401 ошибка на виртуальных каталогах, вызывающих проблемы соединения MAPI (Exchange 2013 SP1)

РЕДАКТИРОВАНИЕ № 2 10/21/2015 я ПОЛУЧИЛ IT!!! Через слепую удачу я решил удалить, "Согласовывают" и добавляют "Negotiate:Kerberos" к папке "Exchange Back End> mapi", и я мог теперь войти в систему тестовая страница MAPI/HTTP без ошибки. Я все еще не мог заставить профиль полностью работать, таким образом, я играл еще немного с полномочиями папки MAPI, прежде чем я выяснил, что "Согласовывают", должен был быть удален из папки "Default Web Site> mapi" в целом.

Таким образом суммировать те полномочия:

Default Web Site > mapi > Authentication:
Anonymous: Disabled
ASP.NET Impersonation: Disabled
Basic Authentication: Disabled
Digest Authentication: Disabled
Forms Authentication: Disabled
Windows Authentication: Enabled
 -Providers: 
   --NTLM 

Exchange Back End > mapi > Authentication:
Anonymous: Disabled
ASP.NET Impersonation: Disabled
Basic Authentication: Disabled
Digest Authentication: Disabled
Forms Authentication: Disabled
Windows Authentication: Enabled
 -Providers: 
   --Negotiate:Kerberos
   --NTLM

Спасибо за всю справку, понимая это!

ОТРЕДАКТИРУЙТЕ 21.10.2015, Добавили некоторые комментарии относительно журналов IIS 401.

ОТРЕДАКТИРУЙТЕ 20.10.2015 Сегодня, я следовал для настроек/полномочий виртуального каталога. Все были, как они должны быть.

РЕДАКТИРОВАНИЕ 19.10.2015

Я перешел по новейшей ссылке, которую Вы предоставили. На самом деле у меня действительно была та точно та же проблема, с тем, что я назвал "циклами входа в систему OWA". Шифрование сертификата было точно проблемой. Я переключаюсь на MS schannel, и проблема цикличного выполнения ушла. Нет никаких лакомых кусочков, остающихся от старого сертификата, но 401 проблема все еще там.

От "Статей, без определенного порядка важных..."

Первое звучало как обещание, поскольку его 401 ошибка была в значительной степени идентична, но ничто в той статье не помогло. Я уже видел статью MS, на которую он ссылался и уже попробовал те настройки. Я действительно, однако, пробовал их снова... только, чтобы видеть, помогут ли они. Единственная вещь, которую я не попробовал, состояла в том, чтобы переместиться, "NTLM" выше "Согласовывают" в аутентификации> раздел Providers в IIS. Это не помогло, также.

Я также нашел время для следующей остальной части Ваших ссылок.

Для раздела сценариев тестирования я судил их всех... для включения теста MAPI (который я сделал миллион раз). Они все успешно выполнились.

[PS] D:\Exchange2013\scripts>Test-OutlookConnectivity -RunFromServerId EXCH1 -ProbeIdentity OutlookMapiHttpSelfTestProbe

MonitorIdentity                          StartTime       EndTime         Result               Error                Exception
---------------                          ---------       -------         ------               -----                ----
OutlookMapiHttp.Protocol\OutlookMapiH... 10/19/2015 1... 10/19/2015 1... Succeeded

[PS] D:\Exchange2013\scripts>Test-OutlookConnectivity -ProbeIdentity "OutlookRpcSelfTestProbe"

MonitorIdentity                          StartTime       EndTime         Result               Error                Exception
---------------                          ---------       -------         ------               -----                ----
Outlook.Protocol\OutlookRpcSelfTestProbe 10/19/2015 1... 10/19/2015 1... Succeeded


[PS] D:\Exchange2013\scripts>Test-OutlookConnectivity "OutlookRpcDeepTestProbe\cabuzzi_2015" -RunFromServerId EXCH1 -Mai
lboxId chris@cabuzzi.com

MonitorIdentity                          StartTime       EndTime         Result               Error                Exception
---------------                          ---------       -------         ------               -----                ----
Outlook.Protocol\OutlookRpcDeepTestPr... 10/19/2015 1... 10/19/2015 1... Succeeded


