403: Erro proibido ao tentar exibir informações gratuitas/ocupadas em toda a organização no Exchange
Número de KB original: 3082946
Resumo
Quando você tenta exibir informações gratuitas/ocupadas em toda a organização, a tentativa falha e gera um erro 403: proibido .
Por exemplo, você tem o Forest A em um servidor que está executando o Microsoft Exchange 2007 e o Forest B em um servidor que está executando Exchange Server 2013 ou Exchange Server 2010. Nessa situação, um usuário na Floresta A não pode ver as informações gratuitas/ocupadas de um usuário na Floresta B. Além disso, o seguinte evento é registrado no log de eventos no servidor de origem:
Log Name: Application
Source: MSExchange Availability
Date: Date
Event ID: 4002
Task Category: Availability Service
Level: Error
Keywords: Classic
User: N/A
Computer: <Computer Name>
Description:
Process <Process ID>[w3wp.exe:/LM/W3SVC/1/ROOT/EWS-1-130778800910201315]: Proxy request CrossForest from
Requester:S-1-5-21-1016748826-3068013645-1401187561-1105 to https://<ONLINE_URL>/EWS/Exchange.asmx failed.
Caller SIDs: . The exception returned is Microsoft.Exchange.InfoWorker.Common.Availability.ProxyWebRequestProcessingException:
System.Net.WebException: The request failed with HTTP status 403: Forbidden.
No servidor de destino, a seguinte entrada é registrada no log do Serviço de Informações da Internet (IIS), no diretório W3SVC1:
IIS Logs: 2015-06-08 04:19:25 <IP Address> POST /EWS/Exchange.asmx &CorrelationID=<empty>;&ClientId=JQJLGECZ0MGEHVVWEBZG&cafeReqId=9f422915-0721-48ce-b2c6-4406d2c1b49d; 443 domain\serviceaccount <IP Address> ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000 - 403 0 0 718
No servidor que está em execução Exchange Server 2013, a seguinte entrada é registrada no log HTTPProxy:
WebExceptionStatus=ProtocolError;ResponseStatusCode=403;WebException=System.Net.WebException: The remote server returned an error: (403) Forbidden. at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult) at Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass2c.<OnResponseReady>b__2b();
No servidor caixa de correio, a seguinte entrada é registrada no log do IIS, no diretório W3SVC2:
2015-06-08 04:16:29 <IP Address> POST /EWS/Exchange.asmx - 444 domain\serviceaccount 10.152.152.166 ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000 403 0 0 233
No servidor caixa de correio, a seguinte entrada é registrada no log do EWS:
AuthError=User not allowed to access EWS;,FaultInnerException=Microsoft.Exchange.Services.Core.Types.ServiceAccessDeniedException: Access is denied. Check credentials and try again.;ExceptionHandlerBase_ProvideFault_FaultException=System.ServiceModel.FaultException: Access is denied. Check credentials and try again. at Microsoft.Exchange.Services.Wcf.MessageInspectorManager.InternalAfterReceiveRequest(Message& request IClientChann
Motivo
Esse problema ocorre porque o EWS está bloqueado na Floresta B no nível da organização. A Floresta B permite que apenas aplicativos selecionados acessem o EWS. O EWS não é permitido para solicitações livres/ocupadas entre florestas.
Para marcar a configuração da organização, execute o seguinte comando:
Get-Organizationconfig | fl *ews*
Resolução
Para habilitar solicitações gratuitas/ocupadas entre florestas no nível da organização, você precisa adicionar o agente de usuário à lista Permitir EWS. Por exemplo, na situação descrita na seção "Resumo", adicione o caminho do agente de usuário a seguir.
Observação
Essas informações são retiradas de logs do IIS no servidor de destino.
ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.00
Em seguida, execute este comando:
Set-OrganizationConfig -EwsAllowList "ASProxy/CrossForest/EmailDomain/EXCH/08.03.0083.000","TestApp","app1"