401 Error eseguendo Test-OutlookWebServices

La cmdlet Test-OutlookWebServices è utile per verificare il buon funzionamento del servizio Autodiscover di un server Exchange (2007/2010).

Eseguendo il test localmente al server CAS, ovvero il server che gestisce gli Exchange Web Services, che sfruttano il motore IIS e sono alla base dell’OWA e del servizio Autodiscover, è possibile che si riceva come risultato l’errore 401.

Il seguente link spiega nel dettaglio il fenomeno:

http://support.microsoft.com/?id=896861

E’ possibile simulare il comportamento accedendo al seguente link mediante il browser dal server CAS:

https://netbiosname/Autodiscover/Autodiscover.xml :
Verranno richieste le credenziali di accesso per un paio di volte dopodichè verrà visualizzato il seguete errore: “Error: Access is Denied”

https://localhost/Autodiscover/Autodiscover.xml :
Mentre questo link, senza richiedere l’autenticazione, visualizzerà direttamente il contenuto del file xml

La differenza è che nel primo link viene utilizzato il nome netbios del server CAS mentre nel secondo caso viene utilizzato il nome “localhost”.

Nel primo caso interviene la funzione DisableLoopbackCheck, che di default è attiva e per ragioni di sicurezza inibisce il browsing locale, mediante nome netbios, di un web site che richiede autenticazione integrata, ma lo consente solo utilizzando il nome “localhost”. Se il browsing, ed il test mediante la cmdlet Test-OutlookWebServices viene eseguito da una macchina remota, il tutto funziona correttamente.

La funzione DisableLoopbackCheck può essere disattivata ma questa operazione genera un potenziale problema di sicurezza, eventualmente lo si può disabilitare per eseguire i test del caso per poi riabilitare in modo definitivo.

Per disabilitare DisableLoopbackCheck:

  1. Eseguire Regedit
  2. Aprire la seguente chiave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
  3. All’interno della chiave “Lsa” creare un nuovo DWORD Value con il nome DisableLoopbackCheck
  4. Modificare DisableLoopbackCheck ed impostare nel campo Value il valore 1
  5. Salvare e riavviare il server

Roberto