Само собой разумеется, что любой основной выпуск новой версии программного обеспечения для предприятий потребует от администраторов этой продукции пройти очередной виток образовательной спирали, что естественным образом повлечет за собой много вопросов о процессах и процедурах в работе этой продукции. Exchange 2007 в данном смысле не является исключением.
За последние несколько месяцев я заметил, что много вопросов касается различных новостных групп, почтовых списков и форумов, которые можно разделить по категориям в формате “In Exchange 2007, how do I….?”. Очевидно, что из-за основных архитектурных изменений в Exchange 2007, в ней появилось множество новых функций и процедур, с которыми администраторам предстоит разбираться. Мне и самому приходилось сталкиваться со многими задаваемыми вопросами и бывать в весьма затруднительных ситуациях, поэтому в данной статье я собрал материал по некоторым проблемам, связанным с управлением почтовыми службами в Exchange 2007 и способам их решения. Надеюсь, что в предстоящие месяцы мне удастся собрать дополнительные статьи, касающиеся других проблем и ситуаций, с которыми администраторам приходится сталкиваться на пути познания основ администрирования Exchange 2007. Я буду детально описывать то, что, на мой взгляд, является правильным способом решения проблем. Хотя две основные нижеизложенные проблемы в большей степени касаются почтовых ящиков и/или учетных записей, их симптомы встречаются и в Outlook Web Access (OWA).
Ошибка версии почтового ящика (Mailbox Version Error) в OWA
Когда была выпущена Exchange 2000, Microsoft учили нас создавать учетные записи и почтовые ящики, в то же время используя активную директорию пользователей и компьютерных приложений (Active Directory Users and Computers snap-in). Другой подход использовался в версиях Exchange 4.0, 5.0 и 5.5, поскольку тогда учетные записи доменов NT4 создавались отдельно от действительных почтовых ящиков. Процедура создания учетных записей и почтовых ящиков с помощью активных директорий пользователя и компьютерных приложений осталась неизменной и в версии Exchange 2003, поэтому данный процесс прочно укрепился в головах администраторов. Я уверен, что вы все знакомы с этим процессом, но в качестве напоминания фотография на рисунке 1 показывает окно создания ящика при создании учетной записи в активной директории пользователя и компьютера.
Однако этот процесс изменился после создания Exchange 2007 с новости о том, что процесс создания почтового ящика был перенесен обратно в консоль управления Exchange Management Console (и, конечно, в оболочку Exchange Management Shell, если вы предпочитаете делать это с помощью командной строки). Не удивительно, что некоторые администраторы Exchange пытались создавать почтовые ящики на сервере Exchange 2007 из активной директории пользователя и приложений компьютера. Посмотрите еще раз на рисунок 1, и вы увидите, что поле Server установлено на Exchange 2007, поскольку имя административной группы – это имя административной группы Exchange 2007. При переходной стадии от Exchange 2000 или Exchange 2003 к Exchange 2007, следует, что сервер Exchange 2007 будет доступен в накладываемом списке серверов, который показан на рисунке 1. Так или иначе, серверы Exchange 2007 отлично сосуществуют с серверами Exchange 2000 или Exchange 2003, поэтому такое положение дел весьма резонно. Однако выбор сервера Exchange 2007 в качестве целевого сервера для новой учетной записи будет неправильным. Учитывая все сказанное, давайте посмотрим, что же произойдет, если седлать именно так.
Первое, что нужно заметить, это то, что активная директория пользователя и приложений компьютера позволяют вам создавать учетные записи и почтовые ящики как обычно. Если администраторы не знают, что им нельзя этого делать вначале, они не станут мудрее на этой стадии. Давайте посмотрим, что произойдет, если попытаться получить доступ к ящику через Outlook Web Access. Первое, что появится после того, как мандаты успешно получены, это обычное открытие окна OWA, которое вы видите, когда первый раз заходите на ящик через OWA. Это окно позволяет вам выбрать язык по умолчанию и временной пояс. Пока все нормально. После выбора нужных опций в этом окне, появится сигнал об ошибке, показанный ниже на рисунке 2.
Это совсем нехорошо. Переходим по вкладке Показать детали, чтобы получить дополнительную информацию, показанную на рисунке 3. Область окна Исключения показывает вам следующее сообщение:
“С доступом к активной директории возникла проблема.”
Вы заметите, что я выделил текст Внутренние исключения, важная информация, красным шрифтом. Особенно ошибку:
“Свойства Язык не могут быть установлены на этом объекте, поскольку требуется версия 0.1 (8.0.535.0) или более поздняя. Текущая версия объекта 0.0 (6.5.6500.0).”
