现象描述:
1.Exchange 2013 owa登陆账户后发现进不了邮箱(初步怀疑邮箱数据库损坏,但是经过检查,邮箱数据库正常,且服务正常,事件日志无报错)
2.但是创建了一个新用户后登陆发现能到达保存语言的界面,说明登陆验证是通过的 此时直接把OWA路径改为ECP路径,发现竟然登陆的是管理员界面如下: 并且发现是以计算机账户权限登录的。觉得很诡异
3.从右上角切换账户,发现能够进入用户的ECP界面,但是多了个提示说“以计算机的权限代替此用户登录”
因此得出结论,CAS登陆时,AD账户实际上是验证通过,说明CAS和AD之间的验证是正常的,同时检查了mbx的服务器上没有报错信息,加上上面出现权限的问题,因此怀疑当用户从CAS登陆时,虽然AD账户验证通过了,但是没有得到ACL权限列表,(ACL权限列表中应当包含着,CAS和MBX之间的连接权限),所以重新关联CAS和MBX之间的权限,(注意:根据实际场景,应该每台CAS对应每台MBX都做一遍下面的操作)
get-clientaccessServer -id bj-cas-03 |Add-ADPermission -AccessRights ExtendedRight -ExtendedRights"ms-Exch-EPI-Token-Serialization","ms-Exch-EPI-Impersonation" -User "bjgas.com\bj-cas-03$"
get-clientaccessServer -id bj-cas-03 |Add-ADPermission -AccessRights ExtendedRight -ExtendedRights"ms-Exch-EPI-Token-Serialization","ms-Exch-EPI-Impersonation" -User "bjgas.com\bj-mbx-02$"
get-mailboxServer -id bj-mbx-02 | Add-ADPermission-AccessRights ExtendedRight –ExtendedRights"ms-Exch-EPI-Token-Serialization","ms-Exch-EPI-Impersonation" -User "bjgas.com\bj-cas-03$"
get-mailboxServer -id bj-mbx-02 |Add-ADPermission -AccessRights ExtendedRight –ExtendedRights"ms-Exch-EPI-Token-Serialization","ms-Exch-EPI-Impersonation" -User "bjgas.com\bj-mbx-02$"
最终问题解决。
|