答案:引自微软易做图
发布时间:2002 年 2 月
引言
Microsoft Exchange 2000 Server 中的 Microsoft® Outlook® Web Access 提供了通过 Web 浏览器访问 Exchange 邮箱数据的方便功能。管理员可以利用本文解决使用户无法成功地登录并使用 Outlook Web Access 的配置问题和常见网络问题。
本文是为熟悉 HTTP 和基本的 Microsoft Windows® 2000 概念的 Exchange 2000 或 Outlook Web Access 管理员而编写的。熟悉 Microsoft Internet 信息服务 (IIS) 也将有助于您进行疑难解答。
本文提供的五个步骤用来对最常见的 Outlook Web Access 登录错误进行疑难解答。这些步骤将帮助您确定:
*您可能遇到了什么类型的错误。
*该错误意味着什么。
*该错误的可能原因。
即使所有这些步骤都无法帮助您解决问题,您也可以在拨打 Microsoft 产品支持服务电话时使用您通过这些步骤搜集到的信息。在进行疑难解答时,请清楚记录每一步,因为您可能需要返回来参考这些步骤,或者需要将这些信息提供给 Microsoft 产品支持服务代表。
注: 本文档主要讲述造成您或您的客户根本无法使用 Outlook Web Access 的问题(如登录失败或无法看到您文件夹中的内容),而非 Outlook Web Access 会话中可能出现的问题。
本文包括以下步骤,这些步骤可帮助您进行疑难解答。
1.疑难解答最佳做法
除讲述最常见错误解决方案外,本步骤还讲述可靠的管理办法,这些办法可确保 Outlook Web Access 具有一贯的性能。
2.有什么症状?
本步骤通过描述最常见的问题类别,帮助管理员澄清问题的原因。Microsoft 产品支持服务使用这些类别来对 Outlook Web Access 进行疑难解答。
3.这些症状说明了什么?
管理员确定问题的症状后,本步骤可帮助确定问题的原因和一些可能的解决方法。
4.其他疑难解答步骤
本步骤讲述更具体的疑难解答方法,包括检查过去造成 Outlook Web Access 错误的 Exchange 2000 和 Microsoft Windows® 2000 组件。
5.疑难解答工具
本步骤概括介绍 Windows 2000 和 Exchange 2000 工具,这些工具可帮助管理员进一步解决 Outlook Web Access 问题。
一、疑难解答最佳做法
下面几节讲述 Outlook Web Access 的一些管理技巧,Microsoft 产品支持服务人员成功地使用这些技巧对常见错误进行疑难解答。
每次仅更改一项配置
需要记住的最重要疑难解答技巧是:每次只应更改一项设置或配置。通过只更改一项设置,您可以仔细跟踪更改前后的行为,从而可确定是哪一项更改解决了问题。如果您需要与产品支持服务人员联系,每次只更改一项设置还可帮助他们缩小问题范围。
检查输入
最常见的 Outlook Web Access 登录问题之一是键入密码错误。如果用户不能访问其邮箱,请让该用户再次确定他或她是否犯了打字错误。还要确保没有启用 CAPS LOCK 键。
使用单个用户帐户
确保对所有测试使用同一个非管理员帐户。原则上,应在开始疑难解答前创建此帐户,而不应使用现有帐户。通过使用新帐户,您可以确保该帐户不存在旧问题。
如果使用新帐户解决了问题
如果仅一个用户帐户发生了某个问题,请将该用户的 Active Directory® 目录服务配置选项与另一正常用户帐户的配置选项相比较。
在多个客户机上验证问题
有时,某个问题可能只在某一特定的客户机上发生。验证您是否可以在多台客户机上重现此问题。如果发现只能在一台客户机上重现此问题,则可以大大缩小问题原因的范围。
尝试使用不同的浏览器或电子邮件程序登录
如果最初是在使用 Microsoft Internet Explorer 5 与 Outlook Web Access 时遇到了问题,请尝试使用 Netscape Navigator。如果最初是在使用 Netscape Navigator 时遇到了问题,请尝试使用 Internet Explorer。
Outlook Web Access 有两种形式,即“胖”客户端形式和“延伸”客户端形式。在运行 Microsoft Windows 或 Sun Solaris 的计算机上运行 Internet Explorer 5 或其更高版本的用户使用胖客户端,它为用户提供全部功能。所有其他浏览器(如 Internet Explorer 4.x 或 Netscape Navigator)的用户使用延伸客户端。
胖客户端利用运行 Internet Explorer 5 或其更高版本的计算机上的现有控件,来与 Exchange 服务器一起执行自定义请求。Internet Explorer 5 或其更高版本使用动态超文本标记语言 (DHTML) 来呈现内容项,并使 Outlook Web Access 的外观类似于 Outlook。
延伸客户端使用较简单的 HTML 3.2 和欧洲计算机制造商协会 (ECMA) 脚本来呈现视图和内容项。Internet Explorer 4.x、Netscape Navigator、Opera、Pocket Internet Explorer 和所有其他浏览器都使用延伸客户端。
