Inicio > exchange > Problemas con el error 440 login timeout en OWA de Exchange 2007

Problemas con el error 440 login timeout en OWA de Exchange 2007

Fuente: http://gregorioparra.spaces.live.com/Blog/cns!3F1C5A97BDB2FA2E!936.entry 

Fuente: http://support.microsoft.com/kb/941201 

Este error  muestra por que es conveniente saber como fue la historia de instalacion de Exchange, sobretodo en nuestro entorno, en donde recurrentemente el servidor de Exchange es a su ves el Controlador de Dominio.Para el caso nuestro, no es lo mismo instalar un IIS y promover a DC que promover a DC e instalar un IIS, ya les cuento por que.Hace un tiempo, adelantando uno de mis escenarios de entrenamiento, tome como siempre una de las maquinas Windows Base que tengo previamente listas (esto ahorra un enorme tiempo, para el caso de 2003 solo ejecutar sysprep y listo! ).lo siguiente fue instalar IIS, despues de lo cual ejecute dcpromo, adicionandolo como controlador adicional.imagehasta ahi, no hay problema, despues de esto, esta maquina le instale Exchange Server 2007 SP1, ya que necesitaba una maquina en un sitio remoto con Exchange, la instalacion se efectuo sin problemas, y el servicio se establecio sin inconveniente alguno.al momento de ingresar a OWA, encontre esto:imagePero no habia error a nivel de app pool o de IIS, tampoco el CAS ofrecia informacion; asi que me dedique a investigar que sucedia.Ubique la herramienta Authentication and Access Control Diagnostics, con la cual  hice una traza, y encontre algo como esto: imageEsto indicaba que para la cuenta IUSR_MAQUINA, no habia autenticacion.Al tiempo, encontre este muy buen articulo de Microsoft, http://support.microsoft.com/kb/941201 [ Error message when you try to log on to Exchange 2007 by using Outlook Web Access: “440 Login Timeout” ], el cual indica que este error puede deberse a fallos en los sitios web de OWA, lo cual se soluciona ejecutando estas piezas de powershell en el CAS afectado.  

Remove-OwaVirtualDirectory "exchange (default web site)"
Remove-OwaVirtualDirectory "public (default web site)"
Remove-OwaVirtualDirectory "exchweb (default web site)"
Remove-OwaVirtualDirectory "owa (default web site)"

despues de locual ejecute esta otra parte, para adicionar los sitios  

New-OwaVirtualDirectory "exchange" -OwaVersion Exchange2003or2000 -VirtualDirectoryType Mailboxes -WebSiteName "Default Web Site"
New-OwaVirtualDirectory "public" -OwaVersion Exchange2003or2000 -VirtualDirectoryType PublicFolders -WebSiteName "Default Web Site"
New-OwaVirtualDirectory "exchweb" -OwaVersion Exchange2003or2000 -VirtualDirectoryType Exchweb -WebSiteName "Default Web Site"
New-OwaVirtualDirectory -name "owa" -OwaVersion Exchange2007 -WebSiteName "Default Web Site"

esta parte no sirvio, asi que segui revisando el articulo y encontre que hace mencion de la cuenta IUSR_MAQUINA, busque en el directorio que mencionaba y esto encontre:imageesta cuenta, es la que impersona el acceso anonimo a directorios, ya que sea como sea, debe una cuenta acceder a los archivos, esto es NTFS!ahora, tenia que aclarar que ocurrio con la cuenta, por que si estaba referenciado alli, esta debio existir, asi que de nuevo buscando en internet, encontre el punto final, que indica que este error aparece por un cuarto factor, y es cuando la maquina como en mi caso es promovida a Controlador de Dominiohttp://support.microsoft.com/kb/300432 [ How To Promote a Member Server Running IIS to a Domain Controller Running IIS ] asi que ya con toda esta evidencia, fui a verificar el directorio activo, y esto encontre.imageLo cual confirmaba que efectivamente la cuenta IUSR_DCEXCH3 habia sido eliminada, por este motivo, no se permitia que los recursos de OWA fuesen cargados de forma satisfactoriahasta ahora definimos el problema, ahora va el metodo de solucion!recuerdan el primer articulo que consultamos?  http://support.microsoft.com/kb/941201 [ Error message when you try to log on to Exchange 2007 by using Outlook Web Access: “440 Login Timeout” ], pues en este articulo menciona la opcion de sincronizar la contraseña de la cuenta IUSR_ MAQUINA, pues yo le agregue un ingrediente, y fue la de cambiar en si la cuenta, pero a cual, a una que ya tenia los privilegios y bque estaba creada, en este caso la IUSR_DCEXCH1, esta cuenta, para operar bien necesita estos privilegios en la maquina IIS

