Resolução de no artigo 317721 falhar corrigir o problema de remoção direitos do proprietário da caixa de correio

Após atualizar seu Active Directory Connector (ADC) conforme descrito no seguinte artigo Base de dados de Conhecimento Microsoft, problemas de permissão de caixa de correio continuam a ocorrer.

O problema que caixas de correio continuam a enfrentar pode incluir os seguintes comportamentos:

• Os usuários receber a seguinte mensagem de erro ao tentar fazer logon caixa de correio Microsoft Exchange Server 5.5:
  Acesso negado
• O direito de proprietário da caixa de correio é removido das permissões para a conta afetada quando você exibir permissões no programa Exchange 5.5 Server Administrator.

msexchmailboxsecuritydescriptor foi corrompido para contas do Active Directory (AD) que anteriormente tinham um contrato de conexão unidirecionais (CA) executado na versão do Service Pack 2 do ADC. Essa corrupção é replicada do Active Directory para o Exchange 5.5 caixa de correio quando você altera a autoridade de certificação para bidirecional.

Identificar apenas as contas que são afetadas, executar limpeza conforme descrito no artigo da Base de dados de Conhecimento da Microsoft 317721 (consulte "Sintomas" seção) e replicar o Active Directory novamente.

As perguntas e respostas a seguir fornecem informações adicionais:

T1: É esse problema ocorrer com todas as versões antes do ADC hotfix?

A1: Não. A versão-para-fabricação (RTM) e Service Pack (SP) 1 versões do ADC não irão causar esse problema. Os clientes que usaram o SP2 versão do ADC para executar um contrato unidirecional conexão terá o problema.

Q2: instalei o ADC do Microsoft Exchange Server 2003, o ADC SP3 ou o ADC pós-SP2 hotfix (5770.45/q317861engi.exe) antes de alternei para CA bidirecional, mas as permissões de caixa de correio ainda foram removidas após alternei para um bidirecional. Por que?

A2: Porque você usou um ADC do SP2 para executar uma autoridade de certificação unidirecional um dia no passado. Depois que uma autoridade de certificação unidirecional é executada, as contas carimbadas são colocadas em um estado "pre-removal". Quando estiverem nesse estado, instalar o ADC posterior versão não é possível impedir 5.5 remoção de permissão de caixa de correio depois que você alternar para danos de CA. One-way SP2 CAs bidirecional contas do Active Directory, mas os usuários não Observe os efeitos. Quando existe uma autoridade de certificação bidirecional (ou uma autoridade de certificação unidirecional na direção oposta), você note os efeitos completos danificado do Active Directory descritores de segurança.

T3: como saber se as caixas de correio estão no estado "pre-removal", como mencionado anteriormente?

A3: Não é os objetos do Exchange 5.5 que estão nesse estado. Suas contas do Active Directory associadas são colocadas em um "pre-removal" ou estado danificado. Você pode identificar candidatos à remoção de permissão de caixa de correio se não houver direitos de caixa de correio com pelo menos duas entradas de controle de acesso (ACEs), uma entrada de domínio e uma entrada própria no Active Directory associado propriedades da conta. Se você exibir a entrada própria, ele não possui a caixa de seleção Full mailbox access . A entrada de domínio é o proprietário de caixa de correio true e ter a caixa de seleção Full mailbox access selecionada.

Q4: como posso impedir da própria ausente "Full Mailbox Access" duplicando para o Exchange 5.5?

A4:Quando você redefine msexchmailboxsecuritydescriptor nas contas do Active Directory, da própria ACE é armazenado no msexchmailboxsecuritydescriptor , para que o atributo diretamente vinculado ao direitos de caixa de correio. Da mesma forma, a caixa de seleção Full mailbox access do Active Directory está vinculada diretamente a caixa de seleção do 5.5 proprietário da caixa de correio do Exchange.