不同的浏览器也都分别支持不同的身份验证机制。例如,如果您不能使用 Internet Explorer 5 登录,但可以使用 Pocket Internet Explorer 登录,则可能是贵组织的 NTLM 身份验证或 Kerberos 身份验证中的配置有问题。
您还可以使用 Outlook(带有 Exchange Server 服务)或 Outlook Express(采用一个邮政协议 [POP] 或 Internet 邮件访问协议 [IMAP] 帐户)来访问有问题的邮箱。如果使用这些非 Outlook Web Access 客户程序无法访问该帐户,则该问题可能并非特定于 Outlook Web Access。
请求身份验证时使用 <域>\<用户名> 格式
当用户在 Outlook Web Access 中访问邮箱时,他们的 Web 浏览器会打开一个对话框,提示他们输入凭据。此对话框可能有两个字段(用户名和密码),或者可能有三个(用户名、密码和域),具体取决于用户当前使用的浏览器的类型和版本。用户名的默认形式是:域名,后面是反斜杠 (\),再后面是用户的别名或用户名。在对错误进行疑难解答时,如果您在贵组织中配置了非默认身份验证选项(如通用原则名称 [UPN] 用户名,或默认域),请不要使用这些选项。每次都要使用 <域>\<用户名> 格式开始疑难解答。
如果使用 <域>\<用户名> 格式解决了问题
如果在使用 <域>\<用户名> 格式时可以访问邮箱,但在使用 UPN 用户名或默认域时不能访问邮箱,请检查 Exchange System Manager(Exchange 系统管理器)中的默认域设置。
下面的步骤讲述如何验证默认 HTTP 虚拟服务器以及您或您的组织创建的任何 HTTP 虚拟服务器上的默认域设置。您必须通过 Internet 服务管理器来管理默认的 HTTP 虚拟服务器,而使用 System Manager(系统管理器)管理您创建的任何 HTTP 虚拟服务器。
在 Internet 服务管理器中验证默认域设置(对默认 HTTP 虚拟服务器)
1.单击开始,指向程序,再指向管理工具,然后单击 Internet 服务管理器。
2.如果需要,请单击展开本地计算机对象,然后单击展开 Web 站点。
3.右键单击默认 Web 站点,然后单击属性。
4.在目录安全性选项卡上的匿名访问和验证控件下,单击编辑。
5.在身份验证方法中,在已验证身份的访问下,在默认域中,验证您的域是否已正确列出,没有打字错误或拼写错误。对于 UPN 用户名,只应列出一个反斜杠 (\)。
在“系统管理器”中验证默认域设置(对所有其他 HTTP 虚拟服务器)
1.单击开始,指向程序,再指向 Microsoft Exchange,然后单击 System Manager(系统管理器)。
2.单击展开管理组、有问题的管理组、服务器、有问题的 Exchange 服务器、协议,然后单击 HTTP。
3.右键单击有问题的 HTTP 虚拟服务器,然后单击属性。
4.在访问选项卡上,单击身份验证。
5.在身份验证方法中,在默认域中,验证您的域是否已正确列出,没有打字错误或拼写错误。对于 UPN 用户名,只应列出一个反斜杠 (\)。
如果正确列出了默认域,则可能未将设置复制到 Exchange 服务器的元数据库中。有关更多信息,请参见本文中下面的“确保复制 IIS 设置”。
有关使用 UPN 登录的更多信息,请参见 Microsoft 知识库文章 Q243280“Users Can Log in Using User Name or User Principal Name”(用户可使用用户名或用户主要名称登录),网址是:http://go.microsoft.com/fwlink/?LinkId=3052&ID=243280。
使用完整的 URL 登录到邮箱
使用 Outlook Web Access,用户不需要知道其邮箱的完整 URL 就可以登录。用户键入 http://<服务器名>/exchange,然后在得到浏览器提示后,输入他们的用户名和密码。Exchange 使用用户名和密码信息来在 Active Directory 中查找用户邮箱的完整 URL。Exchange 然后将用户路由到正确的邮箱。
在进行疑难解答时,请始终使用邮箱的完整 URL,例如,http://<服务器名>/exchange/<用户名>。在您使用此完整 URL 时,Exchange 不执行使用简短 URL 时需要执行的 Active Directory 查找过程。
如果使用完整 URL 登录解决了问题
如果您可以使用完整 URL 访问邮箱,但不能使用简短的 URL 访问邮箱,则访问问题可能与身份验证有关。
仅使用基本身份验证
如果用户无法访问某个资源,请将访问该资源的身份验证方法设置为“基本”身份验证。如果您认为访问问题的原因在于权限配置不当,则此步骤尤为重要。
下面的步骤讲述如何在默认 HTTP 虚拟服务器及您或您的组织创建的任何 HTTP 虚拟服务器上配置身份验证设置。您必须通过 Internet 服务管理器来管理默认的 HTTP 虚拟服务器,而使用系统管理器管理您创建的任何 HTTP 虚拟服务器。
安全警告 这些步骤只能用于疑难解答。为安全起见,除非您还使用了安易做图接字层 (SSL) 加密,否则一定不要将基本身份验证选作您的唯一身份验证方法。
在 Internet 服务管理器中设置基本身份验证(对默认 HTTP 虚拟服务器)
