Erkennen und Behandeln von Problemen mit msExchMasterAccountSid
Letztes Änderungsdatum des Themas: 2006-08-16
Auf ein Postfach auf einem Server, auf dem Microsoft® Exchange Server 2003 oder Exchange 2000 Server ausgeführt wird, kann nur dann zugegriffen werden, wenn es mit einem Active Directory®-Verzeichnisdienst-Benutzerkonto verknüpft ist. Diese Verknüpfung wird durch das Festlegen mehrerer Active Directory-Attribute für das Postfach durchgeführt. Das mit dem Exchange-Postfach verknüpfte Active Directory-Konto kann aktiviert oder deaktiviert sein. Ein deaktiviertes Active Directory-Benutzerkonto kann nicht zur Anmeldung an der Active Directory-Domäne verwendet werden.
In der Regel werden Exchange-Postfächer dann mit einem deaktivierten Active Directory-Benutzerkonto verknüpft, wenn ein Postfach in einer Active Directory-Gesamtstruktur mit einem Microsoft Windows® NT-Konto oder einem Active Directory-Konto außerhalb der Gesamtstruktur verknüpft werden soll. Es ist nicht möglich, einem Postfach in einer Active Directory-Gesamtstruktur ein externes Benutzerkonto zuzuordnen. Dieses Ziel wird indirekt mithilfe eines deaktivierten Benutzerkontos erreicht. Führen Sie dazu die folgenden Schritte in beliebiger Reihenfolge durch:
Aktivieren Sie ein Active Directory-Konto (Konto A) für Postfächer in der Active Directory-Gesamtstruktur, der der Server angehört, auf dem Exchange ausgeführt wird.
Deaktivieren Sie die Anmeldung für das Active Directory-Konto A. Für die Zuweisung eines Postfachs zu einem externen Konto können nur deaktivierte Konten verwendet werden.
Weisen Sie einem anderen Konto (Konto B), das sich außerhalb der Gesamtstruktur befindet oder bei dem es sich um eine bekannte SID (Security Identifier) handelt, die Berechtigungen Vollständiger Postfachzugriff und Lesen zu. Zusätzliche Informationen zu bekannten SIDs finden Sie weiter unten.
Die Berechtigung Vollständiger Postfachzugriff kann in den Objekteigenschaften von Konto A angezeigt und geändert werden. Sie wird im Dialogfeld Postfachrechte auf der Seite Exchange – Erweitert angezeigt. Dieses Recht kann sowohl internen als auch externen Konten gewährt werden..gif "note")
Anmerkung:Die Exchange – Erweitert-Eigenschaftenseiten werden nur dann in der Konsole Active Directory-Benutzer und -Computer angezeigt, wenn Exchange-System-Manager auf der Verwaltungsarbeitsstation installiert ist. Weisen Sie dem externen Konto (Konto B) bzw. der bekannten SID die Berechtigung Zugeordnetes externes Konto zu.
In den meisten Fällen werden SIDs in Windows eindeutig einem einzigen Konto in einer einzigen Active Directory-Gesamtstruktur zugeordnet. Eine bekannte SID ist eine SID, die bestimmten Windows-Standardkonten zugeordnet ist und die für diese Standardkonten in allen Gesamtstrukturen gleich ist. „Self“ und „Anonymous“ sind Beispiele für Konten mit bekannten generischen SIDs. Weitere Informationen zu bekannten SIDs finden Sie im Microsoft Knowledge Base-Artikel 243330, "Bekannte Sicherheits-IDs in Windows-Betriebssystemen".
Nur Konten, die sich außerhalb der Gesamtstruktur befinden, der Konto A angehört, oder Konten mit bekannten SIDs können als Zugeordnetes externes Konto festgelegt werden. Die Einstellung Zugeordnetes externes Konto ist eigentlich keine Berechtigung, obwohl Sie aus praktischen Gründen im Dialogfeld Postfachberechtigungen angezeigt wird. Es handelt sich vielmehr um ein in der Postfach-Sicherheitsbeschreibung von Konto A festgelegtes Kennzeichen, der Konto B als externes Konto bestimmt, dem das Postfach „gehören“ sollte.
