Default Web Site)
    Guid                            : b3d67a75-fb73-46d8-ae42-5bde5b3ce325
    ObjectCategory                  : ***.local/Configuration/Schema/ms-Exch-ECP-Virtual-Directory
    ObjectClass                     : {top, msExchVirtualDirectory, msExchECPVirtualDirectory}
    WhenChanged                     : 11.07.2019 12:59:32
    WhenCreated                     : 11.07.2019 9:24:54
    WhenChangedUTC                  : 11.07.2019 9:59:32
    WhenCreatedUTC                  : 11.07.2019 6:24:54
    OrganizationId                  :
    OriginatingServer               : DC1.***.local
    IsValid                         : True
    [PS] C:\Windows\system32>Get-WebServicesVirtualDirectory | fl
    
    
    RunspaceId                      : d2be0b2c-c7cb-4348-8c8b-60c868dbbb43
    CertificateAuthentication       :
    InternalNLBBypassUrl            : https://sbs.***.local/ews/exchange.asmx
    GzipLevel                       : High
    MRSProxyEnabled                 : False
    MRSProxyMaxConnections          : 100
    Name                            : EWS (Default Web Site)
    InternalAuthenticationMethods   : {Ntlm, WindowsIntegrated, WSSecurity}
    ExternalAuthenticationMethods   : {Ntlm, WindowsIntegrated, WSSecurity}
    LiveIdSpNegoAuthentication      : False
    WSSecurityAuthentication        : True
    LiveIdBasicAuthentication       : False
    BasicAuthentication             : False
    DigestAuthentication            : False
    WindowsAuthentication           : True
    MetabasePath                    : IIS://SBS.***.local/W3SVC/1/ROOT/EWS
    Path                            : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\exchweb\EWS
    ExtendedProtectionTokenChecking : None
    ExtendedProtectionFlags         : {}
    ExtendedProtectionSPNList       : {}
    Server                          : SBS
    InternalUrl                     : https://sbs.***.local/EWS/Exchange.asmx
    ExternalUrl                     : https://mail.***.ru/EWS/Exchange.asmx
    AdminDisplayName                :
    ExchangeVersion                 : 0.10 (14.0.100.0)
    DistinguishedName               : CN=EWS (Default Web Site),CN=HTTP,CN=Protocols,CN=SBS,CN=Servers,CN=Exchange Administ
                                      rative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Micr
                                      osoft Exchange,CN=Services,CN=Configuration,DC=***,DC=local
    Identity                        : SBS\EWS (Default Web Site)
    Guid                            : 9dff707e-d013-4eff-9484-08be290259e4
    ObjectCategory                  : ***.local/Configuration/Schema/ms-Exch-Web-Services-Virtual-Directory
    ObjectClass                     : {top, msExchVirtualDirectory, msExchWebServicesVirtualDirectory}
    WhenChanged                     : 07.07.2019 12:45:33
    WhenCreated                     : 25.06.2019 11:56:12
    WhenChangedUTC                  : 07.07.2019 9:45:33
    WhenCreatedUTC                  : 25.06.2019 8:56:12
    OrganizationId                  :
    OriginatingServer               : DC1.***.local
    IsValid                         : True

    3) Пишет что не найдет тестовый пользователь и почтовый ящик ..



    11 июля 2019 г. 16:32
  • 3) Пишет что не найдет тестовый пользователь и почтовый ящик ..

    You receive misleading information when you run the "New-TestCasConnectivityUser.ps1" script on an Exchange Server 2010 server

    cd $exscripts

    (должен перейти где-то сюда, если не меняли путь по умолчанию - C:\Program Files\Microsoft Exchange Server\V14\scripts\)

    .\new-TestCasConnectivityUser.ps1 


    MCITP, MCSE. Regards, Oleg

    11 июля 2019 г. 16:45
    Модератор

  • PS2. Использовать домен по умолчанию, как у вас выбрано скриншоте не рекомендуется.


