403: Fehler "Verboten", wenn Sie versuchen, organization-weite Frei/Gebucht-Informationen in Exchange anzuzeigen
Ursprüngliche KB-Nummer: 3082946
Zusammenfassung
Wenn Sie versuchen, organization-weiten Frei/Gebucht-Informationen anzuzeigen, schlägt der Versuch fehl und generiert den Fehler 403: Verboten.
Beispielsweise verfügen Sie über Gesamtstruktur A auf einem Server, auf dem Microsoft Exchange 2007 und Gesamtstruktur B auf einem Server ausgeführt wird, auf dem Exchange Server 2013 oder Exchange Server 2010 ausgeführt wird. In diesem Fall kann ein Benutzer in Gesamtstruktur A die Frei/Gebucht-Informationen eines Benutzers in Gesamtstruktur B nicht sehen. Darüber hinaus wird das folgende Ereignis im Ereignisprotokoll auf dem Quellserver protokolliert:
Log Name: Application
Source: MSExchange Availability
Date: Date
Event ID: 4002
Task Category: Availability Service
Level: Error
Keywords: Classic
User: N/A
Computer: <Computer Name>
Description:
Process <Process ID>[w3wp.exe:/LM/W3SVC/1/ROOT/EWS-1-130778800910201315]: Proxy request CrossForest from
Requester:S-1-5-21-1016748826-3068013645-1401187561-1105 to https://<ONLINE_URL>/EWS/Exchange.asmx failed.
Caller SIDs: . The exception returned is Microsoft.Exchange.InfoWorker.Common.Availability.ProxyWebRequestProcessingException:
System.Net.WebException: The request failed with HTTP status 403: Forbidden.
Auf dem Zielserver wird der folgende Eintrag im IIS-Protokoll (Internet Information Service) im W3SVC1-Verzeichnis protokolliert:
IIS Logs: 2015-06-08 04:19:25 <IP Address> POST /EWS/Exchange.asmx &CorrelationID=<empty>;&ClientId=JQJLGECZ0MGEHVVWEBZG&cafeReqId=9f422915-0721-48ce-b2c6-4406d2c1b49d; 443 domain\serviceaccount <IP Address> ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000 - 403 0 0 718
Auf dem Server, auf dem Exchange Server 2013 ausgeführt wird, wird der folgende Eintrag im HTTPProxy-Protokoll protokolliert:
WebExceptionStatus=ProtocolError;ResponseStatusCode=403;WebException=System.Net.WebException: The remote server returned an error: (403) Forbidden. at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) at Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass2c.<OnResponseReady>b__2b();
Auf dem Postfachserver wird der folgende Eintrag im IIS-Protokoll unter dem W3SVC2-Verzeichnis protokolliert:
2015-06-08 04:16:29 <IP Address> POST /EWS/Exchange.asmx - 444 domain\serviceaccount 10.152.152.166 ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000 403 0 0 233
Auf dem Postfachserver wird der folgende Eintrag im EWS-Protokoll protokolliert:
AuthError=User not allowed to access EWS;,FaultInnerException=Microsoft.Exchange.Services.Core.Types.ServiceAccessDeniedException: Access is denied. Check credentials and try again.;ExceptionHandlerBase_ProvideFault_FaultException=System.ServiceModel.FaultException: Access is denied. Check credentials and try again. at Microsoft.Exchange.Services.Wcf.MessageInspectorManager.InternalAfterReceiveRequest(Message& request IClientChann
Ursache
Dieses Problem tritt auf, weil EWS in Gesamtstruktur B auf organization Ebene blockiert ist. Gesamtstruktur B erlaubt nur ausgewählten Anwendungen den Zugriff auf EWS. EWS ist für gesamtstrukturübergreifende Frei/Gebucht-Anforderungen nicht zulässig.
Führen Sie den folgenden Befehl aus, um die konfiguration organization zu überprüfen:
Get-Organizationconfig | fl *ews*
Lösung
Um gesamtstrukturübergreifende Frei/Gebucht-Anforderungen auf organization Ebene zu aktivieren, müssen Sie den Benutzer-Agent der EWS-Zulassungsliste hinzufügen. Fügen Sie beispielsweise in der im Abschnitt "Zusammenfassung" beschriebenen Situation den folgenden Benutzer-Agent-Pfad hinzu.
Hinweis
Diese Informationen stammen aus IIS-Protokollen auf dem Zielserver.
ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.00
Führen Sie dann den folgenden Befehl aus:
Set-OrganizationConfig -EwsAllowList "ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000","TestApp","app1"