  • Access this computer from the network.
  • Log on as a batch job.
  • Log on locally.esto lo pueden ver en la politica local de la maquina, para poder verificarlo, aca muestro las imagenes que asi lo corroboran.image                    imageimageya con esto claro, lo que hay que hacer es ubicar la contraseña del usuario IUSR_MAQUINA, esto lo hacemos con el paso 2 del articulo 941201, para una mejor comprension, muestro las lineas de codigo antes y despues del cambio:Antes:  
    If (Attribute = True) then
    IsSecureProperty = True
    Else
    IsSecureProperty = False
    End If

     Despues:  

    If (Attribute = True) then
    IsSecureProperty = False
    Else
    IsSecureProperty = False
    End If

    Recuerden, despues de obtener la contraseña que necesitan, dejen de nuevo el codigo como estaba originalmente.ya con este dato, hay que reorganizar los directorio de IIS afectados, esto son:

    • 8.1.240.5 (o la version que corresponda aca)
    • auth
    • bin
    • smime

    y aca muestro el antes y el despues de la configuracion:Antes:imageNota: el confirmara la contraseñaimage y este es el despues:imageesto lo deben hacer para cada uno de los 4 directorios.Despues de esto, ejecuten un iisreset y prueben de nuevo, deberia funcionar!!imageEspero les sea de utilidadMe queda averiguar si esto mismo ocurre en 2008 y como se solucionaria, ya les contare como me fue en la laborsaludos! ————————————————– 

  •   
  •  

    Cuando intenta iniciar sesión en Microsoft Exchange Server 2007 utilizando Microsoft Outlook Web Access, recibe un mensaje de error similar al siguiente:

    440 Tiempo de espera de inicio de sesión

    Causa

    Este problema se produce si hay un problema con los permisos o con la autenticac…

    Este problema se produce si hay un problema con los permisos o con la autenticación en Internet Information Services (IIS) o en la metabase de IIS.

    Solución

    Para resolver este problema, siga estos pasos. Después de cada paso, determine s…

    Para resolver este problema, siga estos pasos. Después de cada paso, determine si se ha resuelto el problema. Si el problema persiste, continúe en el paso siguiente.

    Paso 1: elimine y vuelva a crear los directorios virtuales relacionados de Outlook Web Access

    Para eliminar los directorios virtuales relacionados de Outlook Web Access, siga estos pasos:

    1. Inicie el Shell de administración de Exchange.
    2. Escriba los comandos siguientes. Presione Entrar después de cada comando.
      Nota: estos comandos distinguen mayúsculas de minúsculas.

      • Remove-OwaVirtualDirectory “exchange (sitio web predeterminado)”
      • Remove-OwaVirtualDirectory “public (sitio web predeterminado)”
      • Remove-OwaVirtualDirectory “exchweb (sitio web predeterminado)”
      • Remove-OwaVirtualDirectory “owa (sitio web predeterminado)”

    Para volver a crear los directorios virtuales relacionados de Outlook Web Access, escriba los comandos siguientes en el Shell de administración de Exchange. Presione Entrar después de cada comando:

    • New-OwaVirtualDirectory “exchange” -OwaVersion Exchange2003or2000 -VirtualDirectoryType Mailboxes -WebSiteName “Sitio Web predeterminado”
    • New-OwaVirtualDirectory “public” -OwaVersion Exchange2003or2000 -VirtualDirectoryType PublicFolders -WebSiteName “Sitio Web predeterminado”
    • New-OwaVirtualDirectory “exchweb” -OwaVersion Exchange2003or2000 -VirtualDirectoryType Exchweb -WebSiteName “Sitio Web predeterminado”
    • New-OwaVirtualDirectory -name “owa” -OwaVersion Exchange2007 -WebSiteName “Sitio Web predeterminado”

