混合模式拓扑的特殊注意事项
上一次修改主题: 2005-05-06
本主题仅讨论在公用文件夹环境中的连接协议。若要详细了解混合模式的拓扑(同时包括 Exchange Server 2003 和 Exchange Server 5.5 服务器的拓扑),包括如何设置 Active Directory 连接器 (ADC),以及如何使用连接协议,请参阅 Exchange Server 2003 Deployment Guide中的“从 Exchange Server 5.5 迁移”和“升级混合的 Exchange 2000 服务器和 Exchange Server 5.5 组织”。
由 Active Directory 连接器所维护的连接协议在 Exchange Server 5.5 目录与 Active Directory 之间同步用户和组信息、公用文件夹信息以及其他配置信息。有了此信息,复制邮件就可以像在 Exchange Server 2003 服务器之间传递那样,在 Exchange Server 2003 服务器与 Exchange Server 5.5 服务器之间传递。
.gif "note") 注意: |
|---|
| Exchange Server 5.5 服务器可以驻留“公用文件夹”树中的文件夹的副本。它们不能驻留常规用途的公用文件夹树中的文件夹的副本。 |
连接协议和公用文件夹复制
所有三种类型的连接协议(配置连接协议、用户连接协议和公用文件夹连接协议)对公用文件夹复制都很重要。
.gif "important") 重要提示: |
|---|
| Exchange Server 5.5 不支持常规用途的公用文件夹树。但是,可以配置 Exchange Server 5.5 服务器,使其参与路由常规用途树的复制邮件。为此,必须在 Exchange Server 5.5 目录中名为“Exchange 2003 配置对象”的特殊容器中,添加常规用途公用文件夹存储的条目。 |
配置连接协议
配置连接协议 (Config CA) 用于在 Exchange Server 5.5 与 Active Directory 之间复制站点和管理组配置对象。Exchange 安装程序自动创建 Config CA。下表列出了 Config CA 所处理的重要属性。在 Exchange Server 2003 与 Exchange Server 5.5 服务器之间复制“公用文件夹”树时,将使用这些属性。
ADC 从 Exchange Server 5.5 Site-MDB-Config 对象复制到 Active Directory 中的管理组对象的属性
| Exchange Server 5.5 | Active Directory | 描述 |
|---|---|---|
Site-Folder-Guid |
siteFolderGUID |
用于标识此站点的站点文件夹。 |
Site-Folder-Server |
siteFolderServer |
负责驻留站点文件夹的服务器(通常为站点或管理组中的第一台服务器)的名称。 |
Folders-Container |
msExchPfCreation |
Exchange Server 5.5 中创建公用文件夹目录条目的位置。如果此属性不存在,则使用“收件人”容器。在 Exchange Server 2003 中,存储在启动时读取此属性,以确定在 Exchange Server 2003 中创建文件夹时必须使用哪个 LegacyExchangeDN。公用文件夹连接协议使用此属性将新文件夹重新复制到 Exchange Server 5.5 中的正确容器。 |
ADC 从 Exchange Server 5.5 Microsoft 公用 MDB 对象复制到 Active Directory 中的公用文件夹存储对象的属性
| Exchange Server 5.5 | Active Directory | 描述 |
|---|---|---|
Obj-Dist-Name |
LegacyExchangeDN |
跟踪公用文件夹存储的 Exchange Server 5.5 兼容名称。 |
Email Addresses |
proxyAddresses |
标识公用文件夹存储的电子邮件地址。 |
Home-MTA |
HomeMTA |
将 Home-MTA 复制到 Exchange Server 5.5,以便 Exchange Server 5.5 可以将复制邮件路由到 Exchange Server 2003。 |
Exchange Server 5.5 服务器可以为常规用途公用文件夹树路由复制邮件。下表列出了用于实现此功能的属性。这些属性从 Active Directory 复制到 Exchange Server 5.5 目录内的“Exchange Server 2003 配置对象”容器。
从 Active Directory 复制到 Exchange Server 5.5 中的 Exchange Server 2003 配置对象容器的属性
| Active Directory | Exchange Server 5.5 | 描述 |
|---|---|---|
LegacyExchangeDN |
Modified Obj-Dist-Name |
LegacyExchangeDN 属性不直接映射到 Obj-Dist-Name 属性。(否则,常规用途的公用文件夹存储对象会与“公用文件夹”树的公用文件夹存储对象位于相同的容器中。)相反,将把常规用途公用文件夹存储对象放在“Exchange 2003 配置对象”容器中。 |
LegacyExchangeDN |
X.500 Pilgrim Address |
复制到其他 X.500(即 pilgrim)地址。 |
HomeMTA |
Home-MTA |
将 HomeMTA 值复制到 Exchange Server 5.5,以便 Exchange Server 5.5 能够将复制邮件路由到 Exchange Server 2003。 |
