Problemas con los permisos en un entorno mixto de Exchange Server 2003 y Exchange Server 5.5

Última modificación del tema: 2005-06-21

Que un usuario no pueda ver carpetas públicas en Outlook a menudo es el primer síntoma de un problema de permisos. En esta sección se describen algunas formas de determinar si el problema está causado por la replicación de permisos y cómo se puede hacer un seguimiento del origen del problema.

Determinar qué impide a un usuario ver una carpeta pública en Outlook

Determine cuál de las siguientes situaciones impide a un usuario ver una carpeta pública en Outlook:

• La carpeta pública no se replicó en el servidor.
• Los permisos de la carpeta pública no se convirtieron correctamente.

La mejor manera de determinar la causa del problema es ver el árbol de carpetas en el Administrador del sistema de Exchange. Si la carpeta pública aparece en el árbol cuando el Administrador del sistema de Exchange se conecta a un almacén de carpetas públicas concreto, pero un usuario con un buzón en el mismo servidor que este almacén no puede ver la carpeta pública, el problema está relacionado con los permisos, no con la replicación. No obstante, si la carpeta pública no existe en el árbol, puede que se trate de un problema de replicación.

Ver las listas de control de acceso en el Administrador del sistema de Exchange

En entornos de modo mixto donde los permisos de listas de control de acceso (ACL) no se han convertido correctamente en datos ptagNTSD, es posible que los usuarios no tengan acceso a la carpeta, aunque los permisos parezcan correctos en el Administrador del sistema de Exchange. Para obtener más información acerca del proceso de conversión y las propiedades involucradas, consulte "Trabajar con permisos para carpetas públicas y buzones" en la Exchange Server 2003 Administration Guide.

Cuando se utiliza el Administrador del sistema de Exchange para ver los permisos de una carpeta pública en el árbol predeterminado Carpetas públicas (también llamado el árbol MAPI), el Administrador del sistema de Exchange muestra los permisos contenidos en la propiedad ptagACLData (si existe) en lugar de volver a calcular los permisos de la propiedad ptagNTSD. En otras palabras, el Administrador del sistema de Exchange muestra los permisos de la propiedad replicado en (que Exchange descarta normalmente) en lugar de los permisos que se calculan de la propiedad ptagNTSD, que controla realmente el acceso a la carpeta. Utilice el siguiente procedimiento para ver los permisos de ptagNTSD.

Para conocer con detalles los pasos para ver los permisos de ptagNTSD relativos a una carpeta en el Administrador del sistema de Exchange, consulte Cómo ver los permisos de ptagNTSD relativos a una carpeta en el Administrador del sistema de Exchange.

Supervisar sucesos de permisos en el Visor de sucesos

Puede utilizar el registro de diagnóstico para registrar sucesos de permisos en el registro de sucesos de la aplicación del Visor de sucesos. De forma predeterminada, el nivel de registro de carpetas públicas está establecido en Ninguno y sólo se registran los errores críticos.

En la ficha Registro de diagnóstico de las Propiedades de un servidor que ejecuta Exchange Server 2003, puede aumentar el nivel de registro de una carpeta pública. Con este aumento del nivel de registro puede obtener información más detallada sobre los permisos.

Para ver los intentos de acceso de usuarios individuales a carpetas y que se muestren los permisos concedidos a los usuarios cuando intenten tener acceso a carpetas, establezca el nivel máximo para los diagnósticos Inicios de sesión y Control de acceso.

Para conocer con detalles los pasos para establecer los diagnósticos Inicios de sesión y Control de acceso en el nivel máximo, consulte Cómo establecer los diagnósticos Inicios de sesión y Control de acceso en el nivel máximo.

Id. de suceso 9548: El usuario deshabilitado no tiene una cuenta maestra SID

Cuando usuarios que no son los propietarios de las carpetas no pueden tener acceso a una carpeta, busque los sucesos 9548 y 9551 en el registro de sucesos de la aplicación. (El suceso 9551 se trata en la sección siguiente.)

Event ID: 9548

Date: 2/11/2000

Time: 9:44:25 AM

User: <user>

Computer: <servername>

Description:

Disabled user <user> does not have a master account SID. Please use Active Directory MMC to set an active account as this user's master account.

Si se muestran los permisos del cliente relativos a la carpeta con el Administrador del sistema de Exchange, inicialmente son correctos. No obstante, la visualización de los permisos con el cuadro de diálogo Avanzados (estos son los permisos iniciales almacenados en la propiedad ptagNTSD) indica que únicamente el propietario se ha convertido correctamente desde la versión de Microsoft Exchange Server 5.5 de los permisos a la versión de Exchange Server 2003.

