RPC 加密要求导致 Exchange 邮箱的 Outlook 连接问题

原始 KB 编号:  3032395

本文仅适用于由 RPC 加密要求导致的 Microsoft Outlook 连接问题。

有关 RPC 加密选项的屏幕截图

症状

使用在运行 Microsoft Exchange Server 2010、Exchange Server 2013 或 Exchange Server 2016 的服务器上包含邮箱的配置文件启动 Microsoft Office Outlook 时,您可能会收到以下错误消息:

无法启动Microsoft Office Outlook。 无法打开 Outlook 窗口。 无法打开文件夹集。

无法打开默认电子邮件文件夹。 Microsoft Exchange Server计算机不可用。 存在网络问题或Microsoft Exchange Server计算机进行维护。

与服务器Microsoft Exchange Server不可用。 Outlook 必须联机或已连接才能完成此操作。

无法打开默认电子邮件文件夹。 无法打开信息存储。

Outlook 无法登录。 检查以确保你已连接到网络,并且使用了正确的服务器和邮箱名称。 与服务器Microsoft Exchange Server不可用。 Outlook 必须联机或已连接才能完成此操作。

但是,如果您使用的是缓存模式配置文件,Outlook 不会显示错误。 你可能会遇到以下症状:

  • Outlook 从" 断开连接"状态 (Outlook 窗口的右下角显示"已断开连接",状态屏幕截图) 。

    Outlook 窗口右下角的屏幕截图

  • Outlook 将启动,你可以发送和接收电子邮件。 但是,您只看到"Microsoft Exchange 连接状态"中的两个连接,您可能会看到类型目录显示为"已断开连接/正在连接"。

    此症状的屏幕截图。

当您尝试为运行 Exchange 2010 或 Exchange Server 2013 的服务器上邮箱创建新的 Outlook 配置文件时,您可能会收到以下错误消息:

无法完成操作。 与服务器Microsoft Exchange Server不可用。 Outlook 必须联机或已连接才能完成此操作。

无法解析该名称。 与服务器Microsoft Exchange Server不可用。 Outlook 必须联机或已连接才能完成此操作。

Outlook 无法登录。 检查以确保你已连接到网络,并且使用了正确的服务器和邮箱名称。 与服务器Microsoft Exchange Server不可用。 Outlook 必须联机或已连接才能完成此操作。

无法解析该名称。 无法完成操作。

无法解析服务器或邮箱名称。

解决方案

备注

如果使用的自动化方法之一 (组策略或 .prf) ,请确保在大规模部署方法之前全面测试该方法。

方法 1:使用 RPC 加密更新或创建 Outlook 配置文件

手动更新现有配置文件

若要手动更新现有 Outlook 配置文件,以便它使用 RPC 加密,请按照以下步骤操作:

  1. "控制面板" 中,打开 "邮件" 项。

  2. 选择 "显示配置文件"。

  3. 选择配置文件,然后单击"属性 "。

  4. 选择 "电子邮件帐户"。

  5. 选择"M **icrosoft Exchange (默认情况下从此帐户发送") ">**更改"。

  6. 在包含邮箱服务器和用户名的对话框中,选择"更多 设置"。

  7. 在"Microsoft Exchange"对话框中,选择" 安全" 选项卡。

  8. Select Encrypt data between Microsoft Office Outlook and Microsoft Exchange > OK (A screenshot for this step can be seen here) .

    Screenshot with Encrypt data between Microsoft Office Outlook and Microsoft Exchange selected

  9. 选择 "下一步 > 完成"。

  10. 选择 关闭 > 关闭关闭 > 确定

部署组策略设置以使用 RPC 加密更新现有 Outlook 配置文件

从客户端的角度来看,部署 Outlook-Exchange 加密设置可能是对于具有许多 Outlook 客户端的组织最简单的解决方案。 此解决方案涉及服务器和域控制器 (一) ,客户端将在策略下载到客户端后自动更新。

Outlook 2010

默认情况下,在 Outlook 2010 中启用 RPC 加密设置。 因此,出于以下任一原因,应仅通过使用组策略来部署此设置:

  • 原始 Outlook 2010 部署禁用了 Outlook 和 Exchange 之间的 RPC 加密。
  • 您希望阻止用户更改其 Outlook 配置文件中的 RPC 加密设置。

Outlook 2010 的默认组策略模板包含控制 RPC 加密Outlook-Exchange组策略设置。 若要使用组策略更新现有 Outlook 2010 配置文件,请按照以下步骤操作:

  1. 下载 最新版本的 Outlk14.adm 组策略模板

  2. 将 .adm 文件添加到域控制器。

    备注

    将 .adm 文件添加到域控制器的步骤因运行的 Windows 版本而异。 此外,由于您可能将策略应用到组织单位而不是域,因此步骤也可能因应用策略的这一方面而异。 因此,请查看 Windows 文档了解详细信息。

    将 .adm 模板添加到本地组策略编辑器后,转到步骤 3。

  3. "用户配置" 下,展开"管理 (ADM) 找到模板的策略节点。 通过使用 Outlk14.adm 模板,此节点将命名为 Microsoft Outlook 2010。

  4. "帐户设置"下,选择 "Exchange" 节点 ("可以在此处看到此步骤的屏幕截图) 。

    Screenshot with the Exchange node under Outlook 2010 selected.