Q5: Estou usando ADSIEdit para exibir o msexchmailboxsecuritydescriptor de uma conta de problema e está em branco. Mas o Active Directory Users and ADUC (computadores) mostra que existem direitos de caixa de correio. Por que?

A5: Ainda há um valor presente, mas o ADSIEdit não é possível exibir o conteúdo desse campo. Lembre-se que o campo não é vazio a menos que o valor seja < não definido >. Se você desmarcar esse atributo para que ele diz < não definido >, e em seguida, retornar ao direitos de caixa de correio no ADUC, você receberá uma mensagem de erro c1033028.

Q6: ele parece mais fácil criar um script para remover msexchmailboxsecuritydescriptor todas as contas do Active Directory. Isso representar uma ameaça?

A6: Sim. Não remova esse valor de contas do Active Directory que têm caixas de correio do Exchange 2000. Artigo da Base de dados de Conhecimento da Microsoft 317721 informa que você deve remover o valor apenas dessas contas do Active Directory com caixas de correio Exchange 5.5 que foram afetadas. Isso significa que você deve identificar as contas com o problema.

Q7: eu estou reimportando meu arquivo .csv conforme descrito no artigo da Base de dados de Conhecimento da Microsoft 317721, mas percebi que a versão de objeto não é incrementado para algumas das caixas de correio da Exchange 5.5. Como resultado, as permissões de proprietário de caixa de 5.5 correio são excluídas quando o ADC serviço está ativado novamente. O que foi errado?

A7: Você provavelmente criou seu próprio arquivo .csv personalizado e exportados para ele. Verificar se o arquivo .CSV não tem o email endereços coluna. Se estiver faltando, isso explica por que versão do objeto não será incrementado. Porque a versão do objeto não é aumentado, o msexchmailboxsecuritydescriptor removido no Active Directory conta substitui as configurações do Exchange 5.5. A exportação de CSV padrão inclui a coluna de endereços de email .

Q8: artigo da Base de dados de Conhecimento da Microsoft 317721 diz "Se uma exportação de permissões foi feita antes de alterar as permissões, fazer uma importação de diretório de permissões". Qual campo de cabeçalho para use para exportar essas permissões?

A8: Obj-usuário é o campo de cabeçalho que você pode exportar para. O arquivo .csv resultante exibirá essas contas com a função de "Usuário" em uma caixa de correio. Por padrão, a conta primária do Microsoft Windows NT tem a função de "Usuário". Essa função inclui o direito de proprietário da caixa de correio . ( Observe A versão no plural obj-usuários, tem o mesmo efeito. Esses campos de cabeçalho não podem estar listados no utilitário header.exe.)

Q9: todas as caixas de correio Exchange 5.5 são definidas como a função de "Custom" e a caixa de seleção do proprietário da caixa de correio será removida. O que é a maneira mais rápida de alterar essa volta?

A9: O método mais rápido de programaticamente redefinir todas as permissões de caixa de correio do Exchange 5.5 à sua conta principal do Windows NT é: exportar todos os caixas de correio do Exchange 5.5 para arquivos .csv. Abra o arquivo .csv no bloco de notas e altere a primeira linha texto de conta principal do Windows NT para Usuário Obj . Importe o arquivo .csv modificado.

Q10: mover todas as caixas de correio para o Exchange 2000 serão permitir que os usuários acessar suas caixas de correio novamente?

A10: Sim. Uma alternativa possível para o Exchange 5.5 sem interrupção-back diretório e contas de identificação e limpando é mover as caixas de correio para o Exchange 2000. Porque o diretório do Exchange 5.5 armazenado o bit final que impediu que o usuário acessar a caixa de correio, movendo o usuário para o Exchange 2000 irá forçar o usuário log-on para usar permissões armazenadas no Active Directory, não no Exchange 5.5. Embora a ACE própria corrompido ainda existe no Active Directory, o Active Directory também contém a ACE que permite que o usuário para fazer logon no domínio.

A Microsoft confirmou que este é um problema no Microsoft Exchange 2000 Server.