Chúng tôi đã cài đặt máy chủ Exchange 2016 mới và di chuyển tất cả các hộp thư từ máy chủ Exchange 2010 sang máy chủ đó.
Sau đó, chúng tôi đã di chuyển tất cả các hộp thư và thư mục công cộng từ MSEX2016 sang Office 365, đồng thời chúng tôi đã hạ cấp và tắt MSEX2010.
AD cục bộ được Azure AD Connector đồng bộ hóa với Azure AD trên một trong các máy chủ cục bộ của chúng tôi.
Điều này làm việc trong một vài tuần mà không có vấn đề gì. Tất cả khách hàng đều có thể truy cập các thư mục công cộng và hộp thư của họ trên O365.
Hôm qua, chúng tôi đã hạ cấp MSEX2016, vốn đã bị tắt để thử nghiệm vài ngày trước đó.
Không có PF nào hoạt động trên đó, nhưng không thể xóa cơ sở dữ liệu theo cách thông thường vì nó luôn cho thấy rằng máy chủ vẫn ở chế độ di chuyển.
Việc đặt thuộc tính theo cách thủ công (như MigrationComplete...) không giúp ích gì và cuối cùng chúng tôi đã xóa chúng bằng tùy chọn bắt buộc, hạ cấp máy chủ và tắt máy chủ.
Sau đó, trên các máy khách xuất hiện thông báo rằng Quản trị viên Exchange đã thực hiện các thay đổi yêu cầu khởi động lại máy khách Outlook.
Không chắc tại sao thông báo này lại xuất hiện, vì tất cả các máy khách đã được kết nối với O365 và lẽ ra không có bất kỳ kết nối nào được thiết lập với MSEX2016 cũ.
Hôm qua, tôi cũng đã thay đổi Trình kết nối Azure AD để nó chỉ đồng bộ hóa một số OU cần thiết.
Hôm nay xuất hiện vấn đề là không ai vào được PF nữa.
Sau đó, tôi phát hiện ra rằng SID trên quyền thư mục của các nhóm được chỉ định được hiển thị là không xác định.
SID người dùng trông ổn, vấn đề chỉ xảy ra với các nhóm.
Đầu tiên, tôi nghĩ rằng điều này có thể liên quan đến giới hạn đơn vị tổ chức của Trình kết nối Azure AD và tôi đã kích hoạt lại đồng bộ hóa đầy đủ như trước đây, nhưng nó không giúp được gì.
Tôi cũng không thể thay đổi bất kỳ quyền nào thông qua WebGUI, kết thúc bằng thông báo sau.
`Hệ thống đưa ra một ngoại lệ khi tính toán Biểu thức Lambda : [ Boolean(@0[ApplyToSubFolders]) ] Ngoại lệ đã được đưa ra bởi mục tiêu của một lệnh gọi.
LỖI
Hệ thống đưa ra một ngoại lệ khi tính toán Biểu thức Lambda : [ Boolean(@0[ApplyToSubFolders]) ] Đối tượng của lệnh gọi đã đưa ra một ngoại lệ.`
Tôi đã có thể tạo một thư mục "kiểm tra" mới trong PF gốc, nhưng tôi không thể thiết lập bất kỳ quyền nào ở đó thông qua WebGUI.
Có thể thay đổi quyền thông qua ứng dụng khách Outlook.
Nếu tôi xóa một trong các quyền của nhóm và thêm lại, thì SID sẽ được hiển thị và mọi thứ hoạt động tốt. Có nghĩa là đối với tôi, tất cả các nhóm đều được biết đến nói chung tại O365 (chúng cũng được hiển thị ở đó trong WebGUI quản trị Exchange), nhưng trên các quyền hiện có, chúng không được gán cho nó.
Tại sao không thể đặt quyền PF qua WebGUI?
Tại sao nó mất quyền gán từ các quyền của nhóm thư mục chung hiện có cho SID và cách khắc phục mà không cần xóa và thêm lại tất cả các quyền theo cách thủ công?
