在現有 Exchange 2007 Server 上使用 PrepareSchema - 郵箱具有 PROTECTED INHERIT 標誌
我試圖在我的舊 Exchange 2007 SP3 伺服器上創建一個新的接收連接器(計劃在今年晚些時候升級),當它失敗時,我做了一些研究。我在這裡找到的解決方案(我得到了完全相同的錯誤)包括
setup.exe /PrepareSchema
從伺服器上的 SP3 設置文件執行以正確設置活動目錄架構。在嘗試這個之前,我想知道在現有伺服器上執行 prepareschema 是否會導致任何問題。我在這裡遇到了一個讓我擔心的部落格。簡而言之,如果對 Active Directory 中的對象禁用繼承權限,prepareschema 命令將失敗並可能導致郵件流出現問題。我按照步驟下載
adfind
並執行了他提供的命令,adfind 工具返回了幾個使用者和組對象,但我不太確定它是否告訴我他們已禁用繼承權限。這是一個小型伺服器,只有大約 20 個郵箱,但是當我執行命令時
adfind -b "DC=domain,DC=name" -sddl++ ntsecuritydescriptor -onlydaclflag -resolvesids -list -csv | find /i "(FLAGS:PROTECTED INHERIT)" | find /v /i "CN=Policies,CN=System"
它為在伺服器上有郵箱的幾個使用者返回一行,以及一些 WMIPolicy 和 System 對象,它看起來像這樣:
"CN=FirstName LastName,CN=Users,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)" "CN=VolumeTable,CN=FileLinks,CN=System,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)" "CN=Cert Publishers,CN=Users,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)" "CN=Schema Admins,CN=Users,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)" "CN=Replicator,CN=Builtin,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)" "CN=WMIPolicy,CN=System,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)" "CN=SOM,CN=WMIPolicy,CN=System,DC=domain,DC=com","[DACL] (FLAGS:PROTECTED INHERIT)"
它似乎是使用者和組對象的混合,但我不太確定,我不確定它是否確實禁用了繼承,以及這是否是一件壞事。據我所知,所有這些對像都在我的 BUILTIN 或 USERS 組織單元中,而且只有 28 個對象。
考慮到這些資訊,執行 PrepareSchema 命令是否安全?
我知道這是一個老問題,但它只是出於某種原因在首頁上彈出,仍然沒有答案,因此我會試一試。
那篇部落格文章確實很舊,它警告說,如果您在從 Exchange 2003 升級時嘗試準備 AD 以安裝 Exchange 2007 會發生什麼;在這種情況下,某些對象可能無法正確繼承某些修改,從而破壞現有的郵件流。
但是,由於您已經安裝了 Exchange 2007,PrepareSchema 操作只需要調整 SP3 的一些設置,而不是像從 Exchange 2003 升級時那樣對您的 Exchange 組織進行大量重組;因此,您不會遇到該問題,因為在首次安裝 Exchange 2007 時已經完成了繁重的工作;如果問題存在於您的環境中,您可能已經遇到過。