    MCITP, MCSE. Regards, Oleg

    Для удобства пользователей так сделано, т.е. если выставить "Домен и имя пользователя", то пользователям придется вводить прим. test.user@domain.local, ключевое тут local

    [PS] C:\Program Files\Microsoft\Exchange Server\V14\scripts>Test-EcpConnectivity -ClientAccessServer SBS | fl
    
    
    RunspaceId                  : a9e2b780-dadb-4f99-be57-fa90f6cc47f3
    LocalSite                   : Default-First-Site-Name
    SecureAccess                : True
    VirtualDirectoryName        : ecp (Default Web Site)
    Url                         : https://sbs.***.local/ecp/
    UrlType                     : Internal
    Port                        : 0
    ConnectionType              : Plaintext
    ClientAccessServerShortName : SBS
    LocalSiteShortName          : Default-First-Site-Name
    ClientAccessServer          : SBS.***.local
    Scenario                    : Вход в систему
    ScenarioDescription         : Войдите в Панель управления Exchange и проверьте страницу ответов.
    PerformanceCounterName      : Logon Latency
    Result                      : Ошибка
    Error                       : Сервер не вернул куки-файл контекста пользователя.
    UserName                    : extest_f48aaef446164
    StartTime                   : 12.07.2019 7:18:52
    Latency                     : -00:00:00.0010000
    EventType                   : Error
    LatencyInMillisecondsString :
    Identity                    :
    IsValid                     : True

    12 июля 2019 г. 4:21
  • [PS] C:\Program Files\Microsoft\Exchange Server\V14\scripts>Test-EcpConnectivity -ClientAccessServer SBS | fl
    
    
    RunspaceId                  : a9e2b780-dadb-4f99-be57-fa90f6cc47f3
    LocalSite                   : Default-First-Site-Name
    SecureAccess                : True
    VirtualDirectoryName        : ecp (Default Web Site)
    Url                         : https://sbs.***.local/ecp/
    UrlType                     : Internal
    Port                        : 0
    ConnectionType              : Plaintext
    ClientAccessServerShortName : SBS
    LocalSiteShortName          : Default-First-Site-Name
    ClientAccessServer          : SBS.***.local
    Scenario                    : Вход в систему
    ScenarioDescription         : Войдите в Панель управления Exchange и проверьте страницу ответов.
    PerformanceCounterName      : Logon Latency
    Result                      : Ошибка
    Error                       : Сервер не вернул куки-файл контекста пользователя.
    UserName                    : extest_f48aaef446164
    StartTime                   : 12.07.2019 7:18:52
    Latency                     : -00:00:00.0010000
    EventType                   : Error
    LatencyInMillisecondsString :
    Identity                    :
    IsValid                     : True

    12 июля 2019 г. 4:22
  • Сделайте расширенный тест.

    Test-EcpConnectivity -ClientAccessServer Server01 -TrustAnySSLCertificate -Verbose

    или

    Test-EcpConnectivity -ClientAccessServer Server01 -TrustAnySSLCertificate -Verbose | ConvertTo-Html | Set-Content -Path "C:\My Documents\EAC Test.html"

    Что в Event Application/System Log в это время?