1.单击开始,指向程序,再指向管理工具,然后单击 Internet 服务管理器。
2.如果需要,请单击展开本地计算机对象,然后单击展开 Web 站点。
3.右键单击默认 Web 站点,然后单击属性。
4.在目录安全性选项卡上的匿名访问和验证控件下,单击编辑。
5.在身份验证方法中,在已验证身份的访问下,单击选择基本身份验证。在默认域中,键入贵组织的域名。
6.如果需要,单击清除所有其他身份验证方法。
在系统管理器中验证默认域设置(对所有其他 HTTP 虚拟服务器)
1.单击开始,指向程序,再指向 Microsoft Exchange,然后单击 System Manager(系统管理器)。
2.单击展开管理组、有问题的管理组、服务器、有问题的 Exchange 服务器、协议,然后单击 HTTP。
3.右键单击有问题的 HTTP 虚拟服务器,然后单击属性。
4.在访问选项卡上,单击身份验证。
5.在身份验证方法中,单击选择基本身份验证。在默认域中,键入贵组织的域名。
6.如果需要,请单击清除匿名访问和集成的 Windows 身份验证。
您可能至少需要等 15 分钟来让您的身份验证设置复制到 Exchange 元数据库。有关更多信息,请参见本文中下面的“确保复制 IIS 设置”。
如果使用基本身份验证解决了问题
如果使用基本身份验证而不使用任何其他身份验证方法允许您访问邮箱,则访问问题或者是由集成的 Windows 身份验证引起的,或者是由匿名访问引起的。
集成的 Windows 身份验证即 Exchange 服务器上注册的 Windows 2000 身份验证机制,例如 NTLM 和 Kerberos。NTLM 仅在 Internet Explorer 4.x 及更高版本中受支持。Kerberos 仅在 Internet Explorer 5 及其更高版本中受支持。
如果在您选择“集成的 Windows 身份验证”后发生了此问题,请检查是否在 Internet Explorer 5 或其更高版本以外的其他浏览器中发生此问题(例如 Internet Explorer 4.x),因为这一浏览器不支持集成的 Windows 身份验证。如果在 Internet Explorer 4.x 等浏览器中不发生此问题,则此访问问题很可能与集成的 Windows 身份验证有关。
二、有什么症状?
您看到的什么情况表明 Outlook Web Access 不能正常使用?本节讲述最常见的访问问题症状。
HTTP 和 IIS 错误
HTTP 错误是用户尝试登录 Outlook Web Access 时最常见的症状。因为浏览器中可能收到的 HTTP 错误有若干种不同情况,所以错误代码对于确定是什么错误很有用。如前所述,即使错误代码不能帮助您解决问题,也可能对 Microsoft 产品支持服务人员有帮助。
如果您尝试访问 Outlook Web Access 时在浏览器中看到了错误,请记下错误代码。例如,在图 1 中所示的 HTTP 错误 HTTP/1.1 404 Not Found(HTTP/1.1 404 未找到)中,404 就是错误代码。
图 1 一个 HTTP 错误
除 HTTP 错误代码外,IIS 也会在 Web 浏览器中显示它自己的错误代码。这些错误代码一般表示为两组数字,例如:
-2146893055 (0x80090301)
“友好”HTTP 错误消息
Microsoft Internet Explorer 有一种功能可让用户只显示“友好”错误消息,即措辞简明并且没有错误代码的消息。如果您认为您收到了一条错误消息,但看不到错误代码,则可能在出现问题的浏览器上激活了友好 HTTP 错误消息(此功能在默认情况下为关闭状态)。下面的步骤讲述如何关闭友好 HTTP 错误消息。
关闭 Internet Explorer 中的友好 HTTP 错误消息
1.在 Internet Explorer 中的工具菜单中,单击 Internet 选项。
2.单击高级选项卡。
3.在浏览下,单击清除显示友好 HTTP 错误消息。
Outlook Web Access 对话框中的错误
用户可能会看到图 2 中所示的另一种 IIS 或 HTTP 错误。在这种错误中,Outlook Web Access 检测到一个 HTTP 或 IIS 问题,然后显示一个错误对话框,而不是在浏览器窗口中显示一个错误。
图 2 Outlook Web Access 显示的错误对话框示例
如想在此类情况下看到完整的错误,请捕捉您的客户端和服务器之间的一个 HTTP 通讯快照。错误代码很可能会出现在该快照中。
Outlook Web Access 中的不正常行为
Outlook Web Access 中的不正常行为是另一种表明有问题的迹象。下面是一些不正常行为的示例:
*左框架中的导航栏正常显示,但显示文件夹内容的右框架不能正常显示。
*内容框架中正在加载…这一句的显示时间特别长,而该文件夹中的内容项列表一直不显示。
*您收到一个脚本错误。
在 Internet Explorer 中,您可以配置浏览器,使其向用户显示脚本错误(默认情况此功能为关闭状态)。显示脚本错误可帮助管理员对 Outlook Web Access 错误进行疑难解答。
在 Internet Explorer 中显示脚本错误
1.在 Internet Explorer 中的工具菜单中,单击 Internet 选项。
2.单击高级选项卡。
3.在浏览下,单击选择显示每个脚本错误的通知。
三、这些症状说明了什么?
