Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Исходный номер базы знаний: 3082946
Сводка
При попытке просмотреть сведения о занятости в организации попытка завершается с ошибкой 403: Доступ запрещен.
Например, у вас есть Forest A на сервере под управлением Microsoft Exchange 2007 и Forest B на сервере под управлением Exchange Server 2013 или Exchange Server 2010. В этой ситуации пользователь в Лесу A не может видеть сведения о доступности пользователя в Лесу B. Кроме того, следующее событие записывается в журнале событий на исходном сервере:
Log Name: Application
Source: MSExchange Availability
Date: Date
Event ID: 4002
Task Category: Availability Service
Level: Error
Keywords: Classic
User: N/A
Computer: <Computer Name>
Description:
Process <Process ID>[w3wp.exe:/LM/W3SVC/1/ROOT/EWS-1-130778800910201315]: Proxy request CrossForest from
Requester:S-1-5-21-1016748826-3068013645-1401187561-1105 to https://<ONLINE_URL>/EWS/Exchange.asmx failed.
Caller SIDs: . The exception returned is Microsoft.Exchange.InfoWorker.Common.Availability.ProxyWebRequestProcessingException:
System.Net.WebException: The request failed with HTTP status 403: Forbidden.
На целевом сервере следующая запись регистрируется в журнале IIS в каталоге W3SVC1:
IIS Logs: 2015-06-08 04:19:25 <IP Address> POST /EWS/Exchange.asmx &CorrelationID=<empty>;&ClientId=JQJLGECZ0MGEHVVWEBZG&cafeReqId=00001111-aaaa-2222-bbbb-3333cccc4444; 443 domain\serviceaccount <IP Address> ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000 - 403 0 0 718
На сервере под управлением Exchange Server 2013 в журнале HTTPProxy регистрируется следующая запись:
WebExceptionStatus=ProtocolError;ResponseStatusCode=403;WebException=System.Net.WebException: The remote server returned an error: (403) Forbidden. at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) at Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass2c.<OnResponseReady>b__2b();
На сервере почтовых ящиков следующая запись регистрируется в журнале IIS в каталоге W3SVC2:
2015-06-08 04:16:29 <IP Address> POST /EWS/Exchange.asmx - 444 domain\serviceaccount 10.152.152.166 ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000 403 0 0 233
На сервере почтовых ящиков в журнал EWS записывается следующая запись:
AuthError=User not allowed to access EWS;,FaultInnerException=Microsoft.Exchange.Services.Core.Types.ServiceAccessDeniedException: Access is denied. Check credentials and try again.;ExceptionHandlerBase_ProvideFault_FaultException=System.ServiceModel.FaultException: Access is denied. Check credentials and try again. at Microsoft.Exchange.Services.Wcf.MessageInspectorManager.InternalAfterReceiveRequest(Message& request IClientChann
Причина
Эта проблема возникает из-за блокировки EWS в домене B на уровне организации. "Forest B" позволяет только выбранным приложениям получать доступ к EWS. Использование EWS не разрешено для запросов доступности между доменными лесами.
Чтобы проверить конфигурацию организации, выполните следующую команду:
Get-Organizationconfig | fl *ews*
Резолюция
Чтобы включить запросы на бесплатные и занятые в нескольких лесах на уровне организации, необходимо добавить агент пользователя в список разрешений EWS. Например, в ситуации, описанной в разделе "Сводка", добавьте следующий путь агента пользователя.
Замечание
Эти сведения взяты из журналов IIS на целевом сервере.
ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.00
Затем выполните следующую команду:
Set-OrganizationConfig -EwsAllowList "ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000","TestApp","app1"