    Paso 2: vuelva a sincronizar las contraseñas

    Vuelva a sincronizar las contraseñas en la metabase y en el servicio de directorios Active Directory para las cuentas siguientes:

    • IUSR_nombreDeEquipo
    • IWAM_nombreDeEquipo

    Para ello, siga estos pasos:

    1. Inicie un símbolo del sistema y utilice el comando cd para cambiar al directorio siguiente:
      c:\inetpub\adminscripts
    2. Escriba el comando siguiente y presione ENTRAR:
      notepad adsutil.vbs
    3. Busque el código siguiente.

      If (Attribute = True) then
      IsSecureProperty = True
      Else
      IsSecureProperty = False
      End If

    4. En este código, cambie el valor de IsSecureProperty de True a False y guarde los cambios en el archivo.

      Importante: después de seguir los pasos 1 a 4 para volver a sincronizar las contraseñas, debe volver a cambiar el primer valor IsSecureProperty a True y guardar los cambios en el archivo.

    5. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
      cscript adsutil.vbs get w3svc1\anonymoususerpass

      Se devuelven resultados parecidos a los siguientes:

      Microsoft (R) Windows Script Host Version 5.6 Copyright (C) Microsoft corporation 1996-2001. Reservados todos los derechos.
      
      anonymoususerpass		: (STRING) "HtV9o2w.18)@SY"

      Nota: puede recibir el código de error -2147024893 al ejecutar este comando. Este problema se produce si la propiedad Anonymoususerpass se establece en el nivel w3svc para todos los sitios web y no en el nivel del sitio web concreto (w3svc1). En esta situación, modifique el comando get para especificar el nivel w3svc. Para ello, escriba el comando siguiente y presione ENTRAR:

      cscript adsutil.vbs get w3svc\anonymoususerpass
    6. Copie la contraseña que aparece entre comillas en los resultados devueltos y utilícela para restablecer la contraseña para la cuenta IUSR_nombreDeEquipo.
    7. En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR:
      cscript adsutil.vbs get w3svc1\wamuserpass

      Se devuelven resultados parecidos a los siguientes:

      Microsoft (R) Windows Script Host Version 5.6 Copyright (C) Microsoft corporation 1996-2001. Reservados todos los derechos.
      
      wamsuserpass		        : (STRING) "Tl&b9^1n9`7g*9"

      Nota: si recibe el código de error -2147024893 al ejecutar este comando, escriba el comando siguiente y presione ENTRAR:

      cscript adsutil.vbs get w3svc\wamuserpass
    8. Copie la contraseña que aparece entre comillas en los resultados y utilícela para restablecer la contraseña para la cuenta IWAM_nombreDeEquipo.
    9. Siga los pasos 1 a 3 para ver la entrada IsSecureProperty en el archivo adsutil.vbs. Revierta el valor de la primera entrada IsSecureProperty a True y guarde los cambios en el archivo.

    Paso 3: quite la propiedad Anonymoususerpass del contenedor ROOT de la metabase

    Para quitar la propiedad Anonymoususerpass del contenedor ROOT de la metabase, siga estos pasos:

    1. Inicie un símbolo del sistema y utilice el comando cd para cambiar al directorio siguiente:
      c:\inetpub\adminscripts
    2. Escriba el comando siguiente y presione ENTRAR:
      cscript adsutil.vbs find w3svc/anonymoususerpass

      Se devuelven resultados parecidos a los siguientes:

      Microsoft (R) Windows Script Host Version 5.6 Copyright (C) Microsoft corporation 1996-2001. Reservados todos los derechos.
      
