Office 365 Exchange 公用文件夾失去了對安全組文件夾權限的 SID 分配
我們安裝了一個新的 Exchange 2016 伺服器並將所有郵箱從 Exchange 2010 伺服器遷移到它。然後我們將所有郵箱和公用文件夾從 MSEX2016 遷移到 Office 365,我們降級並關閉了 MSEX2010。本地 AD 通過我們的一臺本地伺服器上的 Azure AD 連接器與 Azure AD 同步。
這工作了幾個星期沒有問題。所有客戶端都能夠訪問 O365 上的公用文件夾及其郵箱。
昨天我們降級了 MSEX2016,它在幾天前已經關閉進行測試。上面沒有啟動 PF,但無法以正常方式刪除數據庫,因為它始終顯示伺服器仍處於遷移模式。手動設置屬性(如 MigrationComplete…)並沒有幫助,我們最終使用 force 選項刪除了它們,將伺服器降級並關閉了它。
之後,在客戶端上出現消息,Exchange 管理員執行了需要重新啟動 Outlook 客戶端的更改。不確定為什麼會出現此消息,因為所有客戶端都已連接到 O365,並且不應該與舊的 MSEX2016 建立任何連接。
昨天,我還更改了 Azure AD 連接器,它只同步一些需要的 OU。
今天出現的問題是沒有人能夠再訪問PF了。然後我發現,分配組的文件夾權限上的 SID 顯示為未知。
使用者 SID 看起來不錯,問題僅出在組上。我首先認為這可能與 Azure AD 連接器的 OU 限制有關,我重新啟動了之前的完全同步,但它沒有幫助。
我也無法通過 WebGUI 更改任何權限,最終會出現以下消息。
`系統在計算 Lambda 表達式時拋出異常:
$$ Boolean(@0[ApplyToSubFolders $$) ] 呼叫的目標已拋出異常。錯誤 系統在計算 Lambda 表達式時拋出異常:
$$ Boolean(@0[ApplyToSubFolders $$) ] 呼叫的目標已拋出異常。`
我能夠在根 PF 中創建一個新的“測試”文件夾,但我無法通過 WebGUI 在那裡設置任何權限。
可以通過 Outlook 客戶端更改權限。如果我刪除其中一個組權限並重新添加它,則會顯示 SID 並且一切正常。對我來說意味著所有組通常在 O365 上都是已知的(它們也顯示在 Exchange Admin WebGUI 中),但是在現有權限上它們沒有分配給它。
為什麼無法通過 WebGUI 設置 PF 權限?
為什麼它失去了從現有公用文件夾組權限到 SID 的分配以及如何在不手動刪除和重新添加所有權限的情況下修復它?
編輯 1(2021 年 10 月 18 日星期一):
與此同時,組權限完全消失了。
編輯 2(星期四 2021-10-21):
自周一以來,有一張微軟的罰單開放,但他們無法解釋為什麼權限消失了,他們的軟體工程師正在努力弄清楚發生了什麼。他們還在調查為什麼無法通過 WebGUI 設置權限。他們提出的解決方案是使用 Outlook 或 PowerShell 手動設置所有文件夾的所有權限,因為我們有大約 2700 個文件夾,所以我並不滿意。他們不願意(“建構自定義腳本通常超出我們的支持範圍”)提供一個腳本來重新應用遷移期間創建的 XML 文件的權限,並且他們沒有出現任何其他解決方案來獲得權限回來了。
同時,我能夠使用自己創建的腳本和社區的支持重新應用公用文件夾權限。
編輯 3(星期六,2021-10-30)
MS 說,WebGUI 權限設置的問題是眾所周知的:“報告的問題是由已知問題引起的(我們的產品工程團隊正在從後端解決)”他們建議使用 Outlook 客戶端或 PowerShell更改公用文件夾的權限。
他們進一步說我不能證明權限沒有被管理員活動刪除,因為我們的審計日誌沒有啟用(根據 MS 預設),我無法顯示有關它的記錄。我再次向他們發送了我的螢幕截圖,其中顯示了組權限上缺少 SID 的奇怪情況,以指出這是 MS 基礎架構中的問題。我是唯一擁有管理員權限的人,我確信我沒有刪除公共文件夾的權限。
編輯 4(2021 年 11 月 14 日,星期日)
MS 的回答:“關於通過管理中心 UI 分配權限的問題,我的同事建議這個問題已經在外部發布,因為這個問題現在已經知道了一段時間。如前所述,我們的產品工程團隊目前正在研究正在開發一個永久修復程序,但是,目前沒有具體的 ETA,因此我們無法完全確定何時可以得到解決。有關更多資訊,您還可以參考EAC 中的公用文件夾權限和設置不傳播文章(它還包括我們建議的 PowerShell 腳本,這是我們同事提供的針對此問題的官方解決方法)。”
“根據您迄今為止與我們共享的資訊(包括來自 EAC 的螢幕截圖,其中顯示了缺少的 SID),我的同事懷疑受影響的公用文件夾已正常遷移到 Exchange Online,但是,授予權限的郵件安全組到使用者之後沒有同步(或同步過程存在問題)。因此,這些權限組被認為是孤立的/陳舊的,並已被我們的一致性代理刪除,該代理每 7 天在後端執行一次。 " “話雖如此,這種行為是設計使然,但遺憾的是,我們無法完全確認為什麼權限首先被檢測為陳舊。有關此問題的更多資訊,來自 Exchange 開發團隊的文章,其中解釋了代理的工作原理。”
我想我終於能夠自己回答這些問題了。
“為什麼不能通過 WebGUI 設置 PF 權限?”
這是 Microsoft 後端中的一個問題。微軟已經意識到了這一點,他們正在努力,但目前還沒有預計到達時間。通常,通過 WebUI / EAC 設置公用文件夾似乎存在一些問題。
編輯2022-01-14:似乎 MS 解決了這個問題,我今天可以通過網路界面設置權限。
“為什麼它失去了從現有公用文件夾組權限到 SID 的分配以及如何在不手動刪除和重新添加所有權限的情況下修復它?”
Microsoft 在 Exchange Online 中安裝了Exchange Online 工具的公用文件夾一致性代理,該工具每 7 天自動刪除公用文件夾中的所有權限,或者每天刪除被視為孤立/陳舊的啟用郵件的文件夾的所有權限。似乎它認為 Azure AD Connect 客戶端暫時不再同步的組是孤立的/陳舊的,然後它刪除了所有這些權限並且沒有回頭路。
MS 應該至少提供一個選項來禁用此自動工具,或者更好地允許管理員僅手動執行它。
我能夠通過腳本獲得幾乎所有的權限,因為它們在遷移過程中被導出到我們的本地交換伺服器上,並且從那時起文件夾結構沒有太多變化。
公共文件夾上發生的錯誤“系統在計算 Lambda 表達式時引發異常”似乎是一個已知問題:無法更改權限錯誤
目前的解決方案是通過 Outlook 或其他客戶端修改權限。此外,您還可以嘗試**連接到 Exchange Online PowerShell**並執行以下命令來修改公用文件夾的權限:
Add-PublicFolderClientPermission \pf -AccessRights Owner -User User01