  5. 双击"启用 RPC 加密策略" 设置。

  6. 在"设置 "选项卡 上,选择"已启用 "。

  7. 选择“确定”。

此时,在复制组策略更新时,策略设置将应用于 Outlook 客户端工作站。 若要测试此更改,请运行以下命令:

 gpupdate /force

运行此命令后,在工作站上启动注册表编辑器以确保客户端上存在以下注册表数据:

Key: HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Outlook\RPC
DWORD: EnableRPCEncryption
Value: 1

如果在注册表中看到此注册表数据,则组策略设置将应用于此客户端。 启动 Outlook 以验证更改是否解决问题。

Outlook 2013

默认情况下,在 Outlook 2013 中启用 RPC 加密设置。 因此,出于以下任一原因,应仅通过使用组策略来部署此设置:

  • 原始 Outlook 2013 部署禁用了 Outlook 和 Exchange 之间的 RPC 加密。
  • 您希望阻止用户更改其 Outlook 配置文件中的 RPC 加密设置。

Outlook 2013 的默认组策略模板包含控制 RPC 加密Outlook-Exchange组策略设置。 若要使用组策略更新现有 Outlook 2013 配置文件,请按照以下步骤操作:

  1. 下载 Office 2013 ADM 模板

  2. 将 .admx 和 .adml 文件添加到域控制器。 这将添加 Outlook ADM 模板,使其在本地组策略编辑器中可用。

    备注

    将 .admx 和 adml 文件添加到域控制器的步骤因运行的 Windows 版本而异。 此外,由于您可能将策略应用到组织单位而不是域,因此步骤也可能因策略应用程序的这一方面而异。 因此,请查看 Windows 文档 了解详细信息。 (本文标记为 Office 2010。 但是,它也适用于 Office 2013.)

  3. 启动本地组策略编辑器。

  4. "用户配置" 下,展开"管理 (ADM) 找到模板的策略节点。 使用 Outlk15.admx 模板时,此节点将命名为 Microsoft Outlook 2013

  5. "帐户设置"下,选择 "Exchange" 节点 ("可以在此处看到此步骤的屏幕截图) 。

    Screenshot with the Exchange node under Outlook 2013 selected.

  6. 双击"启用 RPC 加密策略" 设置。

  7. 在"设置 "选项卡 上,选择"已启用 "。

  8. 选择“确定”。

此时,在复制组策略更新时,策略设置将应用于 Outlook 客户端工作站。 若要测试此更改,请对工作站运行以下命令:

 gpupdate /force

运行此命令后,在工作站上启动注册表编辑器以确保客户端上存在以下注册表数据:

Key: HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Outlook\RPC
 DWORD: EnableRPCEncryption
 Value: 1

如果在注册表中看到此注册表数据,则组策略设置将应用于此客户端。 启动 Outlook 以验证更改是否解决问题。

方法 2:在所有 CAS 服务器上禁用加密要求

重要

Microsoft 强烈建议你在服务器上保持启用加密要求,并使用本文中列出的其他方法之一。 只有当您无法立即在 Outlook 客户端上部署必需的 RPC 加密设置时,本文才提供方法 2。 如果使用方法 2 允许 Outlook 客户端在没有 RPC 加密的情况下进行连接,请尽快在 CAS 服务器上重新启用 RPC 加密要求,以保持最高级别的客户端到服务器通信。

若要在 Outlook 和 Exchange 之间禁用所需的加密,请按照以下步骤操作:

  1. 在 Exchange 命令行管理程序 中运行以下命令:

     Set-RpcClientAccess -Server <Exchange server name> -EncryptionRequired:$False
    

    备注

    the Exchange_server_name placeholder represents the name of an Exchange Server that has the Client Access Server role.

    您必须为运行 2010 或更高版本的所有客户端访问Exchange Server运行此 cmdlet。

  2. 为具有客户端访问服务器角色的每个 Exchange 服务器 重新运行 此命令。 该命令还需要在包含公用文件夹存储的每个邮箱服务器角色 上运行。 来自 MAPI 客户端的公用文件夹连接直接转到邮箱服务器上 RPC 客户端访问服务。

  3. 使用启用与 Exchange (的加密 RPC 通信的设置更新 Outlook 客户端后 (请参阅) 下提供的步骤,您可以在具有客户端访问服务器角色的 Exchange 服务器上重新启用 RPC 加密要求。

    若要在具有客户端访问服务器角色的 Exchange 服务器上重新启用 RPC 加密要求,请运行 Exchange 命令行管理程序 中的以下命令:

     Set-RpcClientAccess -Server <Exchange server name> -EncryptionRequired:$True
    

    备注

    the Exchange_server_name placeholder represents the name of an Exchange server that has the Client Access Server role.

    您必须为运行 2010 或更高版本的所有客户端访问Exchange Server运行此 cmdlet。

原因

一个可能原因是您使用的是 Outlook,并且您禁用了"加密 Microsoft Office Outlook 和 Microsoft Exchange 配置文件"设置。 2013 Exchange Server配置需要 Outlook 客户端的 RPC 加密。 这将阻止客户端进行连接。

备注

2010 Exchange Server 2010 发布发布版 RTM (配置) RPC 加密。 此行为是 2010 Exchange Server 2010 Service Pack 1 中的更改,其中 RPC 加密要求默认处于禁用状态。 但是,在 Service Pack 1 之前部署或升级到 Service Pack 1 的任何客户端访问服务器 (CAS) 都将保留现有的 RPC 加密要求设置,这仍然可能会阻止客户端进行连接。