登录 OWA 时出现“503 后端服务器身份验证失败:未经授权”
使用浏览器登录 OWA 时,收到 503 错误。在 Fiddler 跟踪中会看到更详细的响应状态代码:
503 Failed authentication on backend server: Unauthorized
在 Exchange Server 上,查看以下系统事件日志(间歇性):
Event 4 Security-Kerberos
The Kerberos client received a KRB_APP_ERR_MODIFIED error from the server exchangeserver$.
The target name used was HTTP/exchangeserver.ad.root.
This indicates that the target server failed to decrypt the ticket provided by the client.
2 个答案:
答案 0 :(得分:0)
我希望有人只在实验室环境中收到这个!
这里是启用 Kerberos 日志记录的链接,它也可能有帮助:https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-kerberos-event-logging
启用 Kerberos 日志记录后,会更频繁地看到 KRB_APP_ERR_MODIFIED 错误,而之前每次尝试登录时都不会记录。
此处(在实验室中)的问题是所讨论的 Exchange Server 的重复 SPN 被错误地添加到另一台服务器,从而导致重复。这是因为尝试为单独的 Web 应用程序启用 Kerberos 委派。
尽管可能有更快的方法来执行此操作,但您可以通过运行列出每个服务器上的 SPN 以查找错误的 exchangeserver 记录
setspn -l otherservername (this is a lower-case L)
如果您发现像 http/exchangeserver 或 http/exchangeserver.ad.root 这样的 SPN 列在另一台服务器上(比如“otherservername”),您可以通过运行来小心地删除它们
setspn -D http/exchangeserver otherservername
setspn -D http/exchangeserver.ad.root otherservername
在删除重复的 SPN 后,我能够立即登录 OWA,无需重新启动任何服务器或服务。
答案 1 :(得分:0)
检查是否正确配置了 IIS 中 Exchange 后端网站的绑定。您可以通过访问服务器中的 IIS 控制台并打开 443 端口的后端网站绑定来检查这一点。看,如果证书分配得好
此外,请检查默认网站的绑定是否正确。它应该分配有第三方 SSL 证书或自签名证书
如果任何绑定不正确,请修复它并重新启动 IIS(来自 cmd 提示符的 iisrest)。再检查一下
- Google登录后端服务器身份验证
- "由于身份验证失败,客户端未经授权#34;
- Neo4j Bolt:由于身份验证失败,客户端未经授权
- 身份验证未经授权
- Neo4j:无法登录:Neo.ClientError.Security.Unauthorized:由于身份验证失败,客户端未经授权
- Neo4jError:由于身份验证失败,客户端未经授权
- Neo4j-由于身份验证失败,客户端未经授权
- 仅使用 Windows 身份验证使用同源 Web API 时,Blazor 服务器身份验证失败 - 401 未经授权
- 由于身份验证失败,neo4j 客户端未经授权
- 登录 OWA 时出现“503 后端服务器身份验证失败:未经授权”
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?