Resolução artigo 317721 não consegue corrigir problema de remoção de direitos de proprietário de caixa de correio

Depois de actualizar o Active Directory Connector (ADC) conforme descrito no seguinte artigo da base de dados de conhecimento da Microsoft, problemas de permissão de caixa de correio continuar a ocorrer.

O problema que caixas de correio continuam a detectar poderão incluir os seguintes comportamentos:

• Os utilizadores receber a seguinte mensagem de erro quando tentarem iniciar sessão caixa de correio Microsoft Exchange Server 5.5:
  Acesso negado
• O proprietário da caixa de correio é removida das permissões para a conta afectada quando visualiza permissões no programa Exchange 5.5 Server Administrator.

msexchmailboxsecuritydescriptor foi danificada para contas de Active Directory (AD) que tinha anteriormente um acordo de ligação unidireccional (AC) executado a versão do Service Pack 2 do ADC. A Corrupção é replicada a partir do Active Directory para o Exchange 5.5 da caixa de correio quando altera a AC para bidireccional.

Identificar apenas as contas que são afectadas, efectuar limpeza conforme descrito no artigo da base de dados de conhecimento da 317721 (consulte "Sintomas" secção) e, em seguida, novamente a replicar o Active Directory.

As seguintes perguntas e respostas fornecem informações adicionais:

Q1: É este problema ocorrer com todas as versões antes do ADC correcção?

A1: ' Não '. O versão-para-produção (RTM) e Service Pack (SP) 1 versões do ADC não irão causar este problema. Os clientes que utilizaram o SP2 versão de ADC para executar um acordo de ligação unidireccionais detectará o problema.

Q2: Instalei o ADC do Microsoft Exchange Server 2003, o ADC SP3 ou o ADC pós-SP2 correcção (5770.45/q317861engi.exe) antes de Mudei para AC bidireccional, mas as permissões de caixa de correio foram removidas ainda depois Mudei para um bidireccional. Por que razão?

A2: Uma vez que utilizou um ADC SP2 para executar uma AC unidireccional algures no passado. Depois de uma AC unidireccional é executada, as contas carimbo são colocadas num estado "pre-removal". Quando estes estão neste estado, instalar o ADC posterior versão não é possível impedir 5.5 remoção de permissão de caixa de correio depois de mudar para danos de AC. One-way SP2 AC bidireccional contas do Active Directory, mas os utilizadores não repare os efeitos. Quando existe uma AC bidireccional (ou uma AC unidireccional na direcção oposta), notará os efeitos completos de descritores de segurança do Active Directory danificados.

P3: Como posso saber se as caixas de correio estão no estado "pre-removal", tal como mencionado anteriormente?

A3: Não é os objectos do Exchange 5.5 que estão neste estado. As respectivas contas do Active Directory associadas são colocadas em "pre-removal" ou estado danificado. Pode identificar os candidatos a remoção de permissão de caixa de correio se existirem direitos de caixa de correio com, pelo menos, duas entradas de controlo de acesso (ACEs), uma entrada de domínio ome de utilizador e uma entrada SELF no Active Directory associado propriedades da conta. Se visualizar a entrada SELF, falta a caixa de verificação Full mailbox access . A entrada domínio ome de utilizador verdadeiro proprietário, e tenha a caixa de verificação Full mailbox access seleccionada.

P4: Como posso impedir do SELF em falta "Full Mailbox Access" sejam replicadas para o Exchange 5.5?

A4:Quando repõe msexchmailboxsecuritydescriptor nas contas do Active Directory, do SELF ACE é armazenado na msexchmailboxsecuritydescriptor , para que o atributo directamente ligado a direitos de caixa de correio. Do mesmo modo, caixa de verificação do Active Directory Full mailbox access está ligada directamente a caixa de verificação do 5.5 proprietário da caixa de correio do Exchange.

P5: estiver a utilizar ADSIEdit para visualizar o msexchmailboxsecuritydescriptor de uma conta de problema e está em branco. Mas utilizadores do Active Directory e computadores (ADUC) mostra que existem direitos de caixa de correio. Por que razão?