    MCITP, MCSE. Regards, Oleg

    12 июля 2019 г. 12:33
    Модератор
  • [PS] C:\Windows\system32>Test-EcpConnectivity -ClientAccessServer SBS -TrustAnySSLCertificate -Verbose
    ПОДРОБНО: [12:37:05.193 GMT] Test-EcpConnectivity : Инициализация параметров сервера Active Directory для удаленного
    сеанса Windows PowerShell.
    ПОДРОБНО: [12:37:05.194 GMT] Test-EcpConnectivity : Параметры сеанса Active Directory для 'Test-EcpConnectivity':
    Просмотреть весь лес: 'False', Область по умолчанию: "***.local", Контроллер домена конфигурации:
    "DC1.***.local", Предпочтительный глобальный каталог: "DC1.***.local", Предпочтительные контроллеры домена:
    "{ DC1.***.local }"
    ПОДРОБНО: [12:37:05.202 GMT] Test-EcpConnectivity : Контекст пространства выполнения: Пользователь-исполнитель:
    ***.local/ActiveUsers/Пользователь, организация пользователя-исполнителя: , текущая организация: ,
    поддержка RBAC включена: Включено.
    ПОДРОБНО: [12:37:05.204 GMT] Test-EcpConnectivity : Начало обработки &
    ПОДРОБНО: [12:37:05.216 GMT] Test-EcpConnectivity : Создание экземпляра обработчика с индексом 0 для агента расширения
    командлета "Admin Audit Log Agent".
    ПОДРОБНО: [12:37:05.257 GMT] Test-EcpConnectivity : Текущее значение ScopeSet: { Область чтения получателей: {{, }},
    Области записи получателя: {{, }}, Область чтения синхронизации: {{, }}, Области записи конфигурации: {{, }, },
    Исключительные области получателей: {}, Монопольная область конфигурации: {} }
    ПОДРОБНО: Флаг TrustAnySSLCertificate установлен. Задача не будет проверять действительность сертификата сервера перед
    отправкой ему запросов пользователей и учетных данных.
    Проверить возможность подключения Панель управления Exchange на сервере клиентского доступа SBS.***.local?
    ПОДРОБНО: [12:37:05.268 GMT] Test-EcpConnectivity : Разрешенная текущая организация: .
    ПОДРОБНО: [12:37:05.404 GMT] Test-EcpConnectivity : Создание списка из Панель управления Exchange виртуальных каталогов
     для проверки сервера клиентского доступа 'SBS.***.local'.
    ПОДРОБНО: [12:37:05.656 GMT] Test-EcpConnectivity : Добавление тестового случая для сервера клиентского доступа
    'SBS.***.local'; URL-адрес: 'https://sbs.***.local/ecp/'.
    ПОДРОБНО: [12:37:05.657 GMT] Test-EcpConnectivity : Запуск теста с целевым URL-адресом =
    'https://sbs.***.local/ecp/'.
    ПОДРОБНО: [12:37:05.660 GMT] Test-EcpConnectivity : Этот URL-адрес имеет внутренний тип, поэтому любой сертификат будет
     считаться доверенным.
    ПОДРОБНО: [12:37:05.660 GMT] Test-EcpConnectivity : Отправка HTTP-запроса https://sbs.***.local/ecp/.
    ПОДРОБНО: [12:37:05.699 GMT] Test-EcpConnectivity : Полученный ответ. https://sbs.***.local/ecp/: Состояние:
    Found.
    Сервер клиентского доступа:
    Дополнительные сведения: Cookie=sessionid=; cadata=;
    Location=https://sbs.***.local/owa/auth/logon.aspx?url=https://sbs.***.local/ecp/&reason=0
    ПОДРОБНО: [12:37:05.700 GMT] Test-EcpConnectivity : Отправка HTTP-запроса
    https://sbs.***.local/owa/auth/logon.aspx?url=https://sbs.***.local/ecp/&reason=0.
    ПОДРОБНО: [12:37:21.120 GMT] Test-EcpConnectivity : Полученный ответ.
    https://sbs.***.local/owa/auth/logon.aspx?url=https://sbs.***.local/ecp/&reason=0: Состояние: OK.
    Сервер клиентского доступа:
    Дополнительные сведения: Cookie=OutlookSession=093abaa6bcf74fc898c3bb3acf7cdbb5;
    ПОДРОБНО: [12:37:21.121 GMT] Test-EcpConnectivity : Отправка HTTP-запроса
    https://sbs.***.local/owa/auth/owaauth.dll.
    ПОДРОБНО: [12:37:21.148 GMT] Test-EcpConnectivity : Полученный ответ. https://sbs.***.local/owa/auth/owaauth.dll:
    Состояние: Found.
    Сервер клиентского доступа:
    Дополнительные сведения: Cookie=sessionid=06a64fb9-ac00-420a-9fc3-452681ffe917;
    cadata="1yyujEnTw7lytuUOjPEslDMoPxj9v/q4682tjWcpAIxL4hZuPHGcBCssh7FDFSk+ExjCFsVtopx7fjH91LtOCm2HehWSeKX+c4moF4l592BJJ80
    4MQdoLJIQxIKBjJWUzK9UEmPjbu8JUbkO9xt2dPt5HU5X7svvA3Vyxu8eywRs="; Location=https://sbs.***.local/ecp/
    ПОДРОБНО: [12:37:21.149 GMT] Test-EcpConnectivity : Отправка HTTP-запроса https://sbs.***.local/ecp/.
    ПОДРОБНО: [12:37:21.185 GMT] Test-EcpConnectivity : Полученный ответ. https://sbs.***.local/ecp/: Состояние:
    Found.
    Сервер клиентского доступа:
    Дополнительные сведения: Cookie=sessionid=; cadata=;
    Location=https://sbs.***.local/owa/auth/logon.aspx?url=https://sbs.***.local/ecp/&reason=2
    ПОДРОБНО: [12:37:21.186 GMT] Test-EcpConnectivity : Полученный ответ. https://sbs.***.local/ecp/: Состояние:
    Found.
    Сервер клиентского доступа:
    Дополнительные сведения: Cookie=sessionid=; cadata=;
    Location=https://sbs.***.local/owa/auth/logon.aspx?url=https://sbs.***.local/ecp/&reason=0
    ПОДРОБНО: [12:37:21.187 GMT] Test-EcpConnectivity : Полученный ответ.
    https://sbs.***.local/owa/auth/logon.aspx?url=https://sbs.***.local/ecp/&reason=0: Состояние: OK.
    Сервер клиентского доступа:
    Дополнительные сведения: Cookie=OutlookSession=093abaa6bcf74fc898c3bb3acf7cdbb5;
    ПОДРОБНО: [12:37:21.187 GMT] Test-EcpConnectivity : Полученный ответ. https://sbs.***.local/owa/auth/owaauth.dll:
    Состояние: Found.
    Сервер клиентского доступа:
    Дополнительные сведения: Cookie=sessionid=06a64fb9-ac00-420a-9fc3-452681ffe917;
    cadata="1yyujEnTw7lytuUOjPEslDMoPxj9v/q4682tjWcpAIxL4hZuPHGcBCssh7FDFSk+ExjCFsVtopx7fjH91LtOCm2HehWSeKX+c4moF4l592BJJ80
    4MQdoLJIQxIKBjJWUzK9UEmPjbu8JUbkO9xt2dPt5HU5X7svvA3Vyxu8eywRs="; Location=https://sbs.***.local/ecp/
    ПОДРОБНО: [12:37:21.188 GMT] Test-EcpConnectivity : Полученный ответ. https://sbs.***.local/ecp/: Состояние:
    Found.
    Сервер клиентского доступа:
    Дополнительные сведения: Cookie=sessionid=; cadata=;
    Location=https://sbs.***.local/owa/auth/logon.aspx?url=https://sbs.***.local/ecp/&reason=2
    
