Обновление 2: разработчики обещают, что баг будет исправлен в мартовском Exchange 2016 CU9.
Обновление: как доносит народная молва это поведение появилось в Exchange 2016 CU4. При отключении ящика не очищается аттрибут legacyExchangeDN. Заведён баг.
Ситуация: сотрудник переходит из одного подразделения в другое. На предыдущем месте работы он использовал линкованый ящик. На новом месте будет использовать обычный. Вроде бы штатная операция – необходимо отключить линкованый ящик (Disconnect-Mailbox) и подключить его к новой учётной записи (Connect-Mailbox). После очистки базы (Update-StoreMailboxState) получаем рабочий OWA и нерабочий Outlook. Профиль настраивается, но при запуске Outlook возвращается ошибка, что нет доступа к дереву папок. Картинка будет примерно такая:
В логе MAPI/HTTP на бэкэнде нашлась вот такая вот интересная запись:
MoMTException:2147746065 (rpc LoginFailure) -> [LoginFailureException] Unable to access AD (StoreError=LoginFailure) -> [StoragePermanentException] There was a problem accessing Active Directory. Check your network connections and try again. -> [ValueNotPresentException] Property 'IsSoftDeletedByRemove' is not present on object 'Some User Mailbox'.
В общем понятно, что ничего не понятно. Однако, беглый обзор аттрибутов двух учёток (новой, и старой от линкованого ящика) позволил обнаружить, что обе учётки имеют один и тот же аттрибут legacyExchangeDN. После очистки этого аттрибута на старой учётке Outlook сразу же запустился.
Аттрибут этот очень хитрый. Внутри Exchange использует именно его для маршрутизации почты. Поэтому его задвоение как минимум приводит к невозможности нормальной работы пострадавшего почтового ящика. Как оказывается он так же участвует и в процессе аутентификации.
Полезные ссылки:
Clean-MailboxDatabase in Exchange 2013
The Attribute, the Myth, the legacyExchangeDN
Спасибо огромное за информацию!
День убил в поисках решения.