proxyAddresses |
Email Addresses |
将存储的电子邮件地址复制到 Exchange Server 5.5 中的存储对象。 |
| 重要提示: |
|---|
| 如果需要能够使用 Exchange Server 5.5 Internet 邮件连接器 (IMC) 来复制常规用途的公用文件夹树的信息,则必须在 Exchange Server 5.5 目录中为常规用途的存储对象配置其他 X.500 代理地址。应将 Exchange Server 5.5 Obj-Dist-Name 用作新代理地址。 |
用户连接协议
用户连接协议将 Exchange Server 5.5 邮箱、自定义收件人和通讯组列表复制到 Active Directory 用户、联系人和组。由于这些对象是在公用文件夹访问控制列表 (ACL) 中使用的,因此,正确复制此信息是至关重要的。
公用文件夹连接协议
公用文件夹连接协议用于在 Exchange Server 5.5 与 Active Directory 之间复制公用文件夹目录对象。在 Exchange Server 5.5 中,所有公用文件夹都具有目录对象。在 Exchange Server 2003 中,只有已启用邮件的公用文件夹具有目录对象。默认情况下,在混合模式中,自动对“公用文件夹”树中的文件夹启用邮件。
设置公用文件夹连接协议可以防止下列问题:
- 如果在 Exchange Server 2003 中创建的文件夹在 Exchange Server 5.5 目录中没有对应的目录条目,则不能通过 Exchange Server 5.5 对它们进行管理。Exchange Server 5.5 管理程序要求所有公用文件夹都有目录对象。
- 如果使用 Exchange 系统管理器来管理在 Exchange Server 5.5 中创建的、在 Active Directory 中没有相应对象的文件夹,将产生错误。文件夹具有指示它已启用邮件的属性,因此 Exchange 系统管理器尝试找到该文件夹的目录对象。此错误可以消除,并且您仍然可以管理文件夹,但是在每次使用该文件夹时都会遇到同一错误。此外,管理员可能再次尝试对该文件夹启用邮件功能,并在 Active Directory 中为该文件夹创建一个单独的对象。这种情况下,如果公用文件夹连接协议已经建立,则同一个文件夹将有两个目录对象,并且发送到该文件夹的电子邮件会因无法传递而被退回。
- 如果没有正确复制文件夹对象,则在 Exchange Server 5.5 上运行 DS/IS 一致性调整程序的管理员可以在 Exchange Server 5.5 目录中创建与 Active Directory 中的文件夹对象不对应的文件夹对象。这种情况下,如果公用文件夹连接协议已经建立,则同一个文件夹将有两个目录对象,并且发送到该文件夹的电子邮件会因无法传递而被退回。
- 将来可能需要通过电子邮件发送文件夹。如果在您需要此功能时发现所有的 Exchange Server 5.5 服务器都已被删除,则说明复制目录对象的源位置不再存在,因此必须手动更新文件夹(或者通过使用脚本再次对其启用邮件功能)。
Active Directory 与 Exchange Server 5.5 目录之间的公用文件夹对象复制原理的详细信息
| Exchange Server 5.5 到 Active Directory | Active Directory 到 Exchange Server 5.5 |
|---|---|
在 Exchange Server 5.5 目录中搜索公用文件夹对象(从站点级开始)。这意味着,在所有容器中搜索公用文件夹对象,而不是仅在“收件人”容器中搜索。 |
在 Active Directory 的“Microsoft Exchange 系统对象”容器中搜索公用文件夹对象。这是保存公用文件夹对象的唯一的 Active Directory 容器。 |
公用文件夹对象复制到 Active Directory 的“Microsoft Exchange 系统对象”容器中。 |
公用文件夹对象复制到由 LegacyExchangeDN 值(在创建文件夹时由存储根据 msExchPfCreation 的值设置)指示的 Exchange Server 5.5 目录容器中。除非指定了另一个容器,否则将把对象放在“收件人”容器中。 |
不复制 Home-MTA和 Home-MDB 属性,因为它们对于 Exchange Server 2003 无意义。 |
不复制 Home-MTA 和 Home-MDB 属性,因为它们对于 Exchange Server 2003 无意义。 |
避免混合模式中的常见复制问题
混合模式中公用文件夹复制的许多常见问题可以归结为下列两个问题:
- 只要 Exchange Server 5.5 中的公用文件夹上的 ACL 中包含一个通讯组列表,Exchange Server 2003 中该文件夹副本上的 ACL 就必须包含一个 Active Directory 安全组。如果正确配置了拓扑,则从 Exchange Server 5.5 通讯组列表到 Active Directory 通讯组再到 Active Directory 安全组的转换应该是自动的。有关详细信息,请参阅本主题后面的“在访问控制列表中使用的组类型”。
- 只要公用文件夹 ACL 包含用户,Exchange Server 2003 就必须能够在 Active Directory 中找到该用户。当已经从 Exchange Server 5.5 复制的 ACL 包含不再存在的用户(或者由于其他某个原因,Exchange Server 2003 无法确定 Active Directory 中的匹配用户对象)时,Exchange Server 2003 将无法处理该 ACL。在解决此问题之前,只有文件夹所有者才能访问该文件夹。有关详细信息,请参阅本主题后面的“访问控制列表中的未知用户”。
本部分说明如何避免上述问题。有关如何在发生这些问题时识别和解决它们的说明,请参阅Exchange Server 2003 和 Exchange Server 5.5 混合环境中的权限问题。
