Detección y corrección de problemas de msExchMasterAccountSid

Última modificación del tema: 2006-08-16

Un buzón que se encuentra en un servidor que ejecuta Microsoft® Exchange Server 2003 o Exchange 2000 Server debe estar vinculado a una cuenta de usuario del servicio de directorio de Active Directory® para estar disponible. Este vínculo se consigue configurando diversos atributos de Active Directory en el buzón. La cuenta de Active Directory a la que se vincule el buzón de Exchange puede encontrarse en estado habilitado o deshabilitado. Una cuenta de usuario de Active Directory deshabilitada no se puede utilizar para iniciar sesión en el dominio de Active Directory.

La causa más común para la vinculación de un buzón de Exchange a una cuenta de usuario de Active Directory deshabilitada es vincular un buzón de un bosque de Active Directory a una cuenta de Microsoft Windows® NT o Active Directory fuera del bosque. No se puede asociar directamente un buzón de un bosque de Active Directory con una cuenta de usuario externa. Por lo tanto, se utiliza una cuenta de usuario deshabilitada para conseguir realizar esta tarea de manera indirecta. Esto se hace realizando las siguientes tareas, aunque no necesariamente en el orden indicado:

• Habilite para buzón una cuenta de Active Directory (Cuenta A) del mismo bosque de Active Directory que el servidor que ejecuta Exchange.

• Deshabilite la Cuenta A de Active Directory para el inicio de sesión. Sólo se deben usar cuentas deshabilitadas para asignar un buzón a una cuenta externa.

• Otorgue permisos de acceso completo a buzón y lectura a una cuenta diferente (Cuenta B) externa al bosque o que tenga un identificador de seguridad (SID) conocido. Consulte más adelante más información acerca de SID conocidos.
  El derecho de acceso completo al buzón se puede ver y modificar en las propiedades de objeto de la Cuenta A. Este derecho está visible en el cuadro de diálogo Derechos del buzón de la página Opciones avanzadas de Exchange. Este derecho se puede otorgar a varias cuentas, tanto internas como externas.

  Nota

  Para que las páginas de propiedades Opciones avanzadas de Exchange estén visibles en la consola Usuarios y equipos de Active Directory, el Administrador del sistema de Exchange debe estar instalado en la estación de trabajo administrativa.

• Otorgue el derecho Cuenta externa asociada a la cuenta externa (Cuenta B) o a un SID conocido.
  En la mayoría de los casos, los SID de Windows están asociados de forma exclusiva a una única cuenta en un único bosque de Active Directory. Un SID conocido es uno que está asociado a determinadas cuentas estándar de Windows y que es el mismo para las mismas cuentas estándar de todos los bosques. Self y Anonymous son dos ejemplos de cuentas con SID genéricos conocidos. Para obtener más información acerca de SID conocidos, consulte el artículo 243330 de Knowledge Base, "Identificadores de seguridad bien conocidos en los sistemas operativos Windows".

Sólo se pueden establecer como cuenta externa asociada las cuentas externas al bosque en el que reside Cuenta A o las cuentas con SID conocidos. La configuración de Cuenta externa asociada no es en realidad un derecho, aunque aparece para mayor comodidad en el cuadro de diálogo Derechos del buzón. Se trata más bien de una marca establecida en el descriptor de seguridad del buzón en la Cuenta A que identifica la Cuenta B como cuenta externa que debe ser "propietaria" del buzón.

Puede establecer Cuentas externas asociadas sólo en una cuenta cada vez. También debe otorgar los derechos de acceso completo al buzón y lectura a la Cuenta B para poder configurarla como Cuenta externa asociada. Active Directory no obliga a la realización simultánea de todas estas tareas, ni tampoco obliga a la eliminación de la Cuenta externa asociada omsExchMasterAccountSid si se ha vuelto a habilitar una cuenta de Active Directory. Esta consideración es importante porque solamente las cuentas deshabilitadas deben tener un usuario con el derecho Cuenta externa asociada o el atributo msExchMasterAccountSid. Cuando estos atributos no se establecen y sincronizan correctamente, pueden ocurrir varios problemas, tales como problemas con la entrega de correo a las cuentas afectadas, problemas de acceso a carpetas públicas y delegadas y, si están implicadas un gran número de cuentas, problemas generales de rendimiento con el servidor que ejecuta Exchange. Para obtener más información acerca de estos problemas, consulte los siguientes artículos de Knowledge Base:

• 812276, "Si intenta eliminar elementos que había expuesto en la carpeta pública de Exchange 2000, recibirá un mensaje de error de "Acceso denegado""
• 300456, "Los permisos de cliente y delegaciones no persisten después de asignarse a Exchange 2000"
• 309222, "El Asistente para limpieza de Active Directory establece el atributo "msExchMasterAccountSID" en los usuarios habilitados en Exchange 2000"
• 319047, "Si envía un mensaje a una cuenta deshabilitada, recibirá un Informe de no entrega"
• 278966, "No se puede mover al buzón de entrada de Exchange ni iniciar sesión en él"

Se puede establecer la Cuenta externa asociada y msExchMasterAccountSid a cualquier SID conocido o cuenta externa. Sin embargo, estos valores sólo se deben asignar en Self o en una cuenta externa. Microsoft no admite la designación de otros SID conocidos como Cuentas externas asociadas. Además, no se admite el diseño de un grupo de seguridad como Cuenta externa asociada.