      Property anonymoususerpass found at: w3svc
    3. Si la propiedad Anonymoususerpass se establece en w3svc y en w3svc/1/ROOT, quite la propiedad del nivel ROOT. Para ello, escriba el comando siguiente y presione ENTRAR:
      cscript adsutil.vbs delete w3svc/1/ROOT/anonymoususername
    4. Restablezca IIS. Para ello, escriba iisreset y presione ENTRAR.

      Nota: puede que también tenga que reiniciar el Servidor Acceso de cliente (CAS).

    Paso 4: compruebe que la autenticación anónima está habilitada para los directorios virtuales controls y auth

    Compruebe que la autenticación anónima está habilitada para el directorio virtual controls bajo el directorio virtual owa en IIS. Compruebe también que la autenticación anónima está habilitada para el directorio virtual auth bajo el directorio virtual owa en IIS. Para ello, siga estos pasos:

    1. Inicie el complemento Administrador de Internet Information Services (IIS) de Microsoft Management Console (MMC).
    2. Expanda sucesivamente el nombre del servidor, Sitios Web, Sitio Web predeterminado y owa.
    3. En owa, haga clic con el botón secundario en 8.0.685.24 y, a continuación, haga clic en Propiedades.

      Nota: el directorio virtual 8.0.685.24 puede tener un número de versión diferente para un nombre. Esto depende de la versión de Exchange 2007 que esté instalada.

    4. Haga clic en la ficha Seguridad de directorios y, después, haga clic en Modificar bajo Autenticación y control de acceso.
    5. Haga clic para activar la casilla Habilitar el acceso anónimo y, después, haga clic para desactivar todas las casillas situadas bajo Acceso autenticado.
    6. Haga clic dos veces en Aceptar.
    7. En owa, haga clic con el botón secundario en auth y, a continuación, haga clic en Propiedades.
    8. Siga los pasos 4 a 6 para habilitar la autenticación anónima y deshabilitar otros métodos de autenticación para el directorio virtual auth.

    Paso 5: compruebe las propiedades de la cuenta IUSR_nombreDeEquipo

    Si se utiliza una cuenta de dominio para el acceso anónimo, examine las propiedades de la cuenta IUSR_nombreDeEquipo para comprobar que esta cuenta puede conectarse al servidor CAS. Para ello, siga estos pasos:

    Nota: para determinar la cuenta que se utiliza para el acceso anónimo, siga los pasos descritos en “Paso 4: compruebe que la autenticación anónima está habilitada para los directorios virtuales controls y auth” para ver el contenido del cuadro de diálogo Métodos de autenticación.

    1. Inicie la herramienta Usuarios y equipos de Active Directory.
    2. Busque y haga clic con el botón secundario en la cuenta IUSR_nombreDeEquipo y, a continuación, haga clic en Propiedades.
    3. Haga clic en la ficha Cuenta y, después, haga clic en Iniciar sesión en.
    4. Si la opción Todos los equipos está seleccionada, haga clic en Cancelar y, a continuación, haga clic en Aceptar para salir del cuadro de diálogo Propiedades de IUSR_nombreDeEquipo.
    5. Si está seleccionada la opción Los siguientes equipos, siga estos pasos:
      1. Compruebe que el servidor CAS aparece en la lista Nombre de equipo. Si el servidor CAS no aparece en esta lista, debe agregarlo.
      2. Haga clic en Aceptar dos veces para guardar los cambios y salir del cuadro de diálogo Propiedades de IUSR_nombreDeEquipo.
      3. Inicie un símbolo del sistema en el servidor CAS.
      4. Escriba iisreset /noforce y presione ENTRAR.

    La información de este artículo se refiere a:
    • Microsoft Exchange Server 2007 Standard Edition
    • Microsoft Exchange Server 2007 Enterprise Edition
    Palabras clave: 
    kberrmsg kbtshoot kbprb KB941201
    Categorías:exchange Etiquetas: ,
    1. Aún no hay comentarios.
    1. No trackbacks yet.

    Responder

    Introduce tus datos o haz clic en un icono para iniciar sesión:

    Logo de WordPress.com

    Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

    Imagen de Twitter

    Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

    Foto de Facebook

    Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

    Google+ photo

    Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

    Conectando a %s

    A %d blogueros les gusta esto: