Proxy Exchange服务器CAS错误401（无法对第二个CAS进行身份验证）

我在当前的exchange基础架构中遇到了上述问题

我们有两个面向internet的交换站点和一个非面向internet的站点

所有服务器都安装了CAS和邮箱角色，并且正在运行Exchange Server 2007 RU13。非面向internet的服务器上的用户以前能够使用OWA而没有任何问题，因为请求将通过任何一个面向internet的服务器进行代理。但是，在更新我们的证书以使其与新规则保持最新（即只能使用FQDN）之后，我们遇到了此问题

这两个面向internet的站点在内部和外部都使用FQDN名称

我们的主机名，例如：

Public Site 1: Ext: mail.sitea.com and Int: ex2007-sitea.local
Public Site 2: Ext: mail.siteb.com and Int: ex2007-siteb.local
Non-Public Site 3: Ext: $null and Int: ex2007-sitec.local

新证书的更新内容如下：

Public Site 1: Ext: mail.sitea.com and Int: mail.sitea.com
Public Site 2: Ext: mail.siteb.com and Int: mail.siteb.com
Non-Public Site 3: Ext: $null and Int mail.sitec.com

我们还为每个新的内部主机名创建了一个具有适当内部地址记录的拆分DNS

经过进一步调查，我发现CAS代理问题取决于公共CAS站点和内部唯一CAS站点之间的kerberos身份验证，我已尝试通过为非公共站点添加适当的SPN记录来解决此问题

这就解决了这个问题，但仅在15分钟内，因为创建的SPN记录因未知原因而消失。我已启用AD audit日志记录，可以看到，当我创建记录时，它会记录在事件日志中，但我看不到发生任何删除功能/日志记录以及任何DC

下面的SPN命令修复CAS：

setspn -A HOST/mail.sitec.com ex2007-sitec

但是，15分钟后，它会被删除，CAS不再进行身份验证

我已运行以下SPN命令：

setspn -A exchangeMDB/mail.sitec.com ex2007-sitec
setspn -A exchangeRFR/mail.sitec.com ex2007-sitec
setspn -A exchangeAB/mail.sitec.com ex2007-sitec

这也解决了CAS身份验证问题，但是exchangeAB记录被删除（其他2条记录保留），案例代理再次被破坏

注意：所有活动同步功能都适用于移动设备到非面向internet的CAS。我们只是与OWA有问题

如果您对此有任何帮助，我将不胜感激。我们即将将系统升级到Ex2013，但我想先了解一下这一问题的真相。此外，由于这些问题，我不确定在本地域的新exchange服务器上设置主机名的最佳方法。我希望避免将域重命名为FQDN而不是当前的.local域名，但如果我无法解决此问题，则我看不到其他选项

---

谢谢

好的，我想我已经自己解决了这个问题，为了所有遇到同样问题的人的利益，我的解决方案是：

setspn -A HTTP/mail.sitec.com ex2007-sitec

这允许所有站点代理请求使用Kerberos成功进行身份验证