Cuando una cuenta habilitada de Active Directory está asociada con un buzón de Exchange, el SID de la cuenta Active Directory (objectSid) se utiliza para realizar funciones relacionadas con la seguridad del buzón.

Como ejemplo, considere una situación en la que un usuario utiliza Microsoft Office® Outlook para otorgar permisos de cartera a otro usuario. En Outlook, otorga permisos a otros buzones, no directamente a cuentas de Active Directory. Este procedimiento indirecto permite a Outlook reconocer permisos para cuentas que no están basadas en Active Directory, como cuentas de Exchange 5.5 Server.

En Exchange Server 2003 y Exchange 2000 Server, cuando se otorga permiso en Outlook a la carpeta de otro usuario, el método normal de implementación del permiso es otorgar permiso al SID de la cuenta de Active Directory asociada con el buzón. Sin embargo, si esta cuenta está deshabilitada, estos permisos no serán útiles. Se impide que la cuenta se utilice para iniciar sesión u otorgar acceso a los recursos. Es aquí donde la Cuenta externa asociada y msExchMasterAccountSid resultan útiles, pues permiten la sustitución de un SID diferente, el SID de la cuenta externa que realmente posee el buzón, cuando Exchange evalúa credenciales de seguridad.

Si la marca de la Cuenta externa asociada se establece en las propiedades Derechos del buzón de la Cuenta A, el SID mostrado en msExchMasterAccountSid se utilizará en operaciones de seguridad para dicho buzón en lugar del objectSid para la Cuenta A. La única excepción se da si el valor msExchMasterAccountSid es una cuenta conocida Self, en cuyo caso se seguirá utilizando objectSid Si el valor msExchMasterAccountSid no existe, independientemente de si está establecida o no la Cuenta externa asociada, fallarán las operaciones de seguridad con el buzón. La Cuenta externa asociada y msExchMasterAccountSid funcionan en tándem. Por consiguiente, es vital que se sigan estas reglas:

• Una cuenta debe deshabilitarse si tiene una Cuenta externa asociada o msExchMasterAccountSid. La cuenta de Active Directory deshabilitada debe tener una Cuenta externa asociada o un msExchMasterAccountSid.
• Cada cuenta de Active Directory deshabilitada para inicio de sesión pero habilitada para buzón debe tener tanto una Cuenta externa asociada como un atributo msExchMasterAccountSid

Puede buscar cuentas habilitadas de Active Directory que tengan atributos msExchMasterAccountSid con la siguiente consulta LDAP:

(&(objectCategory=user)(msExchUserAccountControl=0)(msExchMasterAccountSid=*))

Esta consulta se puede utilizar en diversas aplicaciones y secuencias de comandos LDAP. Por ejemplo, puede utilizarla con la herramienta de exportación de directorios (LDIFDE) del Formato de intercambio de datos del protocolo LDAP (Protocolo ligero de acceso a directorios) (LDIF) de Windows 2000 Server y Windows Server™2003:

LDIFDE -F BadAccounts.txt -D "DC=CONTOSO,DC=COM" -R "(&(objectCategory=user)(msExchUserAccountControl=0)(msExchMasterAccountSid=*))"

Cada una de las cuentas que aparecen en BadAccounts.txt se debe examinar y la Cuenta externa asociada se debe quitar de ellas.

Al quitar la Cuenta externa asociada en el cuadro de diálogo Derechos del buzón se quitará automáticamente el atributo msExchMasterAccountSid. Al establecer la Cuenta externa asociada en el cuadro de diálogo Derechos del buzón se establecerá automáticamente el atributo msExchMasterAccountSid. Este comportamiento tiene lugar tanto para cuentas habilitadas como deshabilitadas de Active Directory.

Recíprocamente, también puede buscar cuentas de usuario de Active Directory deshabilitadas que no tengan un valor msExchMasterAccountSid:

(&(objectCategory=user)(msExchUserAccountControl=2)(!(msExchMasterAccountSid=*)))

Como norma general, es más probable que observe problemas en su entorno con cuentas deshabilitadas de Active Directory que no tengan un msExchMasterAccountSid que con cuentas habilitadas que sí tengan un msExchMasterAccountSid. Esta situación se produce porque no hay ningún suceso registrado para usuarios habilitados con msExchMasterAccountSid.

Para obtener más información

Para más información sobre Active Directory y buzones de Exchange, consulte Uso de atributos de Active Directory para habilitar, deshabilitar y reubicar buzones.

Para obtener más información sobre el movimiento de las bases de datos de buzones de Exchange, consulte Movimiento de una base de datos de buzones de Exchange a otro servidor o grupo de almacenamiento.