在 Microsoft Dynamics CRM 电子邮件路由器中测试访问权限时，会收到“（401） 未授权”错误

本文提供了在 Microsoft Dynamics CRM 电子邮件路由器中测试访问时发生的错误的解决方案。

适用于： Microsoft Dynamics CRM
原始 KB 数： 2003033

现象

在适用于 Microsoft Dynamics CRM 的电子邮件路由器配置工具中选择 “测试访问 ”时，收到传入电子邮件的以下错误：

“传入状态：失败 - 远程Microsoft Exchange 电子邮件服务器返回错误”（401） 未授权”。 验证你是否有权连接到邮箱。 远程服务器返回错误：（401） 未授权。”

原因

以下一个或多个条件可能会导致此问题：

• 传入配置文件中指定的帐户没有用户邮箱的完全访问权限。
• 当别名用于 Microsoft Outlook Web Access 时，缺少服务主体名称 (SPN)。
• Microsoft Dynamics CRM 的最新更新汇总尚未应用。
• Exadmin 和 Exchange 虚拟目录上的身份验证不正确。
• 安装了电子邮件路由器的服务器上的 Windows Internet Explorer 中的本地 Intranet 区域缺少 Outlook Web 访问 URL。

决议 1

验证传入配置文件中指定的帐户是否对用户的邮箱具有完全访问权限。 另请验证本地系统帐户是否正在启动 Microsoft CRM 电子邮件路由器服务。

若要验证启动 Microsoft CRM 电子邮件路由器的帐户，请按照安装电子邮件路由器的服务器上执行以下步骤：

1. 选择“开始”，选择“运行”，键入 Services.msc，然后选择“确定”。
2. 找到 Microsoft CRM 电子邮件路由器服务。

   注意

   “登录为”列中列出的账号，然后验证其设置为LocalSystem。

要验证为访问传入配置文件而指定的帐户，请在安装了 Microsoft CRM 电子邮件路由器的计算机上按照以下步骤操作：

1. 依次选择“开始”、“所有程序”、“Microsoft Dynamics CRM 电子邮件路由器”，然后选择“Microsoft CRM 电子邮件路由器配置管理器”。

2. 选择“配置文件”选项卡，双击“传入配置文件”，然后记下“访问凭据”字段中指定的帐户。 验证此帐户是否具有对用户邮箱的完全访问权限。

   1. 如果您对所有用户和队列使用转发邮箱选项，建议在此字段中使用转发邮箱凭据。
   2. 如果对用户和队列使用 路由器 选项，必须确保在 “访问凭据 ”字段中指定的帐户对所有这些用户的收件箱具有完全访问权限。

有关为用户收件箱添加额外权限的详细信息，请参阅以下文章：

• 允许邮箱访问权限
• 如何授予用户对其他用户邮箱的完全访问权限

决议 2

如果您使用 http://mail.domain.com 访问 Outlook Web Access，但 Microsoft Exchange Server 名称为 Exchange01，则必须在运行 Exchange 网站的应用程序池的帐户上添加更多的 SPN。

若要确定启动 Exchange 应用程序池的帐户，请执行以下步骤：

1. 登录到 Microsoft Exchange Server。
2. 选择“开始”，选择“运行”，键入 Inetmgr，然后选择“确定”。
3. 在 IIS 中展开服务器，然后选择 “应用程序池”。
4. 运行 Exchange 应用程序池的帐户在预览窗格中列出。

在步骤 4 中标识的帐户中，添加以下 SPN：

• HTTP/Mail
• HTTP/Mail.yourdomainname.com

注意

必须更改这些 SPN 以匹配用户用于访问 Outlook Web Access 的别名 URL。

有关添加 SPN 的详细信息，请访问以下Microsoft网站：

• 为 Kerberos 连接注册服务主名称
• Microsoft Dynamics 365 博客

决议 3

注意

此分辨率仅适用于 Microsoft Dynamics CRM 4.0。

请确认在 Microsoft Dynamics CRM 服务器和 Microsoft Dynamics CRM 电子邮件路由器上至少安装了 Microsoft Dynamics CRM 4.0 的更新汇总包 3。 强烈建议使用最新的累积更新。

有关详细信息和下载 Microsoft Dynamics CRM 的最新更新汇总，请参阅 [Microsoft Dynamics CRM 4.0 更新和修补程序]。

决议 4

请检查虚拟目录/Exchange和/Exadmin上的以下身份验证。

• 验证是否在虚拟目录中启用了 /Exadmin 基本身份验证和 Windows 身份验证。
• 验证是否已在 /Exchange 虚拟目录中启用基本身份验证。

若要检查虚拟目录上的身份验证，请根据运行的操作系统在 Microsoft Exchange Server 上执行以下步骤：

• 在 Windows Server 2008 上：

  1. 选择“开始”，选择“运行”，键入 Inetmgr，然后选择“确定”。
  2. 展开服务器名称，展开站点，然后展开Exchange 网站。
  3. 选择 /Exadmin 虚拟目录，在“预览”窗格中打开“身份验证”，并验证是否启用了基本身份验证和 Windows 身份验证。
  4. 选择 /Exchange 虚拟目录，在“预览”窗格中打开“身份验证”，并验证是否已启用基本身份验证。

• 在 Windows Server 2003 上：

  1. 选择“开始”，选择“运行”，键入 Inetmgr，然后选择“确定”。
  2. 展开服务器名称，展开站点，然后展开Exchange 网站。
  3. 右键单击 /Exadmin 虚拟目录，然后选择“ 属性”。
  4. 选择“目录安全性”选项卡，在“身份验证和访问控制”下选择“编辑”，然后验证是否已启用基本身份验证和 Windows 身份验证。
  5. 右键单击 /Exchange 虚拟目录，然后选择“ 属性”。
  6. 选择“目录安全性”选项卡，在“身份验证和访问控制”下选择“编辑”，然后验证是否已启用基本身份验证和 Windows 身份验证。

决议 5

将 Outlook Web 访问的 URL 添加到本地 Intranet 区域，并验证是否已 在安装了 Microsoft Dynamics CRM 电子邮件路由器的服务器上启用自动登录 。 要执行此操作，请执行以下步骤：

1. 使用传入配置文件中指定的帐户登录到安装了 CRM 电子邮件路由器的计算机。

2. 打开 Internet Explorer。

3. 选择“工具”，然后选择“Internet 选项”。

4. 选择 “安全 ”选项卡，选择“ 本地 Intranet”，然后选择“ 站点”。

5. 选择“高级”，添加用于访问 Outlook Web Access 的 URL，然后添加 Exchange Server 的 URL。

6. 选择“关闭”，然后选择“确定”。

7. 请确保 已选择本地 Intranet ，选择“ 自定义级别”，然后选择“ 仅在 Intranet 区域中自动登录”。

8. 选择“ 确定 ”两次，然后选择“ 应用”。

9. 关闭所有 Internet Explorer 会话。

注意

在以其他用户帐户身份登录到 Windows 时，可以在特定用户帐户的上下文下运行 Internet Explorer。 可以通过按住Shift键然后右键单击Internet Explorer 可执行文件来完成，这将显示以其他用户身份运行 Internet Explorer 的选项。 如果 Internet Explorer 在安装了电子邮件路由器的计算机上的传入个人资料帐户环境中运行，它可以用于跳过上述步骤 1 和 2。