在确定您遇到的错误的症状后,如何确定这些症状的原因?本节按类别列出了常见 Outlook Web Access 错误症状,并就可能的原因和解决方法为您提供了建议。
错误类别:HTTP 错误
本节讲述 HTTP 错误症状及其可能的原因和解决方法。
*症状
*401 拒绝访问
*401 登录失败
*可能的原因和解决方法
*用户名或密码不正确。验证是否有打字错误以及是否按下了 CAPS LOCK 键。
*用户名输入格式不正确。例如,如果服务器未配置为使用 UPN 登录,则您会在使用一个电子邮件地址登录 Outlook Web Access 时看到此错误。
*您刚创建了此用户帐户。该帐户需要几分钟才能正确初始化。若要加快此过程,请尝试向该帐户发送一个邮件,或使用由 Exchange 服务器为其提供服务的 Outlook 配置文件登录。
*如果在您访问 http://<服务器>/exchange 时收到一个 401 拒绝访问错误,在访问 http://<服务器>/exchange/<用户名> 时收到 404 未找到错误,则您在尝试验证其身份的用户可能没有一个简单邮件传输协议 (SMTP) 地址与在 Exchange 系统管理器中虚拟目录的属性中设置的 SMTP 域相匹配。有关更多信息,请参见 Microsoft 知识库文章 Q293386“XWEB: Error Message: HTTP/1.0 401 or 404”(XWEB:错误消息:HTTP/1.0 401 或 404),网址是 http://go.microsoft.com/fwlink/?LinkId=3052&ID=293386。
*您在 Davex.dll(或 Exprox.dll,如果它是前端服务器)上的 NTFS 权限不正确。为安全起见,请确保已验证身份的用户对 %SystemRoot%\system32 和 Exchsrv\Bin 目录拥有最小的读取和执行权限。
*症状
403 拒绝访问
*可能的原因和解决方法
*用户已成功验证身份,但无法访问此资源。如果适合,请授予用户访问此资源的权限。
*用户尝试使用一个以 http:// 开头的 URL 访问服务器,但是要求 SSL。用户必须键入 https:// 才能访问服务器。
*已对用户尝试访问的 Exchange 虚拟目录禁用目录浏览。如果适合,请启用目录浏览。
*症状
*404 未找到
*可能的原因和解决方法
*指定的位置不存在请求的内容项。如果 Outlook Web Access 以前显示的内容项后来在 Outlook 中删除了,则可能会发生此错误。Outlook Web Access 中的视图不自动刷新;如果您在 Outlook 中删除一个内容项,稍后尝试在 Outlook Web Access 打开该项,则会收到此错误,因为在服务器上的这个位置已不存在该内容项。
*如果您在访问 http://<服务器>/exchange 时收到一个 401 拒绝访问错误,或在访问 http://<服务器>/exchange/<用户名> 时收到一个 404 未找到错误,则您在尝试验证其身份的用户可能没有一个 SMTP 地址与 Exchange 系统管理器中对应的 SMTP 虚拟目录上设置的 SMTP 域相匹配。有关更多信息,请参见 Microsoft 知识库文章 Q293386“XWEB: Error Message: HTTP/1.0 401 or 404”(XWEB:错误消息:HTTP/1.0 401 或 404),网址是 http://go.microsoft.com/fwlink/?LinkId=3052&ID=293386。
*您在 IIS 中配置了 URLscan,该配置阻止请求。有关更多信息,请参见 Microsoft 知识库文章 Q309508“XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment”(XCCC:Exchange 环境中的 IIS 锁定和 URLscan 配置),网址是:http://go.microsoft.com/fwlink/?LinkId=3052&ID=309508。
*如果您是从 Microsoft Exchange Server 5.5 版中的 Outlook Web Access 升级此服务器的,则仍可以配置 Exchfilt.dll,使处理 Outlook Web Access 的本地化。有关更多信息,请参见 Microsoft 知识库文章 Q288123“HTTP Error 404 'Page Cannot Be Displayed' When You Attempt to Connect to the OWA Server”(尝试连接到 OWA 服务器时出现 HTTP 错误 404 ‘页面无法显示’),网址是 http://go.microsoft.com/fwlink/?LinkId=3052&ID=288123。
*Outlook Web Access 运行所在的虚拟目录可能有一些绑定(IP 地址、主标题或 TCP 端口)与用户在 Web 浏览器中键入的不相同。例如,如果在 IIS 中在 Exchange 虚拟目录上设置了一个主机标题 myserver.fabrikam.com ,而用户键入 http://myserver/exchange 来访问他们的邮箱,则他们可能会收到 404 未找到错误,因为两个 URL 不完全匹配。若要修正这种不一致现象,请在虚拟目录中添加另一个叫做 myserver 的主机标题。类似地,TCP 端口或 IP 地址可能与用户当前用于访问 Outlook Web Access 的 TCP 端口或 IP 地址不同,这也可能会导致出现 404 未找到错误。