A5: Ainda existe um valor presente, mas ADSIEdit não é possível apresentar o conteúdo desse campo. Tenha em atenção que o campo não é vazio a menos que o valor seja < não definido >. Se desmarcar este atributo para que indica < não definido >, e, em seguida, volta à caixa de correio direitos no ADUC, receberá uma mensagem de erro c1033028.

P6:-parece mais fácil de criar um script para remover msexchmailboxsecuritydescriptor todas as contas do Active Directory. Faz isto constituir uma ameaça?

A6: Sim. Não remova este valor de contas do Active Directory que tenham caixas de correio do Exchange 2000. Artigo da base de dados de conhecimento da Microsoft 317721 indica que tem de remover o valor apenas dessas contas de Active Directory com caixas de correio Exchange 5.5 que foram afectadas. Isto significa que tem de identificar as contas que tenham o problema.

P7: o ficheiro .csv estou reimporting conforme descrito no artigo da base de dados de conhecimento da 317721 mas reparei que a versão de objecto não é incrementado para algumas das caixas de correio da Exchange 5.5. Como resultado, essas permissões de proprietário da caixa de 5.5 correio são eliminados quando o ADC serviço é activado novamente. O que tiver incorrecto?

A7: Provavelmente criado seu próprio ficheiro .csv personalizado e exportado para o mesmo. Verifique se o ficheiro .csv não tem o correio electrónico endereços coluna. Se estiver em falta, isto explica o motivo pelo qual versão do objecto não será incrementado. Uma vez que versão do objecto não é incrementado, removido msexchmailboxsecuritydescriptor no Active Directory conta substitui as definições do Exchange 5.5. A exportação de .csv predefinida inclui a coluna de endereços de correio electrónico .

P8: artigo da base de dados de conhecimento da Microsoft 317721 indica "Se realizou uma exportação das permissões antes de alterar as permissões, fazer uma importação de directório de permissões". O campo de cabeçalho para utilize para exportar estas permissões?

A8: Utilizador de Obj é o campo de cabeçalho que é possível exportar para o. O ficheiro .csv resultante irá mostrar as contas com a função 'Utilizador' numa caixa de correio. Por predefinição, a conta do Microsoft Windows NT principal é atribuída a função 'Utilizador'. Esta função inclui o direito de proprietário da caixa de correio . ( Nota A versão plural obj-os utilizadores, tem o mesmo efeito. Estes campos de cabeçalho poderão não estar listados no utilitário header.exe.)

P9: todas as caixas de correio Exchange 5.5 estão definidas para a função "Personalizar" e a caixa de verificação de proprietário da caixa de correio é removida. Qual é a forma mais rápida para alterá-lo novamente?

A9: O método mais rápido de forma programática repor todas as permissões da caixa de correio do Exchange 5.5 respectiva conta de Windows NT principal é: Exportar todas as caixas de correio Exchange 5.5 para ficheiros .csv. Abra o ficheiro .csv no bloco de notas e altere a primeira linha texto de conta principal do Windows NT para Utilizador Obj . Importe o ficheiro .csv modificado.

P10: serão mover todas as caixas de correio para o Exchange 2000 permitir que o utilizadores acedam às caixas de correio novamente?

A10: Sim. Uma alternativa possível gradual de retorno do Exchange 5.5 directório e contas de identificação e até limpar consiste em mover as caixas de correio para o Exchange 2000. Uma vez que o directório do Exchange 5.5 armazenadas o bit final que impediu que o utilizador aceder à caixa de correio, mover o utilizador para o Exchange 2000 forçará o utilizador no registo a utilizar as permissões armazenadas no Active Directory, não no Exchange 5.5. Apesar da ACE SELF danificado ainda existir no Active Directory, do Active Directory também contém o domínio ome ACE que permite ao utilizador iniciar sessão.

A Microsoft confirmou que este é um problema no Microsoft Exchange 2000 Server.