Возможно, вы сочтете, основываясь на тексте сообщения об ошибке, что у почтового ящика неверная информационная версия, поскольку он не был создан посредством консоли Exchange Management Console или Exchange Management Shell. На самом же деле, если вы посмотрите этот почтовый ящик в консоли Exchange Management Console под Mailbox объектом выкладки (конфигурация получателя) Recipient Configuration, вы увидите, что он находится в списке с Recipient Type Details настройки Legacy Mailbox, хотя колонка Server показывает сервер почтового ящика Exchange 2007. Это видно на рисунке 4.
Возможно, для администратора будет более странным то, что ящик можно открыть в Outlook, но не через OWA. Чтобы исправить эту проблему, вам вовсе не нужно удалять учетную запись и создавать ее снова с помощью панели инструментов Exchange 2007. Вместо этого, вы можете запустить следующую команду в Exchange Management Shell:
Set-Mailbox User5 –ApplyMandatoryProperties
В этом примере мы создаем почтовый ящик для пользователя User5, поэтому не забудьте изменить это имя на нужное вам имя. Этого будет достаточно для корректной работы почтового ящика, поскольку сейчас его конфигурация будет иметь правильные параметры для Exchange 2007.
Ошибка несоответствующего доступа (Insufficient Access Error) в OWA
Другая ошибка, которая может возникнуть во время соединения с почтовым ящиком через OWA, может появляться после перенесения почтовых ящиков из Exchange 2003 в Exchange 2007. В этом случае, корректный перенос ящика в Exchange 2007 осуществляется посредством консоли Exchange Management Console или оболочки Exchange Management Shell. Никакие ошибки не записываются во время перемещения ящика. После его перемещения, пользователь пытается войти в Outlook, и ему это удается. Однако, как и в другой ситуации, описанной в этой статье, попытка использовать OWA для получения доступа к ящику оказывается безуспешной.
В этом примере мандаты пользователя предоставлены, и после этого окно выбора языка и временного пояса будет показано, как и ожидалось. После нажатия кнопки OK в этом контекстном меню, появляется такой же отчет об ошибке, как показан на рисунках 2 и 3, хотя в этот раз текст отчета в области Внутренние исключения будет выглядеть так:
“Операция активной директории была прервана на {FQDN контроллера домена}. Попытку невозможно повторить. Дополнительная информация: несоответствующие права доступа для выполнения операции.”
Ключевой момент в этой ошибке - фраза “несоответствующие права доступа для выполнения операции”. Это может происходить в том случае, если пользователь, пытающийся получить доступ к OWA, на данный момент является администратором домена посредством членства в группе, например Domain Admins, или был таковым в какой-то момент в прошлом. Если это не тот случай, все же стоит продолжить чтение, так как здесь есть что проверить в учетной записи. Рассмотрим пример, приведенный здесь, пользователь User3 когда-то был членом группы Domain Admins, хотя и был удален из списка этой группы. Затем была установлена Exchange 2007, и почтовый ящик пользователя User3 был перемещен из Exchange 2003. Почему же тот факт, что User3 когда-то входил в группу Domain Admins, является причиной проблемы при входе в OWA? Давайте проверим разрешения этой учетной записи в активной директории пользователей и компьютеров. Вот что нужно сделать:
- Запустить активную директорию пользователей и компьютерных приложений и определить местонахождение учетной записи.
- Вызвать свойства учетной записи и перейти в раздел Безопасность. Если вы не видите раздела Безопасность, выберите Показать / Дополнительно.
- В разделе Безопасность нажмите кнопку Дополнительно.
- У вас должно появиться окно, схожее с тем, что показано на рисунке 5. Обратите внимание, что в графе открыть наследуемые разрешения (Allow inheritable permissions)… не стоит галочка. В этом и есть проблема. Если вы поставите галочку и закроете окна свойств этой учетной записи, вы обнаружите, что OWA работает для этого пользователя. Это означает, что все необходимые репликации активной директории были завершены.
Обычно, по соображениям безопасности, не рекомендуется создавать почтовый ящик для учетной записи администратора. Если это сделано, процесс автоматически удаляет выбор всех показанных выше строк, что, в конечном счете, препятствует входу в OWA.
Заключение
В этой статье мы рассмотрели две основные проблемы, встречающиеся в Exchange 2007. к счастью, обе проблемы очень легко решаемы. Надеюсь, что, написав эту статью, я сэкономил несколько драгоценного времени администраторов.