Порой появляются отдельные программы, которые становятся неотъемлемой частью набора средств администраторов Exchange-сервера. Одной из таких программ является PFDAVAdmin. Хотя средство PFDAVAdmin появилось уже некоторое время назад, немногие знают о нем, а те, кто знают, могли уже и забыть о нем. PFDAVAdmin – это сокращение от Public Folder Distributed Authoring and Versioning (DAV)-based Administration (Администрирование общих папок на основе протокола DAV). Средство разработано Биллом Лонгом из Microsoft. В ноябре 2005 года появилась версия 2.4 этого средства, которая полностью поддерживается и скачивается с сайта Microsoft.
Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
- Средство PFDavAdmin (Часть 2)
Первым, кто познакомил меня с эти средством, был Дэйв Хоуи из Microsoft. Это было несколько лет назад, тогда программа существовала в версии 1.6, и, честно говоря, мне следовало бы еще тогда написать эту статью. Теперь вы можете скачать версию 2.7 (на момент на писания статьи), в которую входят исполняемый файл, один DLL-файл, полезный файл справки в формате Word и лицензионное соглашение для конечного пользователя. Для справки сообщаю, что текущий номер сборки 6.05.7869.
Одной из задач, для которых создавалось средство PFDAVAdmin, была возможность устранения «скользких» ситуаций при неправильном изменении администратором Exchange-сервера разрешений на печально знаменитом диске M: сервера Exchange 2000. К примеру, если администратор с помощью Проводника вручную сменил разрешения на общие папки, находящиеся на диске M:, эти разрешения менялись со стандарта MAPI на стандарт NTFS, что означало, что при следующем изменении этих разрешений внутри консоли управления Exchange System Manager возникала ошибка. Ниже я подробно расскажу об ошибках такого типа. Естественно, подобные ситуации порой возникали и после того, как диск M: проверялся программами резервного копирования и антивирусами. В таких ситуациях предполагается использование PFDAVAdmin, но возможности данного средства этим не ограничены. Его можно использовать и для переноса элементов списка контроля доступа общих папок, а также для импорта/экспорта разрешений почтовых ящиков и общих папок.
Когда я получил версию 1.6, я поинтересовался, доступна ли данная программа всем пользователям. На стадии разработки данное средство не поддерживалось, и потому обычно рассылалось администраторам, контактировавшим с представителями Microsoft, в случае возникновения соответствующих проблем. Прошло несколько лет, вышло несколько версий, и теперь PFDAVAdmin находится в свободном доступе и полностью поддерживается компанией Microsoft. Давайте посмотрим, на что способно данное средство, но прежде отметим некоторые условия, необходимые для работы.
Системные требования
Для запуска PFDAVAdmin на компьютере должна быть установлена система Windows XP, Windows 2000 или Windows 2003. Помимо этого, на компьютере должна быть установлена консоль управления Exchange 2000 System Manager или Exchange 2003 System Manager, а также пакет .NET Framework 1.1. Пакет .NET Framework 1.1 устанавливается автоматически вместе с сервером Exchange 2003, но если вы еще используете Exchange 2000, проверьте его наличие.
Возможности
Так что же именно сможет сделать для вас PFDAVAdmin? Как написано в сопровождающем программу документе Word, у средства есть несколько возможностей:
- Перенос добавлений элементов списка контроля доступа (Access Control Entry - ACE) общих папок, удаления и изменения без перезаписывания существующих списков контроля доступа (Access Control List - ACL).
- Исправление поврежденных дискреционных списков контроля доступа (Discretionary Access Control Lists - DACL).
- Импорт и экспорт разрешений на почтовые ящики и общие папки.
- Импорт и экспорт списка реплик общих папок.
- Установка разрешений на папку Календарь (Calendar).
В данной статье я рассмотрю эти пять возможностей использования PFDAVAdmin. У меня нет возможности рассказать о всех возможностях данного средства; входящий в поставку документ Word поможет вам подробно познакомиться с остальными функциями программы, но, надеюсь, вы по достоинству оцените данное средство даже по тем примерам, которые представлены в этой статье.
Проблемы разрешений на папки
Одной из основных задач администрирования Exchange-сервера является назначение разрешений на общие папки с помощью консоли управления Exchange System Manager. Вы открываете в консоли дерево общих папок, находите необходимую общую папку, открываете ее свойства и на вкладке Permissions (Разрешения) нажимаете кнопку Client Permissions (Разрешения клиента). Здесь вы можете добавить и удалить пользователей и установить необходимые разрешения. Однако, встречали ли вы при установке разрешений ошибку, показанную на Рисунке 1?
Рисунок 1: Ошибка
Как я уже говорил, одной из задач, которые призвано решать средство PFDAVAdmin, является именно эта проблема. И хотя теперь с помощью данного средства вы можете решить эту и другие проблемы, важно понимать, как решать проблемы разрешений. На самом деле, если вы подозреваете наличие каких-либо проблем с разрешениями, используйте для проверки PFDAVAdmin. Вот, что нужно делать непосредственно в нашем случае.
- Запустите PFDAVAdmin.exe
- В главном окне программы PFDAVAdmin выберите File (Файл) / Connect (Соединиться) и в окне Connect (Соединиться) укажите имя Exchange-сервера и сервера глобального каталога для соединения с ними. Также вам необходимо убедиться, что вы может успешно пройти аутентификацию, используя учетные данные пользователя, под которым вы зарегистрировались, или же указать другие учетные данные. И, наконец, прежде чем нажать OK, убедитесь, что параметр Connection (Соединения) установлен в положение Public Folders (Общие папки) (Рисунок 2).
