Exchange Servers 群組不具預設群組成員資格

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (https://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2008-10-17

Microsoft Exchange Analyzer 工具會查詢 Active Directory 目錄服務,以判定 Exchange Servers 容器物件的 memberOf 屬性值。

Exchange Servers 容器物件的 memberOf 屬性值代表 Exchange Servers 群組所屬的 Exchange Server 2007 系統管理員角色 (在 Exchange 2003 中稱為「安全性群組」)。

在 Exchange 2007 Service Pack 1 (SP1) 中,根據預設,在每個含有 Exchange 伺服器、或使用者具有 Exchange 信箱的網域中,Exchange Servers 群組皆為「Windows 授權存取」群組的成員。在 Exchange 2007 RTM 中,Exchange Servers 群組則沒有任何其他群組的成員資格。

Exchange Analyzer 若將 Exchange Servers 群組判定為非預設群組的成員,即會顯示非預設組態訊息。

Exchange Analyzer 若將 Exchange Servers 群組判定為不應具有特定 Exchange 延伸權利之群組的成員,即會顯示錯誤訊息。

延伸權利是由個別應用程式所指定的自訂權利。這些權利指定於存取控制清單 (ACL) 中。「建立公用資料夾」或「在資訊儲存庫中建立具名內容」皆為 Exchange 延伸權利的範例。

下列群組依預設具有特定 Exchange 延伸權利的「拒絕」存取控制項目 (ACE):

  • Domain Admins
  • Enterprise Admins
  • Schema Admins
  • Exchange Organization Administrators

若 Exchange Servers 群組透過轉移的群組成員資格,繼承了特定 Exchange 延伸權利的「拒絕」存取控制項目 (ACE),Exchange Client Access Server Proxy 可能會出現問題。這些問題可能會有下列徵狀 (但不限於下列徵狀):

  • 嘗試對其他站台進行的 Client Access Server Proxy 失敗。也就是說,使用者無法使用 Outlook Web Access 透過不同 Active Directory 站台中的 Client Access Server 登入其信箱。
  • 可能會記錄下列應用程式事件日誌事件:

產品名稱

Exchange

產品版本

8.0

產品組建編號

8.0

事件識別碼

42

事件來源

MSExchange OWA

元件

用戶端

符號名稱

ProxyErrorSslConnection

訊息文字

Microsoft Exchange Client Access Server "%1" 嘗試將 Outlook Web Access 流量代理到 Client Access Server "%2"。此作業因發生下列其中一個組態問題而失敗:%n%n1。"%2" 已設定成使用 "http://" (未使用 SSL),而非使用 "https://" (使用 SSL)。您可以為此 Proxy 流量的目標 Outlook Web Access 虛擬目錄設定 InternalUrl 參數,以修改前述設定。若要設定該參數,您可以在 Exchange 管理命令介面中使用 Set-OwaVirtualDirectory 指令程式。%n%n2。目的地虛擬目錄傳回 HTTP 403 錯誤碼。這通常表示該目錄的設定不接受 SSL 存取。您可以在 Client Access Server "%2" 上使用網際網路服務管理員變更此組態。%n%n若不想讓此 Proxy 連線使用 SSL,您必須設定此 Client Access Server 的登錄機碼 "AllowProxyingWithoutSSL",並為此 Proxy 流量的目標 Outlook Web Access 虛擬目錄設定 InternalUrl 與 SSL 設定。

若要解決此錯誤,請從下列群組中的成員資格移除 Exchange Servers 群組:

  • Domain Admins
  • Enterprise Admins
  • Schema Admins
  • Exchange Organization Administrators

從非預設或受限群組中的成員資格移除 Exchange Servers 群組

  1. 按一下 [開始],並依序指向 [程式集] 及 [系統管理工具] 後,再按一下 [Active Directory 使用者和電腦]。

  2. 在 [Active Directory 使用者和電腦] 主控台樹狀目錄中,展開網域。

  3. 瀏覽到 [Microsoft Exchange 安全性群組] 容器,並加以選取。

  4. 在詳細資料窗格中的 [Exchange Servers] 群組上按一下滑鼠右鍵,再按一下 [內容]。

  5. 在 [成員隸屬] 索引標籤上,選取您要從中移除 Exchange Servers 群組的群組,然後按一下 [移除]。

  6. 在 [從群組中移除使用者] 對話方塊中按一下 [是],以確認移除。

  7. 按一下 [確定] 以關閉 [Exchange Servers 內容] 視窗。

如需此問題的相關資訊,請參閱下列 Exchange 資源: