O Catálogo de Endereços Offline não está sendo atualizado para 1 usuário após adicionar o Exchange 2010 ao nosso ambiente

1

Passei a maior parte desta manhã lutando com este, então estou compartilhando, caso outros na minha situação tenham o mesmo problema.

Estamos atualmente em um período de coexistência do Exchange 2003 / Exchange 2010. Há um punhado de caixas de correio de teste em nosso servidor Exchange 2010, o restante está no Exchange 2003 e nosso servidor de geração de Catálogo de Endereços Offline é atualmente o servidor Exchange 2003.

Ontem alguém saiu da empresa, então seguimos nosso procedimento normal e os ocultamos de todas as listas de endereços do Exchange e esperamos durante a noite para que o Catálogo de Endereços Offline seja recriado. Quando cheguei hoje, o usuário ofensivo ainda estava listado em nosso Catálogo de Endereços Offline. Para referência, esta caixa de correio de usuários está no servidor do Exchange 2003.

Eu verifiquei os logs de eventos no servidor do Exchange 2003 e nenhum aviso ou erro foi registrado nas primeiras horas pelo serviço Atendedor do Sistema do Microsoft Exchange durante o processo de Geração do OAB. Pensando que isso foi apenas um acaso, eu reconstruí manualmente o catálogo de endereços offline com os mesmos resultados (sem avisos / erros e o usuário ainda no catálogo de endereços offline).

Não há erros de sincronização no Outlook e verifiquei (usando o Exchange System Manager no servidor do Exchange 2003) se o Catálogo de Endereços Offline existe e ainda está sendo criado nas primeiras horas de cada manhã, bem como quando reconstruiu manualmente esta manhã.

    
por Ben Pilbrow 16.11.2010 / 20:11

1 resposta

1

Investigar esse problema exigiu que eu usasse um pouco de conhecimento do Active Directory, bem como alguns recursos do Exchange-2010-Management-Shell-fu.

A primeira coisa que verifiquei é se meus dois controladores de domínio estão sendo replicados corretamente. Meu pensamento inicial foi quando atualizei a caixa de seleção Ocultar listas de endereços do Exchange em Usuários e Computadores do Active Directory que eu tinha alterado em um controlador de domínio, que não estava replicando para outro controlador de domínio que o endereço offline Processo de geração de livros aconteceu para escolher. Acontece que os controladores de domínio estão sendo replicados corretamente e esse não é o problema.

A próxima coisa a fazer é verificar alguns atributos do Active Directory e seus valores atuais. Minha ferramenta preferida para fazer coisas de baixo nível com o Active Directory é o ADExplorer da Sysinternals, no entanto, o ADSI Edit faça um trabalho igualmente bom se preferir.

O primeiro atributo que eu observei no usuário é o atributo msExchHideFromAddressLists . Isso deve ser FALSE se o usuário aparecer nas listas de endereços e TRUE se não aparecer. Isso é apenas uma verificação do sentido, pois é o que os Usuários e Computadores do Active Directory atualizam quando você (des) marca a caixa de seleção Ocultar das listas de endereços do Exchange . Isso estava mostrando corretamente TRUE .

O próximo atributo a verificar é showInAddressBook . Esse é um atributo de vários valores que contém todas as listas de endereços nas quais esse usuário deve aparecer. Geralmente, ele deve conter pelo menos uma lista de endereços na qual o usuário deve aparecer, mas para qualquer pessoa que tenha o atributo msExchHideFromAddressLists para TRUE esse atributo não deve ser definido. Essa foi a maior dica, pois esse usuário ainda tinha valores nesse atributo que deveriam ter sido removidos quando a caixa de seleção Ocultar nas listas de endereços do Exchange estava marcada.

O Serviço de Atualização de Destinatário no servidor do Exchange 2003 é responsável por atualizar o valor do atributo showInAddressBook ( entre outros ) no Active Directory, então determinei que, por algum motivo, o Serviço de Atualização de Destinatário não estava funcionando corretamente aqui.

Quando instalei inicialmente o Exchange 2010, tive de executar setup.com /PrepareLegacyExchangePermissions para conceder ao Serviço de Atualização de Destinatário algumas permissões necessárias, pois o Exchange 2010 altera um pouco as coisas.

Para verificar as permissões, eu abri os usuários e computadores do Active Directory e selecionei View = > Recursos avançados para permitir que eu exiba os atributos de segurança para a conta de usuário no Active Directory. Em seguida, abri o usuário ofensivo e verifiquei na guia de segurança, e comparei isso a outro usuário que deveria ser incluído no Catálogo de Endereços Offline. Embora eu não tenha verificado cada permissão, ficou imediatamente óbvio que o usuário que deveria estar no Catálogo de Endereços Offline tinha muitas mais permissões concedidas do que o usuário que acabara de sair. Verificando alguns outros usuários, eles também tinham muito mais permissões concedidas do que o usuário ofensivo.

Algo que eu notei por acaso é que o usuário ofensivo não estava herdando permissões de objetos pai, enquanto todos os outros usuários que eu verifiquei eram. Eu sei por experiência que isso geralmente só acontece quando o usuário é (ou já foi) um membro de um Grupo privilegiado do Active Directory . Depois de verificar que eles não são mais membros de um grupo privilegiado, voltei para o ADExplorer e mudei o atributo adminCount desse usuário para 0 de 1. Depois voltei para Usuários e Computadores do Active Directory e ativaram esse perfil de usuário para herdar permissões de objetos pai.

Depois disso, entrei nas propriedades dos usuários e desmarcou a caixa de seleção Ocultar das listas de endereços do Exchange e, em seguida, verifiquei novamente. Esperei alguns minutos para que o Recipient Update Service fizesse sua tarefa e, com certeza, cinco minutos depois, quando examinei o objeto de usuário no ADExplorer, o Recipient Update Service removeu os atributos showInAddressBook que não tinha permissão para fazer mais cedo. Uma rápida reconstrução manual do Catálogo de Endereços Offline e todos estão felizes.

    
por 16.11.2010 / 20:11