    CasServer  LocalSite     Scenario        Result  Latency(MS) Error
    ---------  ---------     --------        ------  ----------- -----
    SBS        Default-Fi... Вход в систему  Ошибка              Сервер не вернул куки...
    ПОДРОБНО: [12:37:21.191 GMT] Test-EcpConnectivity : Журнал административного аудита: выполнен вход в
    Handler:OnComplete.
    ПОДРОБНО: [12:37:21.208 GMT] Test-EcpConnectivity : Завершение обработки &

    12 июля 2019 г. 12:40
  • Спасибо.

    1. Вопрос по настройкам IE.

    2. Откройте сайт https://localhost/ecp на самом сервере.

    3. Вопрос по архитектуре.

    У Вас один CAS Exchange или два?


    MCITP, MCSE. Regards, Oleg

    12 июля 2019 г. 23:59
    Модератор
  • 1) Результата не дало, все так же не пускает.. Пробовал заходить с сервера, как и писали.

    3) Работал один CAS, решили перенести его на SBS 2011, поэтому был поднят второй CAS на SBS 2011, на него были перенесены ящики, общие папки и т.д.. Далее первый CAS был деинсталлирован, остался только CAS на SBS, который сейчас и работает один.

    13 июля 2019 г. 6:04
  • Приветствую.

    Что говорят встроенные средства диагностики и мониторинг SBS?

    Проблема воспроизводится при обращении к web App из локальной сети или из вне?

    Запускать мастер настройки Электронной почты и удаленного доступа заново не пробовали?


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.



    13 июля 2019 г. 7:53
    Модератор
  • Вопрос автору: у вас на этом SBS никакое другое Web-приложение случаем не стоит? SharePoint, к примеру? Если стоит, то это может приводить к наблюдаемой картине ошибки. И копать надо туда.

    Пояснение:

    Судя по всей приведенной информации, проблема не вызвана аутентификацией - о чем свидетельствует правильное имя пользователя в тексте события. А вызвана она авторизацией (проверкой наличия разрешения) для доступа квиртуальному каталогу /ecp.

    В целях анализа я попробовал на стенде воспроизвести проблему, удаляя пользователя из ролевых групп Exchange или эти ролевые группы - из разрешений авторизации .NET (см. мой предыдущий ответ, где именно они прописаны). Выяснилось, что таким образом проблема не воспроизводится: реакция Exchange на отсутствие нужной роли в обоих случаях совсем не та, что у автора вопроса - Exchange просто честно сообщает пользователю, что у него нет разрешений (а не запрашивает логин/пароль), и при этом он не пишет события с ID 4007 в журнал (пишутся другие события ошибки).

    Известно, что Exchange использует для авторизации не стандартный roleManager из .NET (он выключает его в web.config для виртуального каталога), а свой собственный модуль RBAC. А вот ошибка выглядит так, будто её порождает стандартное средство авторизации .NET. Это вызывает подозрение, что настройки авторизации для каталога ECP перекрываются каким-то образом на уровне сайта. Наиболее вероятный источник такого положения дел - другое Web-приложение (к примеру, SharePoint контролирует все запросы к сайту с помощью установленного на уровне сайта модуля фильтра). Отсюда и вопрос.

     

    Слава России!

