exchange-server - 登录到 OWA 时,“503 后端服务器上的身份验证失败:未经授权”
问题描述
使用浏览器登录 OWA 时,收到 503 错误。在 Fiddler 跟踪中会看到更详细的响应状态码:
503 Failed authentication on backend server: Unauthorized
在 Exchange Server 上,查看以下系统事件日志(间歇性地):
Event 4 Security-Kerberos
The Kerberos client received a KRB_APP_ERR_MODIFIED error from the server exchangeserver$.
The target name used was HTTP/exchangeserver.ad.root.
This indicates that the target server failed to decrypt the ticket provided by the client.
解决方案
我希望有人只在实验室环境中收到这个!
这是启用 Kerberos 日志记录的链接,它也可能会有所帮助:https ://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-kerberos-event-logging
启用 Kerberos 日志记录后,会更频繁地看到 KRB_APP_ERR_MODIFIED 错误,而之前每次登录尝试发生时都不会记录。
这里的问题(在实验室中)是有问题的 Exchange Server 的重复 SPN 被错误地添加到另一台服务器,从而导致重复。这是因为试图为单独的 Web 应用程序启用 Kerberos 委派。
尽管可能有更快的方法来执行此操作,但您可以列出每台服务器上的 SPN,以通过运行来查找错误的 exchangeserver 记录
setspn -l otherservername (this is a lower-case L)
如果您发现像 http/exchangeserver 或 http/exchangeserver.ad.root 这样的 SPN 列在另一台服务器上(比如“其他服务器名称”),您可以通过运行小心地删除它们
setspn -D http/exchangeserver otherservername
setspn -D http/exchangeserver.ad.root otherservername
删除重复的 SPN 后,我能够立即登录 OWA,而无需重新启动任何服务器或服务。
推荐阅读
- mysql - 如何在 MySQL 的“EXECUTE STATEMENT USING”语句中使用变量列表?
- python - 为什么要重新初始化多进程工作者?
- android-room - 构建错误:找不到字段的吸气剂
- android - 我在 Android 10 中收到 IMEI 号码错误
- mybatis - Mybatis Interceptor为什么会得到重复的参数
- gitlab - Testcomplete 会支持 GitLab 进行版本控制吗?
- javascript - 我对使用 React JS 和 Virtual DOM 处理重新渲染感到困惑
- python - 在 python 中调用生成器时引发未解决的引用错误
- c - 使用 memcpy 将一维数组复制到一行二维数组
- c# - 为 .net C# 加载 Treeview 的异步方法调用