Мы установили новый сервер Exchange 2016 и перенесли на него все почтовые ящики с сервера Exchange 2010.
Затем мы перенесли все почтовые ящики и общие папки из MSEX2016 в Office 365, а также понизили и закрыли MSEX2010.
Локальный AD синхронизируется с Azure AD с помощью соединителя Azure AD на одном из наших локальных серверов.
Это работало в течение нескольких недель без проблем. Все клиенты смогли получить доступ к общедоступным папкам и своим почтовым ящикам в O365.
Вчера мы понизили MSEX2016, который за пару дней до этого уже был отключен для тестирования.
Активного ПФ на нем не было, но удалить базы штатным способом не получалось, так как всегда показывало, что сервер все еще находится в режиме миграции.
Ручная установка атрибутов (например, MigrationComplete...) не помогла, и мы, наконец, удалили их с опцией force, понизили уровень сервера и выключили его.
После этого на клиентах появилось сообщение о том, что Администратор Exchange внес изменения, которые потребовали перезагрузки клиента Outlook.
Не уверен, почему появилось это сообщение, поскольку все клиенты уже были подключены к O365, и не должно было быть никакого установленного соединения со старым MSEX2016.
Вчера я также изменил коннектор Azure AD, чтобы он синхронизировал только некоторые из необходимых OU.
Сегодня появилась проблема, что никто больше не может получить доступ к PF.
Затем я узнал, что SID в разрешениях папок назначенных групп отображается как неизвестный.
SID пользователей выглядят нормально, проблема только в группах.
Сначала я подумал, что это может быть как-то связано с ограничением OU соединителя Azure AD, и я повторно активировал полную синхронизацию, как это было раньше, но это не помогло.
Я также не могу изменить какие-либо разрешения через WebGUI, это заканчивается следующим сообщением.
`Система выдает исключение при вычислении лямбда-выражения: [ Boolean(@0[ApplyToSubFolders]) ] Исключение было выдано целью вызова.
ОШИБКА
Система выдает исключение при вычислении лямбда-выражения: [ Boolean(@0[ApplyToSubFolders]) ] Исключение было выдано целью вызова.`
Мне удалось создать новую «тестовую» папку в корневом PF, но я не могу настроить там какие-либо разрешения через WebGUI.
Можно изменить разрешения через клиент Outlook.
Если я убираю там одно из разрешений группы и заново добавляю, то показывается SID и все нормально работает. Значит мне известны вообще все группы на O365 (они там же показаны в Exchange Admin WebGUI), но на существующих разрешениях они ему не назначены.
Почему невозможно установить разрешение PF через WebGUI?
Почему он потерял свое назначение из существующих разрешений группы общих папок для SID и как это исправить, не удаляя и повторно не добавляя все разрешения вручную?
Изменить 1 (понедельник 2021-10-18):
Тем временем групповые разрешения полностью исчезли.
Редактировать 2 (четверг 21.10.2021):
С понедельника открыт тикет Microsoft, но они не могут объяснить, почему разрешения исчезли, и их инженеры-программисты работают над этим, чтобы выяснить, что произошло. Они также выясняют, почему невозможно установить разрешения через WebGUI.
Предложенное ими решение состояло в том, чтобы установить все разрешения вручную для всех папок с помощью Outlook или с помощью PowerShell, что меня не удовлетворило, поскольку у нас около 2700 папок. Они не хотели («создание пользовательских сценариев, как правило, выходит за рамки нашей поддержки») предоставить сценарий для повторного применения разрешений из XML-файла, который был создан во время миграции, и они не предложили никакого другого решения для получения разрешения обратно.
Тем временем я смог повторно применить разрешения для общедоступных папок с помощью этот сценарий создано мной и при поддержке сообщества.
Редактировать 3 (Суббота, 30.10.2021)
MS говорит, что проблема с настройками разрешений WebGUI хорошо известна:
«сообщенная проблема вызвана известной проблемой (которая решается нашей командой разработки продуктов из серверной части)»
Они рекомендуют использовать клиенты Outlook или PowerShell для изменения разрешений для общих папок.
Они также говорят, что я не могу доказать, что разрешение не было удалено действиями администратора, поскольку наш журнал аудита не был включен (по умолчанию в MS), и я не могу показать записи об этом.
Я снова отправил им свой снимок экрана, который показывает странную ситуацию с отсутствующим SID в разрешениях группы, чтобы указать, что это проблема в инфраструктуре MS.
Я единственный парень, у которого есть доступ администратора, и я уверен, что не удалял разрешения для общих папок.
Редактировать 4 (воскресенье, 14.11.2021)
Ответ от МС:
«Что касается проблемы с назначением разрешений через пользовательский интерфейс центра администрирования, мой коллега сообщил, что эта проблема уже опубликована извне, поскольку проблема известна в течение некоторого времени. Как упоминалось ранее, наша группа разработки продуктов в настоящее время работает над разработкой постоянного исправления. , однако на данный момент нет конкретного ETA, поэтому мы не можем полностью подтвердить, когда ожидать решения.Для получения дополнительной информации вы также можете обратиться к Разрешения и параметры общедоступных папок не распространяются в EAC (она также включает в себя предложенный нами скрипт PowerShell, который является официальным решением этой проблемы, предоставленным нашими коллегами)».
«Исходя из информации, которой вы поделились с нами до сих пор (включая снимок экрана центра администрирования Exchange, на котором показаны отсутствующие SID), мой коллега подозревает, что затронутые общедоступные папки были нормально перенесены в Exchange Online, однако группы безопасности почты, предоставляющие разрешения чтобы пользователи не были впоследствии синхронизированы (или возникла проблема с процессом синхронизации), в результате чего эти группы разрешений были признаны потерянными/устаревшими и были удалены нашим агентом согласованности, который запускается каждые 7 дней в бэкэнде. "
«Сказав это, такое поведение является преднамеренным, но, к сожалению, мы не можем полностью подтвердить, почему разрешения были обнаружены как устаревшие в первую очередь. Для получения дополнительной информации по этому вопросу мы рекомендуем просмотреть официальный Анонс агента согласованности общих папок для Exchange Online сообщение от команды разработчиков Exchange, в котором объясняется, как работает агент».
