internet explorer脚本错误Outlook Web Access(OWA)基于表单的身份验证
在Exchange 2000中,用户访问OWA主页时,系统会弹出输入用户名和密码的对话框,在正常登录之后系统便会记录下该用户的登录凭据,直至用户登出(注:ISA Server 2004提供了基于表单的身份验证功能,我们可以利用ISA Server 2004来实现这一Exchange 2000所不具备的功能。由于这是ISA服务器所提供的功能,在此就不加赘述了)。显然,这对于企业来说是不够安全的。在Exchange Server 2003中,采用了基于表单的身份验证机制(Forms-Based Authentication,FBA,参见图1),当用户输入用户名和密码并登录OWA后,Internet Explorer会通过Cookie来控制用户的登录时间。
通过图1我们可以看到,登录OWA的时候,系统会让我们选择这是一台公共或共享计算机,还是一台私有计算机。两种选择所产生的Cookie会有所不同。若选择“公共或共享计算机”,你会有15分钟的时限,若15
分钟之内没有对OWA进行任何操作,Cookie会将当前OWA会话判为超时,此时若再进行任何操作,则会出现如图2所示的页面,返回登录页面。若选择“私有计算机”,则会有24小时的时限;此时,系统会提示“警告:选择此选项意
味着您承认该计算机遵守组织的安全性策略。”
Exchange Server 2003所支持的OWA的客户端有两种——高级(IE6默认,参见图3)和基本。当用户采用基本客户端登录的时候,速度较快,但有一定的功能限制。需要注意的是,如果用户采用基本客户端登录的话,在OWA页面中所进行的任何编辑工作(例如在点击“新建”按钮之后,编辑一封)都不会触发Cookie重新计算时间。而在高级模式中,页面中所进行编辑的动作则会触发Cookie。
对于某些组织来说,OWA默认的超时限制仍不够安全,我们可以通过在Exchange前端服务器上修改注册表来修改超时限制。
首先,以Exchange管理员身份登录Exchange服务器,并通过注册表编辑器打开如下注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb \OWA;随后,新建一个名为PublicClientTimeout的DWORD;最后,将其赋予一个合适的超时限制(1至43200,以分钟为单位)。
通过以上步骤,即配置好了新的“公共或共享计算机”超时限制,配置“私有计算机”的超时限制只需将PublicClientTimeout替换为TrustedClientTimeout即可。需要注意的是,若TrustedClientTimeout的值小
于PublicClientTimeout,则两者都会以最严格的时限为基准。另外,在修改注册表之后,需要重新起动“World Wide Web Publishing”服务方可使其生效。
前端服务器与后端服务器
许多公司采用前端服务器(Front-End Server,FE)/后端服务器(Back-End Server,BE)相接合的方式来管理Exchange服务器。前端服务器与Internet相连接,处理与Internet之间的信息交换,提供OWA等功能,并且从后端服务器获取信息。我们建议将所有的邮件存储建立在后端服务器之上(前端服务器选择框,请参考图4)。虽然我们在前端服务器上面仍然会维持一个邮件存储,当它仅是为了对外发送“未送达报告”(non-delivery
report,NDR)所用。
一般来说,在访问OWA出现问题的时候,如果存在前端服务器和后端服务器,我们所要做的第一个测试即是从公司内部网络访问后端服务器的OWA。如果后端服务器的OWA访问没有问题,则故障一般是由前端服务器的配置或者其他问题所导致。
欲了解关于前端服务器/后端服务器架构的细节,请参考“Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Server Topology Guide”
(www.microsoft/technet/prodtechnol/exchange/guides/E2k 3FrontBack/021dfbc2-1200-4aab-9ce2-08c62e6a6460.mspx)。
另外,请后端服务器为集服务器的用户注意微软知识库文章841561所描述的热点问题。当你以非管理员身份登录一台客户端计算机并访问后端集服务器(Exchange Server 2003 Service Pack 1)时,会出现“500 - Internal server error”。若你是该客户端的管理员,则一切正常。解决此问题,请立即在所有Exchange服务器上安装841561补丁程序。
"500 - Internal server error" error message when a user tries to access a clustered Exchange Server 2003 back-end server by using Outlook Web Access
support.microsoft/kb/841561
Outlook Web Access登录页面的常见故障排除
对于Exchange 2000来说,如果出现OWA登录页面
(ServerDomainName/Exchange)无法访问的故障,我们可以尝试使用 serverIP /Exchange/来进行访问。如果此时可以正常访问,该故障一般是由IIS的验证问题而导致的。
另外,如果不能够使用UPN名称进行登录,可参考微软知识库文章“Users Can Log On Using User Name or User Principal Name”
(support.microsoft/kb/243280)。
在这里需要补充一点,对于Small Business Server 2003的用户来说,默认是直接使用Username,而不是Domain\Username来进行登录的。在安装Exchange Server 2003 Service Pack 1之后,会出现两个问题,其中一个便是必须使用Domain\Username的方式进行登录。此时请安装微软知识库文章843539所描述之补丁程序 (注:此问题将在Windows Small Business Server 2003 Service Pack 1中被解决)。
确认Outlook Web Access故障信息
在确定故障出现在前端服务器之后,常用的故障排除步骤如下:
首先,我们需要建立一个新的普通用户,确保使用新的用户在同一台计算机上访问OWA也会产生同样的问题。这样我们可以保证故障不是因为用户的信
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论