针对你遇到的普通用户无法登录OWA但管理员账号正常的问题，结合你的Exchange 2010 SP3+Exchange 2016 CAS混合部署场景，给你梳理几个实用的排查方向：

• 检查OWA权限启用状态与虚拟目录权限

  1. 先确认普通用户的邮箱是否启用了OWA：打开Exchange管理控制台（EMC），找到目标用户的邮箱属性，切换到「邮箱功能」标签，查看「Outlook Web App」是否处于启用状态——批量创建邮箱时很容易默认关闭这个权限。
  2. 检查OWA虚拟目录的权限：在EMC中导航到「服务器配置」→「客户端访问」，选中你的Exchange 2010服务器，右键点击「OWA（默认网站）」→「属性」→「权限」标签，确保Authenticated Users组拥有读取和执行权限，对比管理员所在的Domain Admins组权限，避免普通用户组被意外移除核心权限。

• 验证AD账户与Exchange收件人权限

  1. 检查普通用户的AD账户权限：打开Active Directory用户和计算机，找到用户属性的「安全」标签，确认该用户拥有Exchange相关的基础权限（比如至少「读取」权限，或「Full Mailbox Access」权限），批量创建邮箱时可能出现权限继承失效的情况。
  2. 排查用户所属组：确认普通用户没有被添加到受限制的组（比如Domain Guests），这类组会被Exchange的权限策略排除，而管理员账号所在的Domain Admins通常有豁免规则。

• 排查混合部署的路由配置冲突
  因为你正在搭建Exchange 2016 CAS与Office 365的混合环境，需要确认Exchange 2010的OWA访问路由是否被混合部署向导误配置：

  • 打开Exchange命令行管理程序（EMS），执行命令：

    Get-OwaVirtualDirectory | Select-Object Server, ExternalUrl, InternalUrl
    

  查看返回结果，确认管理员与普通用户的访问URL规则一致，没有针对普通用户设置特殊的路由拦截。

• 通过日志定位具体错误

  1. 查看IIS日志：Exchange 2010服务器的IIS日志默认路径为C:\inetpub\logs\LogFiles\W3SVC1，找到普通用户登录请求对应的条目，查看HTTP状态码（比如401代表权限验证失败，403代表禁止访问），快速定位问题类型。
  2. 查看Exchange应用日志：打开事件查看器，导航到「应用程序和服务日志」→「Exchange」，查找与OWA登录相关的错误事件（比如ID 1000、1001），这些事件会包含详细的错误描述，帮助精准排查。

• 测试单个用户的权限重置与OU继承
  选一个无法登录的普通用户做测试：

  1. 在EMS中执行命令重置OWA权限：

  Set-CASMailbox <用户名> -OWAEnabled $true
  

  重置后尝试重新登录。
  2. 如果仍无法登录，将用户移动到默认的Users OU（该OU的权限继承通常是正常的），再次测试登录，排除OU级别的权限限制。

内容的提问来源于stack exchange，提问作者Gijs