Exchange Server 2003 和 Exchange Server 5.5 混合环境中的权限问题

项目
10/25/2013

上一次修改主题： 2005-06-21

用户在 Outlook 中看不到公用文件夹通常是存在权限问题的第一个迹象。本部分描述可以确定问题是否由权限复制引起的方法，以及如何追踪问题根源的方法。

确定用户在 Outlook 中看不到公用文件夹的原因

确定当前阻止用户在 Outlook 中看到公用文件夹的是以下哪种情况：

未将公用文件夹复制到服务器。
公用文件夹权限未成功转换。

确定问题原因的最佳方法是在 Exchange 系统管理器中查看文件夹树。如果 Exchange 系统管理器连接到特定公用文件夹存储时，公用文件夹出现在树中，但是其邮箱与公用文件夹存储在同一服务器上的用户却无法看到公用文件夹，则此问题与权限有关，而与复制无关。但是，如果树中不存在公用文件夹，则可能存在复制问题。

在 Exchange 系统管理器中查看访问控制列表

在未将访问控制列表 (ACL) 中的权限成功转换为 ptagNTSD 数据的混合模式环境中，即使权限在 Exchange 系统管理器中看起来正确，用户也可能无法访问文件夹。有关转换过程及其涉及的属性的详细信息，请参阅 Exchange Server 2003 Administration Guide中的“使用公用文件夹和邮箱的权限”。

使用 Exchange 系统管理器查看默认“公用文件夹”树（又称为 MAPI 树）中的公用文件夹的权限时，Exchange 系统管理器将显示 ptagACLData 属性（如果存在该属性）中包含的权限，而不会通过 ptagNTSD 属性重新计算权限。Exchange 系统管理器中所显示的权限来自“replicated in”属性（Exchange 正常情况下会放弃该属性），而不是通过计算 ptagNTSD 属性（该属性实际控制文件夹的访问权）得到的。使用下列过程可以查看 ptagNTSD 权限。

有关如何在 Exchange 系统管理器中查看文件夹的 ptagNTSD 权限的详细步骤，请参阅如何在 Exchange 系统管理器中查看文件夹的 ptagNTSD 权限。

监视事件查看器中的权限事件

可以使用诊断日志记录将权限事件记录到事件查看器的应用程序事件日志中。默认情况下，公用文件夹日志记录级别被设置为“无”，这时，只记录关键错误。

可以使用运行 Exchange Server 2003 的服务器的“属性”中的“诊断日志记录”选项卡，来提高公用文件夹的日志记录级别。通过提高日志记录级别，可以获得更详细的权限信息。

若要查看单个用户访问文件夹的尝试，并显示当用户尝试访问文件夹时授予他们的权限，请将“登录”和“访问控制”诊断设置为最大值。

有关如何将“登录”和“访问控制”诊断设置为最高值的详细步骤，请参阅如何将“登录”和“访问控制”诊断设置为最高。

事件 ID 9548：被禁用的用户没有主机帐户 SID

当除文件夹所有者之外的用户无法访问文件夹时，请在应用程序事件日志中查找事件 9548 和 9551。（事件 9551 将在下一部分讨论。）

Event ID: 9548

Date: 2/11/2000

Time: 9:44:25 AM

User: <user>

Computer: <servername>

Description:

Disabled user <user> does not have a master account SID. Please use Active Directory MMC to set an active account as this user's master account.

如果使用 Exchange 系统管理器查看文件夹的客户端权限，则这些权限初看起来是正确的。但是，如果使用“高级”对话框来查看权限（这些权限是存储在 ptagNTSD 属性中的原始权限），您会发现，只有所有者的权限已从 Microsoft Exchange Server 5.5 版本成功转换到 Exchange Server 2003 版本。

此问题有两个潜在原因：

从 Active Directory 目录服务到包含该用户帐户的 Microsoft Windows NT Server 4.0 域没有建立信任关系。
用户已经被手动禁用且没有外部帐户。

使用下列方法应该能够修复问题：

从 ACL 中删除已禁用的帐户。
为已禁用的帐户提供关联的外部帐户。
在 Windows NT Server 4.0（或外部 Windows）域与 Active Directory 之间建立信任关系。这种信任关系为已禁用的帐户提供关联的外部帐户。它还提供主帐户安全标识符 (SID)。

事件 ID 9551：升级位于数据库中文件夹的 ACL 时发生错误

当除文件夹所有者之外的用户无法访问文件夹时，请在应用程序事件日志中查找事件 9548 和 9551。（事件 9548 将在下一部分讨论。）如果出现事件 9551，则每次用户尝试访问该文件夹时都将记录此事件。

Event ID: 9551

Date: 2/11/2000

Time: 9:44:25 AM

User: <user>

Computer: <servername>

Description:

An error occurred while upgrading the ACL on folder <folder> located on database <database>.