注 Internet 服务管理器中的主机标题与系统管理器中的主机名相同。
*症状
*405 不允许的方法
*可能的原因和解决方法
*如果未明确允许运行脚本和可执行文件,而您尝试运行 Active Server Page (.asp) 或访问一个动态链接库 (.dll) 文件,则可能看到此错误。若要纠正此错误,请允许脚本和可执行文件运行,但应知道允许您的 Web 站点上运行可执行文件会带来潜在的安全风险。
*症状
*500 内部服务器错误
*可能的原因和解决方法
*用户的浏览器(例如 Internet Explorer 6)支持 Kerberos 身份验证,而客户机与 Exchange 服务器之间的时钟设置差大于 5 分钟。设法使两台计算机的时间同步。
*如果 Exchange 服务器无法与 Active Directory 服务器联系,则可能发生此错误。最常见是外围网络(又称 DMZ、非军事区和屏蔽子网)中的前端服务器的问题,在此服务器上,内部防火墙上相应的端口未打开,因而不允许前端服务器与 Active Directory 联系。
*前端服务器不在任一已配置的网络子网中;发生此情况的通常原因是:您将一个前端服务器移到了一个外围网络中,但没有接着在 Active Directory 站点和服务中配置外围网络子网。若要配置有问题的子网,请使用 Active Directory 站点和服务 Microsoft 管理控制台 (MMC) 管理单元。
*在 IIS 中任何时间进行身份验证常常失败。有关更多信息,请参见本文中后面的“如何确定是 Exchange 还是 IIS 导致错误”。如果按该节中的步骤操作后仍不能解决问题,则您遇到的可能是 IIS 身份验证失败。验证 IIS 是否能够至少与一个域控制器联系。
*如果您在尝试运行 Exchange 虚拟目录中的某个应用程序(例如 .asp 文件)时收到此错误,则可能是因为您没有启用应用程序保护。有关更多信息,请参见本文中后面的“在 IIS 中验证虚拟服务器和目录权限”。
*症状
*503 没有服务
*可能的原因和解决方法
*此错误通常表明 Microsoft Exchange 信息存储服务当前未运行,或邮箱数据库未装入。如果您通过一个前端服务器访问 Outlook Web Access,请验证在包含该邮箱的后端服务器上是否在运行此服务。
*如果您在访问一个不指向 Exchange 邮箱或公共文件夹的虚拟目录时看到此错误,则可能是某个人在 Exchange 系统管理器下创建了一个虚拟服务器,然后又在 IIS 中在该虚拟服务器下创建了一个虚拟目录。这种不一致导致配置无效。有关更多信息,请参见 Microsoft 知识库文章 Q282230“XGEN: Error Message 'HTTP/1.1 503 Service Unavailable' on Multiple Web Sites on SingleServer”(XGEN:在单个服务器的多个 Web 站点上出现错误消息‘HTTP/1.1 503 没有服务’),网址是 http://go.microsoft.com/fwlink/?LinkId=3052&ID=282230。
错误类别:IIS 错误
本节讲述 IIS 错误症状及其可能的原因和解决方法。
*症状
*-2146893055 (0x80090301)
*可能的原因和解决方法
*此错误说明您使用了一个能够进行 Kerberos 身份验证的浏览器,但客户机和服务器之间的时钟设置差大于 5 分钟。若要解决此问题,请让两台计算机的时间同步;或者,如果想允许客户机和服务器之间的时间差有更大灵活性,请增大域策略中的 Kerberos 时间偏差。如想获得一种较长期的解决方案,请使用“Windows 时间服务”来使该域中所有计算机的时间都同步。
错误类别:Outlook Web Access 行为
本节讲述一些表明可能有问题的 Outlook Web Access 行为及其可能的原因和解决方法。
*症状
*您在下载一个附件时收到多个提示。
*可能的原因和解决方法
*服务器安装了 Exchange 2000 Server Service Pack 1 (SP1)。请尝试升级到一个较新的服务包。
*症状
*左框架中的导航栏正常显示,但显示文件夹内容的右框架不能正常显示。
*内容框架中正在加载…这一句的显示时间特别长,而该文件夹中的内容项列表一直不显示。
*您收到一个脚本错误。
*可能的原因和解决方法
*如果在使用 Internet Explorer 5 或其更高版本时出现这些症状中的任何一种,但在使用任何其他服务器时未出现,则错误原因可能是:客户机和服务器之间的一个防火墙或代理服务器阻止了来自客户机上的浏览器的请求。有关更多信息,请参见 Microsoft 知识库文章 Q296232“XCCC: Empty Inbox When Using Internet Explorer 5 and Later to Gain Access to OWA”(XCCC:使用 Internet Explorer 5 及更高版本访问 OWA 时收件箱为空),网址是 http://go.microsoft.com/fwlink/?LinkId=3052&ID=296232。
*用户的浏览器没有设置首选语言。若要在 Internet Explorer 中设置首选语言,请在工具菜单上选择 Internet 选项。在常规选项卡上,单击语言,然后单击添加。
*您在 IIS 中配置了 URLscan,该配置阻止请求。有关更多信息,请参见 Microsoft 知识库文章 Q309508“XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment”(XCCC:Exchange 环境中的 IIS 锁定和 URLscan 配置),网址是:http://go.microsoft.com/fwlink/?LinkId=3052&ID=309508。