Die Einstellung Zugeordnetes externes Konto kann zu jedem Zeitpunkt nur für ein Konto festgelegt werden. Konto B kann nur dann als Zugeordnetes externes Konto festgelegt werden, wenn ihm die Berechtigungen Vollständiger Postfachzugriff und Lesen gewährt werden. Active Directory garantiert weder, dass diese Aufgaben gleichzeitig durchgeführt werden, noch dass das zugeordnete externe Konto oder msExchMasterAccountSid entfernt werden, wenn ein Active Directory-Konto erneut aktiviert wird. Diese Überlegung ist wichtig, da nur deaktivierte Konten einen Benutzer mit der Berechtigung Zugeordnetes externes Konto oder mit dem msExchMasterAccountSid-Attribut aufweisen dürfen. Wenn diese Attribute nicht richtig festgelegt und synchronisiert werden, können verschiedene Probleme auftreten. Dazu gehören Probleme bei der E-Mail-Zustellung an die betreffenden Konten, Probleme beim Stellvertreterzugriff und beim Zugriff auf Öffentliche Ordner und, falls viele Konten betroffen sind, allgemein Leistungseinbußen auf dem Server, auf dem Exchange ausgeführt wird. Weitere Informationen zu diesen Problemen finden Sie in den folgenden Knowledge Base-Artikeln:
- 812276, "You receive an "Access denied" error message when you try to delete items that you posted to a Public Folder in Exchange 2000"
- 300456, "Clientberechtigungen und Delegierungen bleiben nach der Zuweisung in Exchange 2000 nicht erhalten"
- 309222, "Im Assistenten für die Active Directory-Bereinigung wird das Attribut "MsExchMasterAccountSID" auf die aktivierten Benutzer in Exchange 2000 festgelegt"
- 319047, "You receive a non-delivery report when you send a message to a disabled account"
- 278966, "Verschieben eines Exchange-Ressourcenpostfachs oder Anmelden bei diesem Postfach nicht möglich
Es ist möglich, das zugeordnete externe Konto und msExchMasterAccountSid für eine beliebige bekannte SID oder für ein externes Konto festzulegen. Diese Werte sollten aber nur „Self“ oder einem externen Konto zugewiesen werden. Das Festlegen anderer bekannter SIDs als Zugeordnetes externes Konto wird von Microsoft nicht unterstützt. Auch das Festlegen einer Sicherheitsgruppe als Zugeordnetes externes Konto wird nicht unterstützt.
Wenn ein aktiviertes Active Directory-Konto einem Exchange-Postfach zugeordnet wird, wird die SID des Active Directory-Kontos (objectSid) für sicherheitsbezogene Postfachfunktionen verwendet.
Angenommen, ein Benutzer gewährt mithilfe von Microsoft Office® Outlook einem anderen Benutzer Ordnerberechtigungen. In Outlook werden Berechtigungen nicht direkt Active Directory-Konten, sondern Postfächern gewährt. Durch diesen Umweg kann Outlook Berechtigungen für Konten erkennen, die nicht auf Active Directory basieren, z. B. Exchange 5.5 Server-Konten.
In Exchange Server 2003 und Exchange 2000 Server werden Berechtigungen, die in Outlook für den Ordner eines anderen Benutzer gewährt werden, normalerweise implementiert, indem der SID des dem Postfach zugeordneten Active Directory-Kontos die Berechtigung gewährt wird. Diese Berechtigungen sind allerdings wertlos, wenn dieses Konto deaktiviert ist. Das Konto kann nicht zum Anmelden oder zum Gewähren von Zugriff auf Ressourcen verwendet werden. An dieser Stelle kommen die Einstellungen Zugeordnetes externes Konto und msExchMasterAccountSid zum Tragen. Sie ermöglichen beim Auswerten der Sicherheitsinformationen durch Exchange das Ersetzen durch eine andere SID, die SID des externen Kontos, dem das Postfach in Wirklichkeit gehört.