[PS] D:\Exchange2013\scripts>$TestCredentials = Get-Credential

cmdlet Get-Credential at command pipeline position 1
Supply values for the following parameters:
Credential
[PS] D:\Exchange2013\scripts>Test-OutlookConnectivity -ProbeIdentity OutlookRpcCtpProbe -MailboxId chris@cabuzzi.com -Cr
edential $TestCredentials

MonitorIdentity                          StartTime       EndTime         Result               Error                Exception
---------------                          ---------       -------         ------               -----                ----
Outlook\OutlookRpcCtpProbe               10/19/2015 1... 10/19/2015 1... Succeeded


[PS] D:\Exchange2013\scripts>Test-OutlookConnectivity -ProbeIdentity "OutlookRpcCTPProbe" -MailboxID chris@cabuzzi.com

MonitorIdentity                          StartTime       EndTime         Result               Error                Exception
---------------                          ---------       -------         ------               -----                ----
Outlook\OutlookRpcCtpProbe               10/19/2015 1... 10/19/2015 1... Succeeded

Я также повторно выполнил все тесты на Возможности соединения Exchange Анализатор. Все передали. Вот XML, следует из "теста" Возможности соединения Outlook, который является самым релевантным:

(Я должен был удалить XML, потому что основное сообщение было слишком длинным. Короче говоря, это передало с развевающимися знаменами),

Вы также отправили ссылку MS относительно проблем аутентификации при выполнении 2007/2010 в среде Windows 2008. Я только выполняю Exchange 2013 SP1 в среде Windows 2012. У меня, приблизительно один год назад, действительно был сервер Exchange 2010. Не уверенный, если существует ничто законченное от этого..., но если так, оно не обнаруживается в Редактировании ADSI.

Наконец, я использую ключ реестра MapiHttpDisabled. Я установил его в "0", чтобы включить MAPI при тестировании на фиксацию и задержать его к "1", когда я на самом деле должен открыть Outlook и действительно работаю.

Единственной другой вещью, на которую я должен посмотреть, является страница Virtual Directory. Сегодня вечером я пробегусь через это.

Еще раз спасибо за всю справку.

ОТРЕДАКТИРУЙТЕ Поэтому только для heck его, я изменил автообнаруживание, и отправьте по почте записи на ARR, только чтобы видеть, изменило ли это что-нибудь. Не было никакого изменения, вместо этого, некоторые журналы ошибок IIS обнаруживаются на ARR теперь.

Я проверю все ссылки, которые Вы отправили завтра!

Вот образец некоторых журналов с каждого сервера:

.97 ARR.220, и.228 клиенты/рабочие станции.104, EXCH1

С сервера ARR:

2015-10-18 22:59:05 192.168.1.97 POST /ews/Exchange.asmx X-ARR-LOG-ID=9510ed1a-a8f8-4d91-b4ef-a43ec4b37dce 443 - 192.168.1.228 Microsoft+Office/15.0+(Windows+NT+6.2;+Microsoft+Outlook+15.0.4667;+Pro) - 401 0 0 0
2015-10-18 22:59:05 192.168.1.97 POST /ews/Exchange.asmx X-ARR-LOG-ID=efdd0650-3308-4c0a-93b6-11b119ae69ad 443 - 192.168.1.228 Microsoft+Office/15.0+(Windows+NT+6.2;+Microsoft+Outlook+15.0.4667;+Pro) - 200 0 0 140
2015-10-18 23:04:14 192.168.1.97 POST /mapi/nspi/ MailboxId=245d5ddf-bafd-412f-8ada-c94ec4f59c6f@cabuzzi.com&X-ARR-CACHE-HIT=0&X-ARR-LOG-ID=cc6b81b4-f843-482a-9503-50bad60ae152 443 - 192.168.1.220 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.4266;+Pro) - 401 0 0 46

