403: Exchange でorganization全体の空き時間情報を表示しようとすると禁止エラーが発生する

• 適用対象:

  Exchange Server 2013 Enterprise, Exchange Server 2010 Enterprise

元の KB 番号: 3082946

概要

organization全体の空き時間情報を表示しようとすると、試行が失敗し、403: 禁止エラーが生成されます。

たとえば、Microsoft Exchange 2007 を実行しているサーバーにはフォレスト A、2013 または Exchange Server 2010 を実行しているサーバーにはフォレスト B Exchange Serverがあります。 この状況では、フォレスト A のユーザーはフォレスト B のユーザーの空き時間情報を表示できません。さらに、次のイベントがソース サーバーのイベント ログに記録されます。

Log Name:      Application

Source:        MSExchange Availability

Date:          Date

Event ID:      4002

Task Category: Availability Service

Level:         Error

Keywords:      Classic

User:          N/A

Computer:      <Computer Name>

Description:

Process <Process ID>[w3wp.exe:/LM/W3SVC/1/ROOT/EWS-1-130778800910201315]: Proxy request CrossForest from
Requester:S-1-5-21-1016748826-3068013645-1401187561-1105 to https://<ONLINE_URL>/EWS/Exchange.asmx failed.
Caller SIDs: . The exception returned is Microsoft.Exchange.InfoWorker.Common.Availability.ProxyWebRequestProcessingException:
System.Net.WebException: The request failed with HTTP status 403: Forbidden.

宛先サーバーでは、次のエントリが W3SVC1 ディレクトリのインターネット インフォメーション サービス (IIS) ログに記録されます。

IIS Logs:  2015-06-08 04:19:25 <IP Address> POST /EWS/Exchange.asmx &CorrelationID=<empty>;&ClientId=JQJLGECZ0MGEHVVWEBZG&cafeReqId=9f422915-0721-48ce-b2c6-4406d2c1b49d; 443 domain\serviceaccount <IP Address> ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000 - 403 0 0 718

2013 Exchange Server実行されているサーバーでは、次のエントリが HTTPProxy ログに記録されます。

WebExceptionStatus=ProtocolError;ResponseStatusCode=403;WebException=System.Net.WebException: The remote server returned an error: (403) Forbidden.    at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)    at Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass2c.<OnResponseReady>b__2b();

メールボックス サーバーでは、W3SVC2 ディレクトリの下の IIS ログに次のエントリが記録されます。

2015-06-08 04:16:29 <IP Address> POST /EWS/Exchange.asmx - 444 domain\serviceaccount 10.152.152.166 ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000 403 0 0 233

メールボックス サーバーでは、EWS ログに次のエントリが記録されます。

AuthError=User not allowed to access EWS;,FaultInnerException=Microsoft.Exchange.Services.Core.Types.ServiceAccessDeniedException: Access is denied. Check credentials and try again.;ExceptionHandlerBase_ProvideFault_FaultException=System.ServiceModel.FaultException: Access is denied. Check credentials and try again.    at Microsoft.Exchange.Services.Wcf.MessageInspectorManager.InternalAfterReceiveRequest(Message& request  IClientChann

原因

この問題は、EWS がフォレスト B でorganization レベルでブロックされているために発生します。 フォレスト B では、選択したアプリケーションのみが EWS にアクセスできます。 EWS は、フォレスト間の空き時間情報要求には使用できません。

organization構成をチェックするには、次のコマンドを実行します。

Get-Organizationconfig | fl *ews*

解決方法

フォレスト間の空き時間情報要求をorganization レベルで有効にするには、EWS 許可リストにユーザー エージェントを追加する必要があります。 たとえば、「概要」セクションで説明されている状況では、次のユーザー エージェント パスを追加します。

注:

この情報は、移行先サーバー上の IIS ログから取得されます。

ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.00

次に、次のコマンドを実行します。

Set-OrganizationConfig -EwsAllowList "ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000","TestApp","app1"