December 10, 2010

OWA - Ошибка при входе


При попытке использования почтового ящика произошла ошибка. Обратитесь в службу технической поддержки организации.


Request
Url: https://mail.example.com:443/owa/lang.owa
User host address: 1.2.3.4

Exception
Exception type: Microsoft.Exchange.Data.Storage.StoragePermanentException
Exception message: There was a problem accessing Active Directory.

Call stack
в Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save() в Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostLocally(OwaContext owaContext, OwaIdentity logonIdentity, CultureInfo culture, String timeZoneKeyName, Boolean isOptimized) в Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostRequest(OwaContext owaContext) в Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.PrepareRequestWithoutSession(OwaContext owaContext, UserContextCookie userContextCookie) в Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.InternalDispatchRequest(OwaContext owaContext) в Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchRequest(OwaContext owaContext) в System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() в System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

Inner Exception
Exception type: Microsoft.Exchange.Data.Directory.ADOperationException
Exception message: Active Directory operation failed on dc.example.com . This error is not retriable. Additional information: Для выполнения операции права недостаточны. Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Call stack
в Microsoft.Exchange.Data.Directory.ADSession.AnalyzeDirectoryError(PooledLdapConnection connection, DirectoryRequest request, DirectoryException de, Int32 totalRetries, Int32 retriesOnServer) в Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId) в Microsoft.Exchange.Data.Directory.ADSession.Save(ADObject instanceToSave, IEnumerable`1 properties) в Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()

Inner Exception
Exception type: System.DirectoryServices.Protocols.DirectoryOperationException
Exception message: У пользователя недостаточно прав.

Call stack
в System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32 messageId, LdapOperation operation, ResultAll resultType, TimeSpan requestTimeOut, Boolean exceptionOnTimeOut) в System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout) в Microsoft.Exchange.Data.Directory.PooledLdapConnection.SendRequest(DirectoryRequest request, LdapOperation ldapOperation) в Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId)

---------------------------------------------------------------------------------------------------

Данная ошибка возникает при входе в Outlook Web Access. Причиной ошибки служит принадлежность учётной записи в группе администраторов домена в прошлом.

Для решения проблемы необходимо:

  • Откройте Active Directory Users and Computers
  • Пройдите в меню Вид (View) и нажмите Дополнительные компоненты (Advanced).
  • Зайдите в свойства учётной записи (Properties), во вкладке Безопасность (Security) нажмите Дополнительно (Advanced)
  • Установите опцию Добавить разрешения, наследуемые от родительских объектов (Allow inheritable permissions from the parent)
Так же необходимо следовать рекомендациям по не назначению почтовых ящиков пользователям, которые состоят в следующих группах:
  • Администраторы
  • Администраторы схемы
  • Администраторы домена
  • Администраторы предприятия
Подробнее: http://support.microsoft.com/kb/328753
http://www.itexperience.net/2008/06/17/logon-to-owa-results-in-problem-4003-insuff_access_rights/
http://www.msexchange.org/articles_tutorials/exchange-server-2007/management-administration/exchange-2007-issues-mailbox-management.html

2 comments:

  1. Такая проблема наблюдается и для совершенно новых учетных записей.
    Решается как раз противоположным способом, т.е. временным введением пользователя в Администраторы домена. После первого удачного входа в OWA административные права можно убрать

    ReplyDelete
  2. Интересное наблюдение

    ReplyDelete