Recentemente, adicionamos um novo servidor back-end do Exchange 2003 ao nosso ambiente, que consistia em um único servidor front-end do Exchange 2003 na DMZ e três servidores Exchange 2003 de back-end na mesma LAN. O servidor front-end está fornecendo serviços do Outlook Web Access. Todos os servidores de troca em nossa organização estão executando o Exchange SP2 no Server 2003 SP2. Todos os servidores estão executando o OWA no IIS 6.0.
O problema é que os usuários cujas caixas de correio residem no novo servidor de troca BE não podem acessá-los por meio do OWA no servidor front-end. Eles recebem a mensagem de erro “Você não pode estar conectado ao Outlook Web Access. Certifique-se de que seu nome de usuário e senha estejam corretos e tente novamente. Isso acontece tanto para usuários cujas caixas de correio foram criadas no novo servidor quanto para usuários cujas caixas de correio foram movidas de um dos servidores back-end existentes. Os usuários cujas caixas de correio foram movidas poderiam acessar sua caixa de correio por meio do OWA antes da movimentação. Esses mesmos usuários podem acessar suas caixas de correio por meio do OWA ao se conectarem diretamente ao novo servidor BE usando métodos de logon implícitos ou explícitos.
O servidor FE pode fazer ping no novo servidor BE e conectar-se a ele na porta 80. Na verdade, todas as portas entre esse servidor FE na DMZ e nossos 3 DCs e 4 servidores BE na LAN estão abertos. O servidor FE usa autenticação baseada em formulários. Todos os três servidores BE têm autenticação básica usando o domínio padrão "MYDomain" e a autenticação integrada do Windows ativada no diretório virtual de troca. Eu verifiquei que as permissões nos servidores virtuais, diretórios virtuais de troca e as permissões de NTFS na pasta Exchweb são todos iguais entre os antigos servidores BE eo novo.
Examinando o log de segurança do Windows no servidor FE, vejo um Auditoria com êxito quando um dos usuários afetados tenta efetuar logon pelo OWA. No entanto, ao olhar através dos logs do IIS, vejo que há um código de erro http 401.5 que, de acordo com a Microsoft, significa "Falha na autorização pelo aplicativo ISAPI \ CGI". Uma versão abreviada da linha segue:
2011-04-19 16:21:31 192.168.1.50 GET /exchange - 443 mydomain\fsmith 10.0.0.100 ...[content removed for brevity] 401 5 0
Eu realizei uma consulta LDAP em relação ao objeto do usuário no Active Directory e garanti que o usuário tivesse um endereço de proxy no domínio correto e que o atributo do servidor de e-mail do usuário apontasse corretamente para o novo servidor BE.
Não tenho certeza se isso faz diferença, mas em dois de nossos antigos servidores de BE há sites de administração do SharePoint. Todos os três servidores BE antigos também possuem o software Trend Mail Scan instalado, para o qual há uma interface da Web hospedada no IIS.
Espero que alguém aqui possa detectar alguma configuração ou etapa de solução de problemas que perdi. Alguém tem alguma idéia de por que nosso servidor FE OWA não está se conectando com êxito às caixas de correio do usuário em nosso novo servidor de troca BE?
Aparentemente, o IIS no servidor front-end do Exchange lê informações nos servidores back-end do Exchange quando ele é iniciado. O IIS não foi reiniciado desde que o novo servidor foi adicionado. Depois que reiniciámos o IIS, tudo começou a funcionar.
"Você já tentou desativá-lo novamente?"
Isso certamente parece um problema de permissão. Aposto que o IUSR_MACHINENAME não tem acesso a alguns arquivos como deveria. Você pode tentar executar o File Monitor App da sysinternals para ver o que está sendo acessado para fixá-lo em quais arquivos ou diretórios alterar.