    13 июля 2019 г. 12:55
  • На SBS вообще кроме роли IIS ничего не поднято. На SBS стоит MSSQL 2008 R2 и Exchange 2010 SP3. Больше ничего не ставилось и не добавлялись роли, только те что просил установщик Exchange не больше.

    Меня смущают вот эти каталоги в Default Site, видимо они автоматом ставятся в SBS при поднятии роли IIS или хз, в любом случае они не к Exchange от носятся.. может их вообще удалить ? 

    13 июля 2019 г. 14:08
  • Вы не те разрешения смотрите.

    Смотреть нужно .NET Authorization Rule в IIS Manager:

    Впрочем, это не важно - проблема явно не там.


    Слава России!


    • Изменено M.V.V. _ 13 июля 2019 г. 14:48
    13 июля 2019 г. 14:29
  • Приветствую.

    SBS 2011, это не просто сервер:

    Как минимум должны присутствовать каталоги:

    Exchange

    CA

    SharePoint

    Companyweb

    WSUS

    RWW

    Создайте нового пользователя Администратора, с помощью консоли SBS, попробуйте воспроизвести проблему под ним.

    Как вы устанавливали SBS2011 по шагам, емнип он устанавливается Автоматом в двух режимах (миграция и первый сервер) и в них автоматически устанавливаются ВСЕ компоненты сервера.

    Если вы его (разобрали) по частям - это не поддерживаемое решение


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    13 июля 2019 г. 17:14
    Модератор
  •  Работал один CAS, решили перенести его на SBS 2011, поэтому был поднят второй CAS на SBS 2011, на него были перенесены ящики, общие папки и т.д.. Далее первый CAS был деинсталлирован, остался только CAS на SBS, который сейчас и работает один.

    Ваши действия не поддерживаются архитектурой SBS 2011.

    Exchange 2010 не может быть развернут на втором SBS 2011 в тойже организации, так как его шаблоны адаптированы под один сервер, в результате мы видим сбои авторизаций и работы сервиса.

    Вам рекомендуется начать миграцию с Small Business Server 2011 на разделенные решения Windows 2012 R2 AD/DNS/DHCP и Exchange 2016.

    Announcing new options for SQL Server 2008 and Windows Server 2008 End of Support

    End of support for Windows Server 2008 and Windows Server 2008 R2


    MCITP, MCSE. Regards, Oleg

    14 июля 2019 г. 0:31
    Модератор
  • SBS был установлен как первый сервер, потом с него были удалены все роли. Т.е. я получил по факту голый Windows 2008 R2. И потом уже по верх поставил IIS и Exchange. По всей видимости да, такой вариант не катит для нормальной работы Exchange. Буду переносить обратно Exchange на Windows 2012 R2
    14 июля 2019 г. 7:42
  • Все ключевые службы 2012 R2 AD/DNS/DHCP  были давно с мигрированы на Win 2012 R2,

    Похоже что да, всему причина это кастрированный мной SBS 2011 и это дает сбой в его работе совместно с Excahnge. 

    Решение тогда одно вырисовывается. Поднять Exchange на Win 2012 R2 и забыть о SBS 2011. 

    Всем спасибо за участие в расследование проблемы :) 

    • Помечено в качестве ответа car2ner 14 июля 2019 г. 7:45
    14 июля 2019 г. 7:45
  • Все ключевые службы 2012 R2 AD/DNS/DHCP  были давно с мигрированы на Win 2012 R2,

    Похоже что да, всему причина это кастрированный мной SBS 2011 и это дает сбой в его работе совместно с Excahnge. 

    Решение тогда одно вырисовывается. Поднять Exchange на Win 2012 R2 и забыть о SBS 2011. 

    Всем спасибо за участие в расследование проблемы :) 

    ПРиветствую.

    Это не решение в вашей ситуации, а единственный выход из того что вы наделали с sbs


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    14 июля 2019 г. 10:28
    Модератор
  • Ну я не думал, что SBS без служб в принципе не может нормально существовать, т.е. как голый Windows 2008 R2. Ну коли так, то придется все же назад возвращать Exchange на обычную серверную систему Windows 2012 R2.  
    15 июля 2019 г. 3:58
  • Из моего опыта, 

    BasicAuthentication : True WindowsAuthentication : False DigestAuthentication : False FormsAuthentication : True

    Ранее, при публикации через TMG нужно было убиратьForms и оставлять Basic

    Попробуйте поиграться с этим и поискать закономерность. 

    Только после каждой манипуляции делайте IISReset /noforce


    Youtube канал о Exchange Server
    Группа Facebook по Exchange Server
    Чат в Telegram по Exchange Server
    Группа Facebook по PowerShell

    15 июля 2019 г. 5:55
    Модератор