使用浏览器登录 OWA 时,收到 503 错误。在 Fiddler 跟踪中会看到更详细的响应状态代码:
503 Failed authentication on backend server: Unauthorized
在 Exchange Server 上,查看以下系统事件日志(间歇性):
Event 4 Security-Kerberos
The Kerberos client received a KRB_APP_ERR_MODIFIED error from the server exchangeserver$.
The target name used was HTTP/exchangeserver.ad.root.
This indicates that the target server failed to decrypt the ticket provided by the client.
答案 0 :(得分:0)
我希望有人只在实验室环境中收到这个!
这里是启用 Kerberos 日志记录的链接,它也可能有帮助:https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-kerberos-event-logging
启用 Kerberos 日志记录后,会更频繁地看到 KRB_APP_ERR_MODIFIED 错误,而之前每次尝试登录时都不会记录。
此处(在实验室中)的问题是所讨论的 Exchange Server 的重复 SPN 被错误地添加到另一台服务器,从而导致重复。这是因为尝试为单独的 Web 应用程序启用 Kerberos 委派。
尽管可能有更快的方法来执行此操作,但您可以通过运行列出每个服务器上的 SPN 以查找错误的 exchangeserver 记录
setspn -l otherservername (this is a lower-case L)
如果您发现像 http/exchangeserver 或 http/exchangeserver.ad.root 这样的 SPN 列在另一台服务器上(比如“otherservername”),您可以通过运行来小心地删除它们
setspn -D http/exchangeserver otherservername
setspn -D http/exchangeserver.ad.root otherservername
在删除重复的 SPN 后,我能够立即登录 OWA,无需重新启动任何服务器或服务。
答案 1 :(得分:0)