Я пытался создать новый коннектор приема на моем старом сервере Exchange 2007 SP3 (планируется обновить позже в этом году), и когда это не удалось, я провел небольшое исследование. Решение, которое я нашел Вот (У меня точно такая же ошибка) включен запуск setup.exe /PrepareSchema из установочных файлов SP3 на сервере, чтобы правильно настроить схему активного каталога. Перед тем, как попробовать это, я хотел выяснить, не вызовет ли запуск схемы подготовки на существующем сервере какие-либо проблемы. Я наткнулся на один блог Вот это меня беспокоило. Вкратце сказано, что если унаследованные разрешения были отключены для объектов в Active Directory, команда prepareschema завершилась бы ошибкой и могла бы вызвать проблемы с почтовым потоком.
Я выполнил шаги и загрузил adfind и выполнил введенную команду, и инструмент adfind вернул несколько объектов пользователей и групп, но я не совсем уверен, сообщает ли он мне, что у них отключены унаследованные разрешения или нет.
Это небольшой сервер, всего с 20 почтовыми ящиками, но когда я запустил команду
adfind -b "DC=domain,DC=name" -sddl++ ntsecuritydescriptor -onlydaclflag -resolvesids -list -csv | find /i "(FLAGS:PROTECTED INHERIT)" | find /v /i "CN=Policies,CN=System"
он вернул строку для нескольких пользователей, у которых есть почтовый ящик на сервере, а также некоторые объекты WMIPolicy и System, и выглядело это так:
"CN=FirstName LastName,CN=Users,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)"
"CN=VolumeTable,CN=FileLinks,CN=System,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)"
"CN=Cert Publishers,CN=Users,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)"
"CN=Schema Admins,CN=Users,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)"
"CN=Replicator,CN=Builtin,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)"
"CN=WMIPolicy,CN=System,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)"
"CN=SOM,CN=WMIPolicy,CN=System,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)"
Кажется, что это смесь пользователей и групповых объектов, но я не совсем уверен, и я не уверен, говорит ли он, что у них действительно отключено наследование, и плохо это или нет. Все эти объекты находятся в моем организационном подразделении BUILTIN или USERS, насколько я могу судить, а это всего 28 объектов.
Будет ли безопасно запускать команду PrepareSchema с учетом этой информации?
Я знаю, что это старый вопрос, но он по какой-то причине просто всплыл на домашней странице и до сих пор без ответа, поэтому я попробую.
Это сообщение в блоге действительно старое и предупреждает о том, что может произойти, если вы попытаетесь подготовить AD к установке Exchange 2007. при обновлении с Exchange 2003; в этом сценарии некоторые изменения могут быть неправильно унаследованы некоторыми объектами, что нарушит существующий почтовый поток.
Однако, поскольку вы уже установлен Exchange 2007, операция PrepareSchema требует только настройки некоторых параметров для SP3, вместо того, чтобы сильно реструктурировать вашу организацию Exchange, как это делается при обновлении с Exchange 2003; таким образом, вы не столкнетесь с этой проблемой, потому что тяжелая работа уже была сделана при первой установке Exchange 2007; если бы проблема присутствовала в вашей среде, вы бы уже столкнулись с ней.