Contexte
Dans une architecture Exchange 2013 Hybride où les publications web sont faites par des boitiers KEMP vous ne pouvez pas faire de migration.
En effet vous obtenez l’erreur suivante The connection to the server ‘Exchange Server’ could not be completed.
Explications et solution
La première chose à valider est l’activation du proxy MRS sur les serveurs Exchange.
Pour cela depuis le centre d’administration Exchange, allez dans Serveurs puis Répertoires virtuels et vérifiez que sur l’ensemble des répertoires EWS l’option Activer le point de terminaison du proxy MRS est cochée.
Si c’est bien le cas, le problème peut venir de la configuration de la publication des services web d’Exchange sur le KEMP.
Depuis l’interface d’administration KEMP, allez dans System Configuration > Miscellaneous Options > L7 Configuration.
Modifiez la valeur du paramètre 100-Continue Handling pour RFC-7231 Compliant.
La modification de cette valeur va permettre au boitier KEMP de ne pas rejeter la demande de l’assistant de migration.
En essayant à nouveau de faire une migration, l’assistant passera à l’étape suivante.
Symptôme
Suite à la publication de l’interface Communicator Web Access à travers un équipement de type “reverse proxy” (ISA/TMG ou IAG/UAG), l’erreur suivante se produit de manière aléatoire (environ 1 fois sur 3) :
Voici l’intitulé exact de l’erreur :
Cannot sign in because your computer clock is not set correctly or your account is invalid.(Error code: 0-1-492)
Explication
Cette erreur est un “classique” sur CWA. Elle se produit souvent lorsque l’URL utilisé pour accéder au service Web ne correspond pas au certificat positionné dans IIS ou bien encore aux URL d’accès publiées durant la configuration OCS (étape 4 de l’assistant d’installation du rôle CWA).
Cette erreur peut également se produire lorsque les SPN du compte ordinateur sont mal configurés et ne contiennent pas le SPN correspondant à l’URL publiée. Pour cela le SPN manquant peut être rajouté en suivant la procédure suivante :
Dans ce cas précis, la bonne URL est utilisée lors de l’accès et les SPN du serveur hébergeant CWA sont correctement configuré ! De plus l’erreur ne se produit pas systématiquement mais de manière aléatoire, et ce, uniquement à travers un équipement de type “reverse proxy” (comprendre l’accès à CWA depuis le LAN fonctionne systématiquement et sans aucune erreur) !
Résolution
Après quelques recherches sur le Web, je suis tombé sur le billet suivant qui propose d’activer l’authentification de type Anonyme sur l’une des pages du site CWA (page AuthMainCommandHandler.ashx).
http://www.tincupsandstring.com/2009/03/31/cwa-error-code-0-1-492/
Dans notre cas, cette manipulation a totalement corrigé le problème rencontré avec les publications de CWA à travers Unified Access Gateway (UAG) et Intelligent Application Gateway (IAG).
Remarque : A priori ce problème peut également être rencontré lors de la mise en place d’un load balancing matériel (HLB) sur le site CWA (cf. Blog Technet de Stefan Plizga).