現象描述:
1.Exchange 2013 owa登陸賬戶後發現進不了郵箱(初步懷疑郵箱數據庫損壞,但是經過檢查,郵箱數據庫正常,且服務正常,事件日誌無報錯)
2.但是創建了一個新用戶後登陸發現能到達保存語言的界面,說明登陸驗證是通過的
此時直接把OWA路徑改爲ECP路徑,發現竟然登陸的是管理員界面如下:
並且發現是以計算機賬戶權限登錄的。覺得很詭異
3.從右上角切換賬戶,發現能夠進入用戶的ECP界面,但是多了個提示說“以計算機的權限代替此用戶登錄”
因此得出結論,CAS登陸時,AD賬戶實際上是驗證通過,說明CAS和AD之間的驗證是正常的,同時檢查了mbx的服務器上沒有報錯信息,加上上面出現權限的問題,因此懷疑當用戶從CAS登陸時,雖然AD賬戶驗證通過了,但是沒有得到ACL權限列表,(ACL權限列表中應當包含着,CAS和MBX之間的連接權限),所以重新關聯CAS和MBX之間的權限,(注意:根據實際場景,應該每臺CAS對應每臺MBX都做一遍下面的操作)
get-clientaccessServer -id bj-cas-03 |Add-ADPermission -Acce***ights ExtendedRight -ExtendedRights"ms-Exch-EPI-Token-Serialization","ms-Exch-EPI-Impersonation" -User "bjgas.com\bj-cas-03$"
get-clientaccessServer -id bj-cas-03 |Add-ADPermission -Acce***ights ExtendedRight -ExtendedRights"ms-Exch-EPI-Token-Serialization","ms-Exch-EPI-Impersonation" -User "bjgas.com\bj-mbx-02$"
get-mailboxServer -id bj-mbx-02 | Add-ADPermission-Acce***ights ExtendedRight –ExtendedRights"ms-Exch-EPI-Token-Serialization","ms-Exch-EPI-Impersonation" -User "bjgas.com\bj-cas-03$"
get-mailboxServer -id bj-mbx-02 |Add-ADPermission -Acce***ights ExtendedRight –ExtendedRights"ms-Exch-EPI-Token-Serialization","ms-Exch-EPI-Impersonation" -User "bjgas.com\bj-mbx-02$"
最終問題解決。