Проблема с олицетворением в Exchange Server 2010

Question

Я пытаюсь использовать олицетворение в своем приложении для подключения к почтовым ящикам пользователей и добавления / удаления встреч.

Я создал учетную запись с именем "EWSAdmin" и выполнил на них следующие команды EMS:

New-ManagementScope -Name:"MyEWSImpersonation" -RecipientRestrictionFilter 
{memberofgroup -eq "cn=My User Container,DC=MyDomain,DC=local"}

New-ManagementRoleAssignment -Name:"MyEWSImpersonation" -Role:ApplicationImpersonation 
-User:"EWSAdmin@MyDomain.local" -CustomRecipientWriteScope:"MyEWSImpersonation"

Просто, чтобы запутать проблему, я также назвал свою область EWSImpersonation.

Когда я пытаюсь подключиться к почтовому ящику пользователя для просмотра встречи (с использованием сторонней библиотеки DLL), я получаю следующую ошибку:

Throwing GeneralException e=The account does not have permission to 
impersonate the requested user.

Если кто-нибудь может помочь мне диагностировать это,Я был бы признателен.

Спасибо

Ник

Answer 1

Мы столкнулись с этой проблемой по другой причине, я хочу поделиться ею здесь, потому что при поиске сообщения об ошибке появляется это сообщение и сообщение в TechNet, но не статьи КБ, которые в конечном итоге помогли нам решить проблему.

Оказывается, что существует ограничение на количество запросов, которые любой сервер Windows может сделать к Active Directory, в какой-то момент в службе NetLogon просто заканчиваются потоки, и начинают происходить все виды событий. Процесс описан в этой статье блога и этой статье КБ и этой статье КБ , исправление довольно простое, увеличьте число доступных тем с помощью простого смените ключ реестра на каждом сервере CAS в кластере Exchange.

Процесс прост:

1. Запустите редактор реестра.
2. Найдите следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. Создайте следующую запись реестра:

   Name: MaxConcurrentApi

   Type: REG_DWORD

   Value: Установите большее значение, которое вы тестировали (любое число больше значения по умолчанию).

4. В командной строке запустите net stop netlogon, а затем запустите net start netlogon.

Примечания

• Максимальное значение, которое можно настроить, зависит от версии операционной системы и наличия исправления.
• Максимальный настраиваемый параметр в Windows Server 2003 - 10.
• Максимальный настраиваемый параметр в Windows Server 2008 (без исправления, описанного в этой статье) - 10. С исправлением максимум - 150.
• Максимальный настраиваемый параметр в Windows Server 2008 R2 (без исправления, описанного в этой статье) - 10. С исправлением максимум - 150.

Если вы решите увеличить значение MaxConcurrentApivalue более чем на 10, нагрузка и производительность требуемого параметра должны быть проверены в непроизводственной среде перед внедрением в производство. Рекомендуется убедиться, что увеличение этого значения не вызывает других узких мест в ресурсах.

Answer 2

Было бы неплохо иметь пример для E2010, так как это не так просто, как в 2007 году.

Вот пример создания олицетворения EWS для группы. Любой участник группы будет выдавать себя за учетную запись службы. Просто добавьте дополнительных участников в группу, как того требуют требования. Два шага ... создать новую область управления, а затем назначение роли.

New-ManagementScope «Имя области» -RecipientRestrictionFilter {(MemberOfGroup -eq 'CN = имя группы, CN = Пользователи, DC = Contoso, DC = com')}

New-ManagementRoleAssignment -Name «ИМЯ РОЛЬ EWS» -Роль приложения олицетворение -Пользовательский домен \ Учетная запись службы -CustomRecipientWriteScope «Имя области»

Где «Имя области» - это область управления, созданная на первом этапе.

Answer 3

Я почти ничего не знаю о "административной" стороне настройки подражания для EWS, но, возможно, вы можете взглянуть на эту статью и сравнить свои действия с тем, что сделал этот парень, чтобы заставить его работать

http://www.thesoftwaregorilla.com/2010/06/exchange-web-services-example-part-3-exchange-impersonation/

в моей компании администратор настроил олицетворение в соответствии с msdn, и это работает для меня, поэтому я предполагаю, что это не так сложно, и, возможно, вы пропустили некоторые шаги или, может быть, стороннему dll нужна дополнительная магия.

ссылка на статью MSDN, если вы ее не знали: http://msdn.microsoft.com/en-us/library/bb204095.aspx