*如果出现上述症状中的任何一种,请确保 IIS 中的 Exchweb\bin 虚拟目录拥有适当的执行权限。
确保您拥有适当的执行权限
*单击开始,指向程序,再指向管理工具,然后单击 Internet 服务管理器。
*单击展开 Web 站点,然后单击展开 Exchweb。
*在控制台窗格中,右键单击 bin,然后单击属性。
*在虚拟目录选项卡上的应用程序设置下,检查是否选中了执行许可旁边的 Scripts and Executables(脚本和可执行文件)。
*症状
*框架可显示出来,但尽管内容框架中显示正在加载…,却没有加载任何图像或图标。
*可能的原因和解决方法
*错误原因可能是 <驱动器>:\Exchsrvr\Exchweb 目录中的 NTFS 权限不正确。确保已验证身份的用户和匿名帐户对此目录及其下的所有目录至少拥有读权限。
*IIS 中 Exchweb 虚拟目录的身份验证设置不正确。尝试对虚拟目录启用匿名访问。启用匿名访问意味着您必须正确配置匿名帐户,而且匿名帐户必须对服务器拥有在本地登录权限。有关更多信息,请参见 Microsoft 知识库文章 Q280823“XCCC: OWA 2000 Icons and Folder Items Are Not Displayed”(XCCC:不显示 OWA 2000 图标和文件夹项),网址是 http://go.microsoft.com/fwlink/?LinkId=3052&ID=280823。四、其他疑难解答步骤
本节中的步骤用于对您在上文中确定的问题范围集中进行疑难解答。下面各节还包含用于在 Outlook Web Access 中检查错误的更多最佳做法。
如何确定是 Exchange 还是 IIS 导致的错误
Outlook Web Access 与 IIS 紧密集成在一起。因此,IIS 中的问题可能会传播,使 Outlook Web Access 也出现问题。本节包含一系列步骤,旨在帮您确定在贵组织中是不是 IIS 导致了 Outlook Web Access 错误。以下步骤描述如何:
*在 IIS 中创建新的虚拟目录。
*对新的虚拟目录启用基本身份验证并禁用匿名访问。
*在该目录中添加一个示例 HTML 文档。
*验证您是否可以从 Web 浏览器访问该文档。
如果您能够访问该示例 HTML 文档,则说明问题与 IIS 无关。如果按这些步骤操作后仍不能访问该文档,则问题可能与 Exchange 和 Outlook Web Access 无关,因而应当检查您在 IIS 中所设置的权限或其他配置。
注 有关检查权限的更多信息,请参见 Microsoft 知识库文章 Q187506“List of NTFS Permissions Required for IIS Site to Work”(IIS 站点正常运行所需要的 NTFS 权限列表),网址是 http://go.microsoft.com/fwlink/?LinkId=3052&ID=187506。
如何在 IIS 中创建新的虚拟目录
1.单击开始,指向程序,再指向管理工具,然后单击 Internet 服务管理器。
2.在 Internet 信息服务中,单击展开本地计算机对象,然后单击展开 Web 站点。
3.右键单击默认 Web 站点,指向新建,然后单击虚拟目录。虚拟目录创建向导便打开了。单击下一步。
4.在虚拟目录别名中,为该虚拟目录键入一个名称(例如 test),然后单击下一步。
5.在Web 站点内容目录中,键入将可通过此虚拟目录访问的本地硬盘上的路径。例如,在您的硬盘上创建一个名为 test 的目录,并在向导中指向此目录。
在访问权限中,让读处于选中状态,而清除所有其他复选框。单击下一步以完成该向导。
如何启用基本访问并禁用匿名访问
1.在 Internet 信息服务中,右键单击您的新虚拟目录,然后单击属性。
2.在目录安全性选项卡上的匿名访问和验证控件下,单击编辑。
3.在身份验证方法中,在已验证身份的访问下,单击选择基本身份验证,然后单击清除所有其他选项。只应选择基本身份验证。
如何在此虚拟目录中创建文件
1.单击开始,然后单击运行。
2.在运行中,键入 notepad.exe,然后单击确定。
3.在记事本中,键入一些简单的 HTML 文本,例如 "<B>This is a test</B>"(有没有引号都可以)。
4.在您的虚拟目录中使用 .htm 扩展名保存该文件(不要使用默认扩展名 .txt)。
如何使用 Web 浏览器访问此文件
1.打开您的 Web 浏览器。
2.键入下面的 URL:http://<服务器名>/<虚拟目录名>/<文档名>。如果您的服务器名是 myserver,而且您已将您的虚拟目录命名为 test,并将您的文档命名为 test.htm,则应当键入 http://myserver/test/test.htm。
注 在上面 <服务器名> 的位置,您可能需要输入主机标题或完全限定域名(例如 server.fabrikam.com)。您也可以使用服务器的 IP 地址。
重要说明 若要访问在 Internet 服务管理器 MMC 管理单元中创建的虚拟目录中的文件,您使用的帐户必须有在本地登录权限(Outlook Web Access 不要求这些权限)。
检查文件系统权限
任何用于对 Outlook Web Access 错误进行疑难解答的帐户都必须对运行 Exchange 的计算机上的以下目录拥有读取和执行权限:
*WinNT\system32\
*WinNT\System32\inetsrv\
*Program Files\Exchsrvr\bin\