От EXCH1

2015-10-18 23:08:48 ::1 GET /ecp/ReportingWebService/ &CorrelationID=<empty>;&cafeReqId=b90a694e-2059-4c17-9748-4658134c00ca; 443 - ::1 AMProbe/Local/ClientAccess - 302 0 0 0
2015-10-18 23:08:51 ::1 RPC_IN_DATA /rpc/rpcproxy.dll 913fd51c-b6d6-4470-b859-31e775a35351@cabuzzi.com:6001&CorrelationID=<empty>;&RequestId=aa3fbeba-1e95-41bd-9097-155bfed9ef03&cafeReqId=aa3fbeba-1e95-41bd-9097-155bfed9ef03; 443 - ::1 MSRPC - 401 1 2148074254 0
2015-10-18 23:08:51 ::1 RPC_IN_DATA /rpc/rpcproxy.dll 913fd51c-b6d6-4470-b859-31e775a35351@cabuzzi.com:6001&CorrelationID=<empty>;&RequestId=f5b1b4a3-36a3-4794-8ec0-841d6b2f795f&cafeReqId=f5b1b4a3-36a3-4794-8ec0-841d6b2f795f; 443 CABUZZI\SM_4a59733b1538499da ::1 MSRPC - 200 0 0 62
2015-10-18 23:08:51 192.168.1.104 RPC_IN_DATA /rpc/rpcproxy.dll 913fd51c-b6d6-4470-b859-31e775a35351@cabuzzi.com:6001&CorrelationID=<empty>;&RequestId=1cb5dfb8-1e2b-4beb-982c-e96262f0cd4c&cafeReqId=1cb5dfb8-1e2b-4beb-982c-e96262f0cd4c; 443 - 192.168.1.104 MSRPC - 401 1 2148074254 0

Первое сообщение, поэтому снисходительно отнестись ко мне.

Я выполняю установку Exchange 2013 SP1 с двумя серверами в своем домене. Я использую ARR для обратного прокси и те же внутренние/внешние доменные имена через плату. У меня нет внутреннего loadbalancer, таким образом, я использую циклический алгоритм DNS.

Все хорошо работает при использовании RPC/HTTP, но когда я пытаюсь переключить организацию на MAPI, я получаю бесконечные приглашения ко входу в систему. Я имею дважды, трижды, и четыре раза проверил свой сертификат SSL, методы автора виртуального каталога, внутренний/внешний URIs, и т.д. Кроме того, каждый тест MSRCA работает отлично, для включения обоих тестов Outlook. Это приводит меня копать в журналы IIS, где я нашел, что это не может быть MAPI с проблемами (тем более, что тестовый зонд MAPI передает успешно).

Я сузил проблему к 401 на нескольких папках, прежде всего, автоузнайте и mapi. Сумасшедшая вещь, когда я использую прямое имя хоста одного из обменных серверов, у меня нет проблем. Тестовая страница к mapi или автообнаруживает URL в работах IE точно так же, как это должно. Я установил автообнаруживание и отправляю по почте записи на мой первый Exchange Server во время поиска и устранения неисправностей, но это, казалось, не помогло, также.

Таким образом, если я ввожу https://mail.cabuzzi.com/mapi/emsmdb в IE, я получаю подсказку пароля цикличного выполнения и 401 в моих журналах IIS (проверенный Скрипач использования, также). Если я ввожу https://exch1.cabuzzi.com/mapi/emsmdb, я получаю ошибку сертификата..., но я возвращаю положительный результат, даже при том, что mail.cabuzzi.com и exch1.cabuzzi.com обе твердости к тому же IP. Автоузнайте твердость к EXCH1 IP также, и имеет соответствующую запись SAN в Exchange сертификат SSL (от GoDaddy).

Я должен также указать, что эта 401 ошибка действительно не уходит, когда я вынуждаю MapiHttpDisabled на клиенте ПК, они просто, кажется, не влияют на Outlook, создающий новый профиль или открывающий электронную почту на существующем профиле. После того как я очищаю установку MapiHttpDisabled, я получаю подсказку пароля для существующего профиля и отказа даже создать новый профиль.

Какие-либо идеи? Я действительно озадачен здесь, и моя голова начинает плавать после двух недель (на и прочь) поиска и устранения неисправностей.