Wenn in den Postfachberechtigungen von Konto A das Kennzeichen Zugeordnetes externes Konto festgelegt ist, wird die in msExchMasterAccountSid aufgeführte SID statt der objectSid für Konto A bei Sicherheitsoperationen verwendet. Die einzige Ausnahme liegt dann vor, wenn der Wert von msExchMasterAccountSid das bekannte Konto Self ist. In diesem Falle wird die objectSid verwendet. Wenn msExchMasterAccountSid keinen Wert aufweist, schlagen Sicherheitsoperationen für dieses Postfach fehl, unabhängig davon, ob ein zugeordnetes externes Konto festgelegt ist. Zugeordnetes externes Konto und msExchMasterAccountSid arbeiten zusammen. Es ist daher unbedingt erforderlich, dass die folgenden Regeln eingehalten werden:
- Ein Konto mit Zugeordnetes externes Konto oder msExchMasterAccountSid muss deaktiviert sein. Ein aktiviertes Konto darf weder Zugeordnetes externes Konto noch msExchMasterAccountSid aufweisen.
- Für ein Active Directory-Konto mit deaktivierter Anmeldung und aktiviertem Postfach müssen sowohl Zugeordnetes externes Konto als auch ein msExchMasterAccountSid-Attribut festgelegt sein.
Mit der folgenden LDAP-Abfrage können Sie nach aktivierten Active Directory-Konten mit msExchMasterAccountSid-Attributen suchen:
(&(objectCategory=user)(msExchUserAccountControl=0)(msExchMasterAccountSid=*))
Diese Abfrage kann in LDAP-Abfragen und Skripts verwendet werden. Es kann z. B. mit dem LDIFDE-Tool (Lightweight Directory Access Protocol (LDAP) Data Interchange Format (LDIF) Directory Export (LDIFDE)) unter Windows 2000 Server und Windows Server™ 2003 verwendet werden:
LDIFDE -F BadAccounts.txt -D "DC=CONTOSO,DC=COM" -R "(&(objectCategory=user)(msExchUserAccountControl=0)(msExchMasterAccountSid=*))"
Jedes der in der Datei BadAccounts.txt aufgeführten Konten sollte untersucht und Zugeordnetes externes Konto daraus entfernt werden.
Beim Entfernen von Zugeordnetes externes Konto im Dialogfeld Postfachberechtigungen wird das msExchMasterAccountSid-Attribut automatisch entfernt. Beim Festlegen von Zugeordnetes externes Konto im Dialogfeld Postfachberechtigungen wird das msExchMasterAccountSid-Attribut automatisch festgelegt. Dieses Verhalten tritt sowohl bei aktivierten als auch bei deaktivierten Active Directory-Konten auf.
Sie können andererseits auch nach deaktivierten Active Directory-Benutzerkonten ohne msExchMasterAccountSid-Wert suchen:
(&(objectCategory=user)(msExchUserAccountControl=2)(!(msExchMasterAccountSid=*)))
Im Allgemeinen treten Probleme eher bei deaktivierten Active Directory-Konten ohne msExchMasterAccountSid als bei aktivierten Konten mit msExchMasterAccountSid auf. Dies liegt daran, dass für aktivierte Benutzer mit msExchMasterAccountSid kein Ereignis protokolliert wird.
Weitere Informationen
Weitere Informationen zu Active Directory und Exchange-Postfächern finden Sie unter Aktivieren, Deaktivieren und Verschieben von Postfächern mit Active Directory-Attributen.
Weitere Informationen über das Verschieben von Exchange-Postfachdatenbanken finden Sie unter Verschieben einer Exchange-Postfachdatenbank auf einen anderen Server oder in eine andere Speichergruppe.