Рисунок 2: Окно соединения с сервером
- Все общие папки будут показаны в левой части главного окна PFDAVAdmin. Раскройте Public Folders (Общие папки) и найдите нужную папку.
- Правой кнопкой щелкните по папке и выберите Folder Permissions (Разрешения на папку). Вы увидите окно Permissions (Разрешения) (Рисунок 3).
Рисунок 3: Окно разрешений на папку – Неправильный DACL
- Вы можете заметить, что информация в данном окне та же самая, что и при нажатии кнопки Client Permissions (Разрешения клиента) на странице свойств общих папок внутри консоли Exchange System Manager. В левом верхнем углу окна вы видите имя папки, а ниже расположены разрешения на эту папку. Обратите внимание, что имя Everyone (Все) (Рисунок 3) соответствует роли Default (По умолчанию), которое отображается в разрешениях папки внутри консоли Exchange System Manager или программы Outlook, а имя NT AUTHORITY\ANONYMOUS LOGON (Полномочия NT/ Анонимная регистрация) соответствует роли Anonymous (Анонимный).
- Ключевая информация показана в разделе DACL state (Состояние DACL) (он отмечен красным цветом) в правом верхнем углу окна. Обычно статус должен быть Good (В порядке), но вы видите, что в нашем примере значением состояния является Non-canonical order (Нестандартный порядок). Это значит, что элементы списка контроля доступа не расположены в стандартном порядке, что случается, если разрешения изменялись в Проводнике, как я говорил выше. Также возможен вариант, что разрешения менялись с помощью другого средства. В любом случае, любое значение, кроме Good, в разделе состояния DACL, не является правильным.
- К счастью, мы легко можем устранить эту проблему с помощью средства PFDAVAdmin. Обратите внимание на переключатель Force canonical order and valid masks (Установить стандартный порядок и действительные маски). Если данный параметр отмечен, все, что вам нужно сделать, это нажать на кнопку Commit changes (Выполнить изменения). Существует еще опция Wipe existing DACL before committing (Очистить существующие DACL перед выполнением изменений), которая, как и указано, очищает существующие DACL: прежде, чем запишутся разрешения, записывается пустой DACL. Данную опцию тоже можно выбирать при решении проблем с разрешениями.
- После нажатия на кнопку Commit Changes (Выполнить изменения) окно Permissions (Разрешения) исчезнет после применения изменений. Повторный просмотр разрешений папок покажет, что теперь значением состоянием DACL является Good (Рисунок 4).
Рисунок 4: Окно разрешений на папку – Правильный DACL
Экспорт / импорт разрешений
Теперь, после того, как мы правильно настроили разрешения разрешений на общие папки, посмотрим, как можно экспортировать список разрешений для последующего безопасного восстановления. Это может быть очень полезным, если кто-нибудь каким-либо образом поменяет разрешения.
- Запустите PFDAVAdmin.
- Выберите File (Файл) / Connect (Соединиться) и в окне Connect (Соединиться) укажите имя Exchange-сервера и сервера глобального каталога для соединения с ними. Прежде чем нажать OK, убедитесь, что параметр Connection (Соединения) установлен в положение Public Folders (Общие папки).
- Выберите Tools (Средства) / Options (Параметры) и в окне PFDAVAdmin Options (Параметры PFDAVAdmin) выберите Enable logging to file (Включить запись журнала в файл) и укажите место расположения файлов журнала. Нажмите OK.
- Вернитесь в главное окно PFDAVAdmin, нажмите Tools (Средства) / Export Permissions (Экспорт разрешений). Откроется окно PFDAVAdmin Export Options (Параметры экспорта PFDAVAdmin) (Рисунок 5). Вы видите, что я выбрал экспорт разрешений всех общих папок в формате Account name (Имя учетной записи). Это значит, что в дальнейшем, при изменении разрешений, файл выхода может быть импортирован только программой PFDAVAdmin и никакой другой. Формат legacyExchangeDN используйте в том случае, если вы хотите использовать другие средства, подобные PFAdmin, для импорта файла. Обратите внимание, что формат XML при импорте перезапишет, а не добавит существующие разрешения, как в случае первых двух форматов.
Рисунок 5: Параметры экспорта
- Нажмите OK и выберите имя файла вывода. Появится окно процесса, в котором вы сможете просмотреть работу PFDAVAdmin в дереве общих папок. Вот и все. Файл вывода можно будет использовать для импорта разрешений на дерево общих папок через опцию Tools (Средства) / Import (Импорт) программы PFDAVAdmin. Пример файла вывода показан на Рисунке 6. В Блокноте я включил функцию переноса по словам, чтобы содержимое было видно полностью.
Рисунок 6: Файл экспорта
Резюме
В первой части статьи я показал вам два метода использования средства PFDAVAdmin. Во второй части я расскажу, как использовать эту программу для централизованной установки разрешений на Календарь, что крайне необходимо во многих организациях. Помимо этого, я объясню, как использовать PFDAVAdmin для переноса разрешений общих папок и управления репликами общих папок.
Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:
- Средство PFDavAdmin (Часть 2)