登录到 OWA 时出现“503 后端服务器身份验证失败:未经授权”
'503 Failed authentication on backend server: Unauthorized' when logging on to OWA
使用浏览器登录 OWA 时,收到 503 错误。在Fiddler trace中会看到更详细的响应状态码:
503 Failed authentication on backend server: Unauthorized
在 Exchange 服务器上,查看以下 系统 事件日志(间歇性):
Event 4 Security-Kerberos
The Kerberos client received a KRB_APP_ERR_MODIFIED error from the server exchangeserver$.
The target name used was HTTP/exchangeserver.ad.root.
This indicates that the target server failed to decrypt the ticket provided by the client.
我希望有人只在实验室环境中收到这个!
这里有一个 link 来启用 Kerberos 日志记录,这也很有用:https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-kerberos-event-logging
启用 Kerberos 日志记录后,会更频繁地看到 KRB_APP_ERR_MODIFIED 错误,而之前每次登录尝试时都不会记录。
此处(在实验室中)的问题是,所讨论的 Exchange 服务器的重复 SPN 被错误地添加到另一台服务器,从而导致重复。这是因为尝试为单独的 Web 应用程序启用 Kerberos 委派。
尽管可能有更快的方法来执行此操作,但您可以通过 运行
列出每台服务器上的 SPN 以查找错误的 exchangeserver 记录
setspn -l otherservername (this is a lower-case L)
如果您发现像 http/exchangeserver 或 http/exchangeserver.ad.root 这样的 SPN 列在另一台服务器上(例如 'otherservername'),您可以通过 运行
setspn -D http/exchangeserver otherservername
setspn -D http/exchangeserver.ad.root otherservername
删除重复的 SPN 后,我能够立即登录到 OWA,而无需重新启动任何服务器或服务。
检查 IIS 中 Exchange 后端网站的绑定是否正确配置。您可以通过访问服务器中的 IIS 控制台并打开后端网站 443 端口的绑定来检查这一点。看,证书是否分配好
另外,检查默认网站的绑定是否正确。它应该分配有第三方 SSL 证书或自签名证书
如果任何绑定不正确,修复它并重新启动 IIS(iisrest 从 cmd 提示符)。再次检查
使用浏览器登录 OWA 时,收到 503 错误。在Fiddler trace中会看到更详细的响应状态码:
503 Failed authentication on backend server: Unauthorized
在 Exchange 服务器上,查看以下 系统 事件日志(间歇性):
Event 4 Security-Kerberos
The Kerberos client received a KRB_APP_ERR_MODIFIED error from the server exchangeserver$.
The target name used was HTTP/exchangeserver.ad.root.
This indicates that the target server failed to decrypt the ticket provided by the client.
我希望有人只在实验室环境中收到这个!
这里有一个 link 来启用 Kerberos 日志记录,这也很有用:https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-kerberos-event-logging
启用 Kerberos 日志记录后,会更频繁地看到 KRB_APP_ERR_MODIFIED 错误,而之前每次登录尝试时都不会记录。
此处(在实验室中)的问题是,所讨论的 Exchange 服务器的重复 SPN 被错误地添加到另一台服务器,从而导致重复。这是因为尝试为单独的 Web 应用程序启用 Kerberos 委派。
尽管可能有更快的方法来执行此操作,但您可以通过 运行
列出每台服务器上的 SPN 以查找错误的 exchangeserver 记录setspn -l otherservername (this is a lower-case L)
如果您发现像 http/exchangeserver 或 http/exchangeserver.ad.root 这样的 SPN 列在另一台服务器上(例如 'otherservername'),您可以通过 运行
setspn -D http/exchangeserver otherservername
setspn -D http/exchangeserver.ad.root otherservername
删除重复的 SPN 后,我能够立即登录到 OWA,而无需重新启动任何服务器或服务。
检查 IIS 中 Exchange 后端网站的绑定是否正确配置。您可以通过访问服务器中的 IIS 控制台并打开后端网站 443 端口的绑定来检查这一点。看,证书是否分配好