Windows LiveWindows Live
 
 
Gregorio's profileAcerca de Exchange y sus...PhotosBlogLists Tools Help

Blog
    March 08

    Problemas con el error 440 login timeout en OWA de Exchange 2007?

    Este error  muestra por que es conveniente saber como fue la historia de instalacion de Exchange, sobretodo en nuestro entorno, en donde recurrentemente el servidor de Exchange es a su ves el Controlador de Dominio.

    Para el caso nuestro, no es lo mismo instalar un IIS y promover a DC que promover a DC e instalar un IIS, ya les cuento por que.

    Hace un tiempo, adelantando uno de mis escenarios de entrenamiento, tome como siempre una de las maquinas Windows Base que tengo previamente listas (esto ahorra un enorme tiempo, para el caso de 2003 solo ejecutar sysprep y listo! ).

    lo siguiente fue instalar IIS, despues de lo cual ejecute dcpromo, adicionandolo como controlador adicional.

    image

    hasta ahi, no hay problema, despues de esto, esta maquina le instale Exchange Server 2007 SP1, ya que necesitaba una maquina en un sitio remoto con Exchange, la instalacion se efectuo sin problemas, y el servicio se establecio sin inconveniente alguno.

    al momento de ingresar a OWA, encontre esto:

    image

    Pero no habia error a nivel de app pool o de IIS, tampoco el CAS ofrecia informacion; asi que me dedique a investigar que sucedia.

    Ubique la herramienta Authentication and Access Control Diagnostics, con la cual  hice una traza, y encontre algo como esto:

     image

    Esto indicaba que para la cuenta IUSR_MAQUINA, no habia autenticacion.

    Al tiempo, encontre este muy buen articulo de Microsoft, http://support.microsoft.com/kb/941201 [ Error message when you try to log on to Exchange 2007 by using Outlook Web Access: "440 Login Timeout" ], el cual indica que este error puede deberse a fallos en los sitios web de OWA, lo cual se soluciona ejecutando estas piezas de powershell en el CAS afectado. 

    Remove-OwaVirtualDirectory "exchange (default web site)"
    Remove-OwaVirtualDirectory "public (default web site)"
    Remove-OwaVirtualDirectory "exchweb (default web site)"
    Remove-OwaVirtualDirectory "owa (default web site)"

    despues de locual ejecute esta otra parte, para adicionar los sitios 

    New-OwaVirtualDirectory "exchange" -OwaVersion Exchange2003or2000 -VirtualDirectoryType Mailboxes -WebSiteName "Default Web Site"
    New-OwaVirtualDirectory "public" -OwaVersion Exchange2003or2000 -VirtualDirectoryType PublicFolders -WebSiteName "Default Web Site"
    New-OwaVirtualDirectory "exchweb" -OwaVersion Exchange2003or2000 -VirtualDirectoryType Exchweb -WebSiteName "Default Web Site"
    New-OwaVirtualDirectory -name "owa" -OwaVersion Exchange2007 -WebSiteName "Default Web Site"

    esta parte no sirvio, asi que segui revisando el articulo y encontre que hace mencion de la cuenta IUSR_MAQUINA, busque en el directorio que mencionaba y esto encontre:

    image

    esta cuenta, es la que impersona el acceso anonimo a directorios, ya que sea como sea, debe una cuenta acceder a los archivos, esto es NTFS!

    ahora, tenia que aclarar que ocurrio con la cuenta, por que si estaba referenciado alli, esta debio existir, asi que de nuevo buscando en internet, encontre el punto final, que indica que este error aparece por un cuarto factor, y es cuando la maquina como en mi caso es promovida a Controlador de Dominio

    http://support.microsoft.com/kb/300432 [ How To Promote a Member Server Running IIS to a Domain Controller Running IIS ] asi que ya con toda esta evidencia, fui a verificar el directorio activo, y esto encontre.

    image

    Lo cual confirmaba que efectivamente la cuenta IUSR_DCEXCH3 habia sido eliminada, por este motivo, no se permitia que los recursos de OWA fuesen cargados de forma satisfactoria

    hasta ahora definimos el problema, ahora va el metodo de solucion!

    recuerdan el primer articulo que consultamos?  http://support.microsoft.com/kb/941201 [ Error message when you try to log on to Exchange 2007 by using Outlook Web Access: "440 Login Timeout" ], pues en este articulo menciona la opcion de sincronizar la contraseña de la cuenta IUSR_ MAQUINA, pues yo le agregue un ingrediente, y fue la de cambiar en si la cuenta, pero a cual, a una que ya tenia los privilegios y bque estaba creada, en este caso la IUSR_DCEXCH1, esta cuenta, para operar bien necesita estos privilegios en la maquina IIS

  • Access this computer from the network.
  • Log on as a batch job.
  • Log on locally.

    esto lo pueden ver en la politica local de la maquina, para poder verificarlo, aca muestro las imagenes que asi lo corroboran.

    image                    image

    image

    ya con esto claro, lo que hay que hacer es ubicar la contraseña del usuario IUSR_MAQUINA, esto lo hacemos con el paso 2 del articulo 941201, para una mejor comprension, muestro las lineas de codigo antes y despues del cambio:

    Antes: 

    If (Attribute = True) then
    IsSecureProperty = True
    Else
    IsSecureProperty = False
    End If

     

    Despues: 

    If (Attribute = True) then
    IsSecureProperty = False
    Else
    IsSecureProperty = False
    End If

    Recuerden, despues de obtener la contraseña que necesitan, dejen de nuevo el codigo como estaba originalmente.

    ya con este dato, hay que reorganizar los directorio de IIS afectados, esto son:

    • 8.1.240.5 (o la version que corresponda aca)
    • auth
    • bin
    • smime

    y aca muestro el antes y el despues de la configuracion:

    Antes:

    image

    Nota: el confirmara la contraseña

    image 

    y este es el despues:

    image

    esto lo deben hacer para cada uno de los 4 directorios.

    Despues de esto, ejecuten un iisreset y prueben de nuevo, deberia funcionar!!

    image

    Espero les sea de utilidad

    Me queda averiguar si esto mismo ocurre en 2008 y como se solucionaria, ya les contare como me fue en la labor

    saludos!

    • 9:43 PM | Blog it | Exchange

    Comments

    Please wait...
    Sorry, the comment you entered is too long. Please shorten it.
    You didn't enter anything. Please try again.
    Sorry, we can't add your comment right now. Please try again later.
    To add a comment, you need permission from your parent. Ask for permission
    Your parent has turned off comments.
    Sorry, we can't delete your comment right now. Please try again later.
    You've exceeded the maximum number of comments that can be left in one day. Please try again in 24 hours.
    Your account has had the ability to leave comments disabled because our systems indicate that you may be spamming other users. If you believe that your account has been disabled in error please contact Windows Live support.
    Complete the security check below to finish leaving your comment.
    The characters you type in the security check must match the characters in the picture or audio.

    To add a comment, sign in with your Windows Live ID (if you use Hotmail, Messenger, or Xbox LIVE, you have a Windows Live ID). Sign in


    Don't have a Windows Live ID? Sign up

    Trackbacks

    The trackback URL for this entry is:
    http://gregorioparra.spaces.live.com/blog/cns!3F1C5A97BDB2FA2E!936.trak
    Weblogs that reference this entry
    • None