Hay dos posibles causas de este problema:

• El servicio de directorio de Active Directory no tiene configurada ninguna confianza para el dominio de Microsoft Windows NT Server 4.0 que tiene la cuenta del usuario.
• Se ha deshabilitado manualmente al usuario y no tiene una cuenta externa.

Debería poder solucionar el problema con las siguientes medidas:

• Quite las cuentas deshabilitadas de la ACL.
• Proporcione cuentas externas asociadas a las cuentas deshabilitadas.
• Cree una confianza entre el dominio de Windows NT Server 4.0 (o externo de Windows) y Active Directory. Esta confianza proporciona cuentas externas asociadas a las cuentas deshabilitadas. También proporciona identificadores de seguridad de cuenta maestra (SID).

Id. de suceso 9551: Error al actualizar la ACL en la carpeta que se encuentra en la base de datos

Cuando usuarios que no son los propietarios de las carpetas no pueden tener acceso a una carpeta, busque los sucesos 9548 y 9551 en el registro de sucesos de la aplicación. (El suceso 9548 se trata en la sección anterior.) Cuando se produce el suceso 9551, éste se registra cada vez que un usuario intenta tener acceso a la carpeta.

Event ID: 9551

Date: 2/11/2000

Time: 9:44:25 AM

User: <user>

Computer: <servername>

Description:

An error occurred while upgrading the ACL on folder <folder> located on database <database>.

The Information Store was unable to convert the security for <user> into a Microsoft Windows 2000 Security Identifier.

It is possible that this is caused by latency in the Active Directory Service, if so, wait until the user record is replicated to the Active Directory and attempt to access the folder (it will be upgraded in place). If the specified object does NOT get replicated to the Active Directory, use the Microsoft Exchange System Manager or the Exchange Client to update the ACL on the folder manually.

The access rights in the ACE for this DN were 0x41b.

Hay tres causas posibles de los problemas de actualización:

• No hay ningún acuerdo de conexión de usuario para replicar los buzones de Exchange Server 5.5 en Active Directory.
• El usuario se ha eliminado de Active Directory.
• Se produce latencia en la replicación.

Cuando Exchange Server 2003 recibe el mensaje de replicación, intentará actualizar los datos almacenados en ptagACLData a los SID de Windows NT Server 4.0. Si no es posible realizar la actualización, sólo se almacenarán los propietarios en ptagNTSD. Nadie más podrá tener acceso a la carpeta.

Debería poder solucionar el problema con las siguientes medidas:

• Quite la entrada no válida.
• Replique el usuario que falta en Active Directory.

Id. de sucesos 9552 ó 9556: No es posible convertir la lista de distribución al grupo de seguridad

Cuando los usuarios que pertenezcan a una lista de distribución o grupo específicos no puedan tener acceso a una carpeta, busque los sucesos 9552 ó 9556 en el registro de sucesos de la aplicación. A continuación se muestra la descripción de los sucesos 9552 y 9556:

9552

While processing public folder replication, moving user, or copying folders on database <database>, DL <distribution list> could not be converted to a security group.

Please grant or deny permissions to this DL on Folder <folder> again. This most likely is because your system is in a mixed domain.

9556

Unable to set permission for DL <distribution list> because it could not be converted to a security group. This most likely is because your system is in a mixed domain.

Además, los usuarios de Outlook que intenten establecer permisos para usuarios que no tienen acceso pueden recibir el siguiente error:

The modified permissions could not be saved. The client operation failed.

Los administradores que utilicen el Administrador del sistema de Exchange e intenten establecer permisos para usuarios que no tienen acceso pueden recibir el siguiente error:

The operation failed. ID no 8004005 Exchange System Manager.

La causa más probable de estos errores es que la lista de distribución de Exchange Server 5.5 a la que pertenecen los usuarios se replicó en un dominio de modo mixto de Active Directory y no en un dominio de modo nativo de Active Directory. Como resultado, el grupo de distribución universal que corresponde a la lista de distribución se creó en un dominio de modo mixto de Active Directory. El dominio en el que se replican los grupos está configurado en el acuerdo de conexión de usuario que rige la migración de listas de distribución de Exchange Server 5.5 a Active Directory.

Para utilizarlo al establecer permisos, el grupo de distribución universal se debe convertir en un grupo de seguridad universal. Esta conversión sólo puede producirse si el grupo de distribución universal se ha creado en un dominio de modo nativo. Para obtener más información acerca de este proceso de conversión, consulte "Trabajar con permisos para carpetas públicas y buzones" en la Exchange Server 2003 Administration Guide.

Para solucionar el problema de conversión, realice lo siguiente:

1. Cree un dominio de modo nativo en Active Directory.
2. Configure el acuerdo de conexión de usuario de manera que utilice el nuevo dominio para los grupos que migre desde Exchange Server 5.5.