*Program Files\Exchsrvr\RES\
*WinNT\System32\wbem\
*Program Files\Exchsrvr\Exchweb\
设置对目录的读取和执行权限
1.单击开始,指向程序,再指向附件,然后单击 Windows 资源管理器。
2.右键单击所需要的目录,然后单击权限。
3.选择您要在进行疑难解答时使用的组或帐户,然后单击选择读取和执行(如果需要)。
检查用户权限
验证您是否可以从网络上的另一计算机访问 Exchange 服务器上的文件共享区。下面的步骤描述如何通过共享一个文件然后从另一计算机访问该共享文件来实现此目的。
创建一个共享文件
1.单击开始,指向程序,再指向管理工具,然后单击 Internet 服务管理器。
2.在 Internet 信息服务中,右键单击一个虚拟目录(例如您在本文中前面的“如何确定是 Exchange 还是 IIS 导致的错误”一节中创建的测试目录),然后单击权限。
3.单击添加,在 Select Users, Computers, or Groups(选择用户、计算机或组)中,键入您要在进行疑难解答时使用的帐户,然后单击确定。
4.选择您添加的帐户,然后检查是否选择了读旁边的允许。此步骤可确保您的帐户对共享目录拥有读权限。
访问该共享文件
1.在网络中的另一计算机上,单击开始,然后单击运行。
2.键入 \\<服务器名>\<共享名>,其中 <共享名> 是您在上面的设置共享步骤中配置的目录的名称。
在系统管理器中查看虚拟服务器和目录权限
在 IIS 中,您可以对虚拟目录或虚拟服务器设置权限,以允许以下操作:
*读访问 读取和打开公告、邮件等。
*写访问 在公共文件夹中张贴公告,发送邮件,等等。
*脚本资源访问 下载脚本的源代码,而非运行脚本。
*目录浏览 查看一个文件夹的内容。
*执行许可 运行脚本或可执行文件。
确保按照您的组织的需要配置这些权限。例如,如果您将一个虚拟目录仅用于访问一个邮箱服务器,则默认设置为启用读、写、脚本资源访问和目录浏览权限,而执行许可设置为无。
在 IIS 中验证虚拟服务器和目录权限
本节讲述如何使用 Internet 服务管理器 MMC 管理单元来确保 Outlook Web Access 使用的 IIS 目录的权限已正确分配。
打开 Internet 服务管理器
*单击开始,指向程序,再指向管理工具,然后单击 Internet 服务管理器。
在 Internet 信息服务中,验证下面的权限是否正确。
验证对 Exchweb 虚拟目录的权限
1.在[b] Internet 信息服务[b]中,单击展开本地计算机对象,单击展开 Web 站点,然后单击默认 Web 站点。
2.在细节窗格中,右键单击 Exchweb,然后单击属性。
3.在虚拟目录选项卡上,验证读是否已选中。
验证对 Exchweb\bin 虚拟目录的权限
1.在 Internet 信息服务中,单击展开本地计算机对象,单击展开 Web 站点,单击展开默认 Web 站点,然后单击 Exchweb。
2.在细节窗格中,右键单击 bin,然后单击属性。
3.在虚拟目录选项卡上,验证:
*读已选中
*在应用程序设置下,执行许可已设置为 Scripts and Executables(脚本和可执行文件)
Exchweb\bin 中的应用程序保护
Outlook Web Access 使用的 ASP 页存储在 Exchweb\bin\<lang> 文件夹中(其中 <lang> 指语言)。如想使任何 ASP 页运行,必须对 Exchweb\bin 虚拟目录或其父目录之一启用应用程序保护。应用程序保护确定应用程序是与 Web 服务在同一进程中运行,在所有应用程序共享的独立汇集进程中运行,还是在与其他应用程序分离的独立汇集进程中运行。
如果您在访问 Exchweb\bin\<lang> 目录中的一个 ASP 页时收到 HTTP 500 错误,但在 Exchweb 中检索其他项(如 .gif 文件)能够正常进行,则可能是对 Exchweb\bin 目录、Exchweb 目录或 HTTP 虚拟服务器未启用应用程序保护。
启用应用程序保护
1.在 Internet 信息服务中,单击展开本地计算机对象,单击展开 Web 站点,单击展开默认 Web 站点,然后单击 Exchweb。
2.在细节窗格中,右键单击 bin,然后单击属性。
3.在虚拟目录选项卡的应用程序设置下,单击创建。
4.在应用程序保护列表中,选择适当的保护级别:低(IIS 进程)、中等(池)或高(独立)。
确保复制 IIS 设置
Exchange 将配置信息存储在 Active Directory 中,IIS 将配置信息存储在元数据库(计算机上的一个本地数据库)中。Exchange System Attendant(Exchange 系统助理)服务确保将 Exchange HTTP 虚拟服务器的配置信息复制到本地元数据库,从而使 IIS 能够访问这些信息。
这种复制只能单向进行;所以,在元数据库 (IIS) 中所作的更改不会复制给 Active Directory (Exchange)。因此,某些配置更改必须在系统管理器(而非 Internet 服务管理器)中进行。复制过程在系统助理运行时每隔 15 分钟发生一次,或者在 Exchange 系统管理器中执行更改后也会立即进行复制。
当您在 Internet 服务管理器中查看 IIS 配置设置时,您就是直接在元数据库中查看配置。如果某个复选框在 IIS(Internet 服务管理器)中未选中,但它在 Exchange(系统管理器)中选中了,则在目录中选中的属性的值有效,但元数据库中的这个值无效。
使用系统管理器,仅在 Exchange 中设置以下配置:
