O grupo de Servidores do Exchange não tem associação de grupos padrão
[Este tópico pretende solucionar um problema específico acarretado pela ferramenta Exchange Server Analyzer. Você deve aplicá-lo apenas a sistemas em que a ferramenta Exchange Server Analyzer tenha sido executada e estejam passando por esse problema específico. A ferramenta Exchange Server Analyzer, disponível como download gratuito, coleta remotamente dados de configuração de cada servidor da topologia e analisa automaticamente os dados. O relatório resultante detalha problemas importantes de configuração, problemas potenciais e configurações de produto diferentes do padrão. Ao seguir estas recomendações, você poderá atingir melhor desempenho, escalabilidade, confiabilidade e tempo de operação. Para obter mais informações sobre a ferramenta ou para baixar as últimas versões, consulte "Microsoft Exchange Analyzers" em https://go.microsoft.com/fwlink/?linkid=34707.]
Tópico modificado em: 2008-10-17
A Ferramenta Microsoft Exchange Analyzer consulta o serviço de diretório do Active Directory para determinar o valor do atributo memberOf do objeto de contêiner de Servidores do Exchange.
O valor do atributo memberOf do objeto de contêiner dos Servidores do Exchange representa funções de administrador do Exchange Server 2007 (chamadas "grupos de segurança" no Exchange 2003) das quais o grupo de Servidores do Exchange é membro.
Por padrão, no Exchange 2007 Service Pack 1 (SP1), o grupo de Servidores do Exchange é membro do grupo de Acesso de Autorização Windows em cada domínio que tenha servidores ou usuários do Exchange com caixas de correio do Exchange. Na Exchange 2007 RTM, o grupo de Servidores do Exchange não tem associação com nenhum outro grupo.fc
Se o Exchange Analyzer determinar que o grupo de Servidores do Exchange é membro de algum grupo não padrão, ele exibirá uma mensagem de configuração não padrão.
Se o Exchange Analyzer determinar que o grupo de Servidores do Exchange é membro de algum grupo com direitos específicos estendidos do Exchange negados, ele exibirá uma mensagem de erro.
Direitos estendidos são direitos personalizados especificados por aplicativos individuais. Eles são especificados na ACL (lista de controle de acesso). Exemplos de direitos estendidos do Exchange são "Criar pasta pública" ou "Criar propriedades nomeadas no armazenamento de informações".
Os grupos a seguir, por padrão, têm uma ACE (entrada de controle de acesso) Negada para direitos estendidos específicos do Exchange:
- Admins. do Domínio
- Administração de Empresa
- Administração de Esquema
- Administradores da Organização do Exchange
Se o grupo de Servidores do Exchange herda, por meio de associação de grupo transitiva, uma ACE Negada para direitos estendidos específicos do Exchange, poderão ocorrer problemas com o proxy do servidor de acesso do cliente Exchange. Os sintomas do problema podem incluir o seguinte (mas sem se limitar a eles):
- Falha nas tentativas do proxy do servidor de Acesso para Cliente a outros sites. Ou seja, os usuários não podem usar o Outlook Web Access para fazer logon em suas caixas de correio através do servidor de Acesso para Cliente em um site que não seja o Active Directory.
- O seguinte log de eventos do aplicativo pode ser registrado:
Nome do Produto |
Exchange |
Versão do Produto |
8.0 |
Número da Compilação do Produto |
8.0 |
ID do Evento |
42 |
Origem do Evento |
MSExchange OWA |
Componente |
Clientes |
Nome Simbólico |
ProxyErrorSslConnection |
Texto da mensagem |
O servidor de Acesso para Cliente do Microsoft Exchange "%1" tentou fazer proxy no tráfego do Outlook Web Access para o servidor de Acesso para Cliente "%2". Houve falha porque um destes problemas de configuração foi encontrado:%n%n1. "%2" foi definido para usar "http://" (não usando SSL) em vez de "https://" (usando SSL). Você pode modificar isso definindo o parâmetro InternalUrl do diretório virtual do Outlook Web Access para o qual esse tráfego de proxy está indo. Você pode definir esse parâmetro usando o cmdlet Set-OwaVirtualDirectory no Shell de Gerenciamento do Exchange.%n%n2. O diretório virtual de destino retornou um código de erro HTTP 403. Normalmente, isso significa que ele não está configurado para aceitar acesso SSL. Você pode alterar essa configuração usando o Gerenciador de Serviços de Internet no servidor de Acesso para Cliente "%2".%n%nSe não desejar que essa conexão proxy use SSL, você precisa definir a chave de registro "AllowProxyingWithoutSSL" nesse servidor de Acesso para Cliente e definir as configurações InternalUrl e SSL do diretório virtual do Outlook Web Access para o qual este tráfego está sendo encaminhado. |
Para resolver o erro, remova o grupo de Servidores do Exchange da associação nos seguintes grupos:
- Admins. do Domínio
- Administração de Empresa
- Administração de Esquema
- Administradores da Organização do Exchange
Para remover o grupo de Servidores do Exchange da associação em um grupo restrito ou não padrão
Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Usuários e Computadores do Active Directory.
Na árvore de console Usuários e Computadores do Active Directory, expanda o domínio.
Navegue até o contêiner Grupos de Segurança do Microsoft Exchange e selecione-o.
No painel de detalhes, clique com o botão direito em Servidores do Exchange e clique em Propriedades.
Na guia Membro de, selecione o(s) grupo(s) do(s) qual(is) deseja remover o grupo de Servidores do Exchange e clique em Remover.
Confirme a remoção clicando em Sim na caixa de diálogo Remover usuário do grupo.
Clique em OK para fechar as Propriedades dos Servidores do Exchange.
Para obter mais informações sobre esse problema, consulte os seguintes recursos da Microsoft:
- Referência de permissões de configuração do Exchange 2007 Server (https://go.microsoft.com/fwlink/?LinkId=131330)
- Noções Básicas de Proxy e Redirecionamento (https://go.microsoft.com/fwlink/?LinkId=131340)
- MSExchange OWA_42 (https://go.microsoft.com/fwlink/?LinkId=131375)