在访问控制列表中使用的组类型
Exchange Server 5.5 将通讯组列表同时用于邮件传递和访问控制,而 Exchange Server 2003 仅仅将它们用于邮件传递。Exchange Server 2003 使用 Active Directory 安全组来实现访问控制。ADC 将 Exchange Server 5.5 通讯组列表复制到 Active Directory 通用通讯组 (UDG) 中。如果 Exchange Server 2003 在处理公用文件夹 ACL 时遇到 UDG,会立即尝试将 UDG 升级为通用安全组。然后,该通用安全组将取代 ACL 中的 UDG。
| 重要提示: |
|---|
| UDG 必须在 Microsoft Windows Server 2003 或 Microsoft Windows 2000 纯模式域中,才能允许 Exchange Server 2003 将它升级到通用安全组。在 Exchange Server 2003 和 Exchange Server 5.5 混合环境中,如果要将 Exchange Server 5.5 通讯组列表复制到非纯模式域中,ADC 将显示警告。 |
下列情况下,Exchange Server 2003 无法将 UDG 转换为通用安全组:
- UDG 驻留在混合模式的 Windows Server 2003 或 Windows 2000 域中。
- 该 UDG 是用户从通用安全组手动转换过来的。
- 尚未将 UDG 的成员身份复制到 Active Directory。
| 重要提示: |
|---|
| 避免将 UDG 用作通用安全组的成员。Exchange Server 2003 并不进行检查以确定组成员是否是需要转换的组。因此,如果 ACL 中的通用安全组具有 UDG 成员,这些 UDG 将被忽略,因此将不会正确实现 ACL。 |
访问控制列表中的未知用户
未知用户(有时称为僵用户)是在 ACL 中列出但没有帐户的用户。出现此情形的最常见原因如下所示:虽然拓扑是纯粹的 Exchange Server 5.5,但被授予了 Exchange Server 5.5 公用文件夹权限的 Exchange Server 5.5 用户已被删除。之后,公用文件夹复制到 Exchange Server 2003 中,而指向该用户的引用仍然保留在 ACL 中。Exchange Server 2003 无法处理该 ACL,因为它无法在 Active Directory 中找到该用户。在此问题得到解决之前,只有文件夹所有者才能访问该文件夹。这可防止已被明确拒绝了该文件夹权限的用户访问该文件夹。如果 Exchange Server 2003 已经将文件夹权限设置为“仅限所有者”,它还会记录一个 9551 事件。有关 9551 事件的详细信息,以及在 Exchange Server 2003 与 Exchange Server 5.5 之间复制信息时可能发生的其他事件的详细信息,请参阅诊断并修复 Exchange Server 2003 存储问题。
有关当文件夹从 Exchange Server 5.5 复制到 Exchange Server 2003 时 Exchange Server 2003 将如何转换 ACL 的详细信息,请参阅 Working with Store Permissions in Microsoft Exchange 2000 and 2003 中的“Anatomy of Object Level Access Control”(英文)。尤其是,参阅其中的子主题“Special Considerations for Coexisting Exchange 2000 and Exchange 5.5 Servers”。此技术文章中的信息对于 Exchange Server 2003 和 Exchange 2000 Server 均适用。
避免产生未知用户的最佳方法是:在开始将公用文件夹复制到 Exchange Server 2003 中之前,先运行 Exchange Server 5.5 实用程序 DS/IS 一致性调整程序,将未知用户从 ACL 中清除。
在某些情况下,Exchange Server 2003 可能会以不同的方式处理未知用户:
- 如果文件夹是以前从 Exchange Server 5.5 中正确复制的,但 ACL 中突然出现一个未知用户,则 Exchange Server 2003 会忽略该未知用户,并照常处理余下的 ACL。这一情况的假设前提是:在 Exchange Server 5.5 中删除了一个用户,或者在 Exchange Server 5.5 中添加了一个新用户,但该用户尚未复制到 Active Directory 中。此问题将在下一个 ADC 复制期间自行解决。
- 如果已经去除了所有 Exchange Server 5.5 服务器,并已将 Exchange Server 2003 切换到了纯模式,则 Exchange Server 2003 假定该用户已删除,并将未知用户从 ACL 中删除。
某些情况下,您可以设置一个注册表项,用于在 Exchange 处于混合模式时通知 Exchange 从 ACL 中删除未知用户。建议仅在完全必要时才设置此注册表项(例如,如果具有未知用户的小部分子集,并且可以将它们全部从公用文件夹 ACL 中安全地除去)。否则,如果因复制延迟而导致用户暂时是未知的(如前面的列表所述),您将失去该用户的权限信息。
.gif "Caution") 警告: |
|---|
| 放弃未知用户意味着如果这些用户在公用文件夹上拥有访问或拒绝权限,那么这些权限可能丢失。建议不要长期地丢弃未知用户。 |
有关如何在包含公用文件夹副本的 Exchange Server 2003 服务器上临时忽略未知用户的详细步骤,请参阅如何在包含公用文件夹副本的 Exchange Server 2003 服务器上临时忽略未知用户。