*除默认 Exchange HTTP 虚拟服务器以外的虚拟服务器的主机标题和 IP 地址
*身份验证方法
*读/写和其他权限
使用 Internet 服务管理器,仅在 IIS 中设置以下配置:
*默认虚拟服务器的主机标题和 IP 地址
*安易做图接字层 (SSL)
*HTTP 登录
作为一般规则,如果系统管理器中存在执行操作的 UI,则请使用系统管理器。如果系统管理器中没有所需的 UI,请使用 Internet 服务管理器。
复制问题症状
有两种主要症状表明从 Exchange 到 IIS 的复制过程可能有问题:
*如果您以某种方式配置一个选项,但 20 分钟后发现该选项已重置,则可能是您在 Internet 服务管理器中配置了一个本应在系统管理器中配置的选项。
*如果您在系统管理器中配置了一个选项,但该配置没有以同样的配置设置出现在 Internet 服务管理器中(等 30 分钟让复制完成),则很可能根本没有发生复制。验证“系统助理”是否在运行,并验证计算机是否能访问 Active Directory。
五、疑难解答工具
本节讨论可用来帮助您对常见 Outlook Web Access 问题(例如本文讨论的问题)进行疑难解答的一些工具。
*网络监视器 网络监视器用于监视通讯量并判定前端服务器和其他服务器之间发生的确切情况。设置一个与服务器连接的客户端,监视客户端浏览器和 Exchange 服务器之间的通讯量。如果您使用 SSL,将无法查看网络通讯量,因为它是加密的。
*事件查看器 事件日志文件用于提供可帮助您缩小问题范围的错误号和错误描述。查找事件 ID,并在 Microsoft 知识库中搜索这些 ID。这些项可提供问题的线索。
*IIS 日志 使用 IIS 日志文件可让您知道访问了哪些资源,以及返回到浏览器的任何错误。这些日志文件在使用了 SSL 而网络监视器选项不可用的情况下尤其有用。
*不同的浏览器 使用一个以上的浏览器来重现问题。正如前面所提到的,最好使用一个以上的浏览器或客户机来重现问题。除主浏览器外,再安装一些浏览器。遇到问题后,尝试使用多个浏览器重现这些问题。
其他资源
Q243280 Users Can Log in Using User Name or User Principal Name(用户可使用用户名或用户主要名称登录)
http://go.microsoft.com/fwlink/?LinkId=3052&ID=243280
Q293386 XWEB: Error Message: HTTP/1.0 401 or 404(XWEB:错误消息:HTTP/1.0 401 或 404)
http://go.microsoft.com/fwlink/?LinkId=3052&ID=293386
Q309508 XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment(XCCC:Exchange 环境中的 IIS 锁定和 URLscan 配置)
http://go.microsoft.com/fwlink/?LinkId=3052&ID=309508
Q288123 HTTP Error 404 'Page Cannot Be Displayed' When You Attempt to Connect to theOWA Server(尝试连接到 OWA 服务器时出现 HTTP 错误 404 ‘页面无法显示’)
http://go.microsoft.com/fwlink/?LinkId=3052&ID=288123
Q282230 XGEN: Error Message 'HTTP/1.1 503 Service Unavailable' on Multiple Web Sites onSingle Server(XGEN:在单个服务器的多个 Web 站点上出现错误消息‘HTTP/1.1 503 没有服务’)
http://go.microsoft.com/fwlink/?LinkId=3052&ID=282230
Q296232 XCCC: Empty Inbox When Using Internet Explorer 5 and Later to Gain Access to OWA(XCCC:使用 Internet Explorer 5 及更高版本访问 OWA 时收件箱为空)
http://go.microsoft.com/fwlink/?LinkId=3052&ID=296232
Q280823 XCCC: OWA 2000 Icons and Folder Items Are Not Displayed(XCCC:不显示 OWA 2000 图标和文件夹项)
http://go.microsoft.com/fwlink/?LinkId=3052&ID=280823
Q187506 List of NTFS Permissions Required for IIS Site to Work(IIS 站点正常运行所需要的 NTFS 权限列表)
http://go.microsoft.com/fwlink/?LinkId=3052&ID=187506
有关更多信息,请访问:http://www.microsoft.com/exchange/
————————————————————————————————————
©2002 Microsoft Corporation.保留所有权利。
Microsoft、Active Directory、Outlook 和 Windows 是 Microsoft Corporation 在美国和/或其他国家的注册商标或商标。
此处提到的实际公司和产品名称可能是其各自所有者的商标。
上一个:如何在OWA中修改密码
下一个:限制用户从Internet收发邮件