The Information Store was unable to convert the security for <user> into a Microsoft Windows 2000 Security Identifier.

It is possible that this is caused by latency in the Active Directory Service, if so, wait until the user record is replicated to the Active Directory and attempt to access the folder (it will be upgraded in place). If the specified object does NOT get replicated to the Active Directory, use the Microsoft Exchange System Manager or the Exchange Client to update the ACL on the folder manually.

The access rights in the ACE for this DN were 0x41b.

注意：
如果文件夹已从运行 Exchange Server 5.5 的服务器复制到 Exchange Server 2003 服务器，则 ACL 将以大写字母显示名称，因为可分辨名称总是采用大写。但是，请记住：为了查看权限，Exchange 系统管理器将连接到保存文件夹实际内容副本的存储。如果 Exchange 系统管理器连接到 Exchange Server 5.5 服务器，则 ACL 看起来是正确的。不要被 ACL 的表象误导。如果存储记录了 9551 事件，则必须先解决导致这些事件的原因，然后 Exchange Server 2003 用户才能访问文件夹。

如果文件夹已从运行 Exchange Server 5.5 的服务器复制到 Exchange Server 2003 服务器，则 ACL 将以大写字母显示名称，因为可分辨名称总是采用大写。但是，请记住：为了查看权限，Exchange 系统管理器将连接到保存文件夹实际内容副本的存储。如果 Exchange 系统管理器连接到 Exchange Server 5.5 服务器，则 ACL 看起来是正确的。不要被 ACL 的表象误导。如果存储记录了 9551 事件，则必须先解决导致这些事件的原因，然后 Exchange Server 2003 用户才能访问文件夹。

导致升级问题的潜在原因有三个：

没有现成的用户连接协议可用于将 Exchange Server 5.5 邮箱复制到 Active Directory 中。
已经将用户从 Active Directory 中删除。
存在复制滞后。

当 Exchange Server 2003 收到复制邮件时，Exchange Server 2003 会尝试将 ptagACLData 中存储的数据升级到 Windows NT Server 4.0 SID。如果升级过程失败，则只有所有者会存储在 ptagNTSD 中。其他任何用户都将无法访问文件夹。

使用下列方法应该能够修复问题：

删除错误的条目。
将缺少的用户复制到 Active Directory。

事件 ID 9552 或 9556：无法将通讯组列表转换成安全组

当属于特定通讯组列表或通讯组的用户无法访问文件夹时，请在应用程序事件日志中查找事件 9552 或 9556。下面是事件 9552 和 9556 的事件描述：

9552

While processing public folder replication, moving user, or copying folders on database <database>, DL <distribution list> could not be converted to a security group.

Please grant or deny permissions to this DL on Folder <folder> again. This most likely is because your system is in a mixed domain.

9556

Unable to set permission for DL <distribution list> because it could not be converted to a security group. This most likely is because your system is in a mixed domain.

此外，如果 Outlook 用户试图设置权限时涉及到没有权限的用户，可能会看到以下错误：

The modified permissions could not be saved. The client operation failed.

如果管理员试图使用 Exchange 系统管理器设置权限时涉及到没有访问权限的用户，可能会看到以下错误：

The operation failed. ID no 8004005 Exchange System Manager.

引起这些错误的原因很可能是：用户所属的 Exchange Server 5.5 通讯组列表复制到 Active Directory 混合模式域中，而不是复制到 Active Directory 纯模式域中。因此，对应于通讯组列表的通用通讯组是在 Active Directory 混合模式域中创建的。组所复制到的域是在控制 Exchange Server 5.5 通讯组列表向 Active Directory 迁移的用户连接协议中配置的。

若要在设置权限时使用通用通讯组，必须将它转换为通用安全组。仅当已经在纯模式域中创建了通用通讯组时，才能进行这种转换。有关此转换过程的详细信息，请参阅 Exchange Server 2003 Administration Guide中的“使用公用文件夹和邮箱的权限”。

若要修复转换问题，请执行下列操作：

在 Active Directory 中创建纯模式域。
配置用户连接协议，对从 Exchange Server 5.5 迁移来的组使用新域。