Chỉnh sửa 1 (Thứ Hai 2021-10-18):
Trong khi đó, các quyền của nhóm hoàn toàn biến mất.
Chỉnh sửa 2 (Thứ Năm 2021-10-21):
Có một vé của Microsoft được mở từ thứ Hai, nhưng họ không thể giải thích lý do tại sao các quyền lại biến mất và các kỹ sư phần mềm của họ đang nghiên cứu để tìm hiểu điều gì đã xảy ra. Họ cũng đang điều tra lý do tại sao không thể đặt quyền thông qua WebGUI.
Giải pháp được đề xuất của họ là đặt tất cả các quyền theo cách thủ công trên tất cả các thư mục bằng Outlook hoặc bằng PowerShell, điều không làm tôi hài lòng vì chúng tôi có khoảng 2700 thư mục. Họ không sẵn lòng ("việc xây dựng tập lệnh tùy chỉnh thường nằm ngoài ranh giới hỗ trợ của chúng tôi") cung cấp tập lệnh để áp dụng lại các quyền từ tệp XML đã được tạo trong quá trình di chuyển và họ không hiển thị với bất kỳ giải pháp nào khác để có được các quyền trở lại.
Trong khi đó, tôi có thể áp dụng lại quyền truy cập thư mục chung với kịch bản này được tạo ra bởi bản thân tôi và bởi sự hỗ trợ của cộng đồng.
Chỉnh sửa 3 (Thứ Bảy, 2021-10-30)
MS nói rằng vấn đề với cài đặt quyền WebGUI đã được biết rõ:
"sự cố được báo cáo là do một sự cố đã biết (đang được giải quyết bởi nhóm Kỹ thuật sản phẩm của chúng tôi từ phần phụ trợ)"
Họ khuyên bạn nên sử dụng ứng dụng khách Outlook hoặc PowerShell để thay đổi quyền trên các thư mục công cộng.
Họ nói thêm rằng tôi không thể chứng minh rằng quyền không bị xóa bởi hoạt động của quản trị viên, vì nhật ký kiểm tra của chúng tôi không được bật (theo mặc định của MS) và tôi không thể hiển thị bản ghi về nó.
Tôi đã gửi lại ảnh chụp màn hình của mình cho họ, ảnh chụp này cho thấy tình huống kỳ lạ với SID bị thiếu trên các quyền của nhóm để chỉ ra rằng đây là sự cố trong cơ sở hạ tầng MS.
Tôi là người duy nhất có quyền truy cập quản trị viên và tôi chắc chắn rằng mình đã không xóa quyền trên các thư mục công cộng.
Chỉnh sửa 4 (Chủ nhật, 2021-11-14)
Câu trả lời từ MS:
"Về vấn đề gán quyền thông qua giao diện người dùng của trung tâm quản trị, đồng nghiệp của tôi khuyên rằng vấn đề này đã được công bố ra bên ngoài, vì vấn đề này đã được biết đến một thời gian. Như đã đề cập trước đó, nhóm Kỹ thuật sản phẩm của chúng tôi hiện đang làm việc để phát triển một bản sửa lỗi vĩnh viễn tuy nhiên, hiện tại không có ETA cụ thể nên chúng tôi không thể xác nhận đầy đủ khi nào sẽ có giải pháp. Để biết thêm thông tin, bạn cũng có thể tham khảo Quyền và cài đặt thư mục công cộng không phổ biến trong EAC bài viết (nó cũng bao gồm tập lệnh PowerShell mà chúng tôi đã đề xuất, đây là cách giải quyết chính thức cho sự cố này mà các đồng nghiệp của chúng tôi đã cung cấp)."
"Từ thông tin bạn đã chia sẻ với chúng tôi cho đến nay (bao gồm cả ảnh chụp màn hình từ EAC, hiển thị các SID bị thiếu), đồng nghiệp của tôi nghi ngờ rằng các thư mục công cộng bị ảnh hưởng đã được di chuyển bình thường sang Exchange Online, tuy nhiên, các nhóm bảo mật thư cấp quyền cho người dùng không được đồng bộ hóa sau đó (hoặc đã xảy ra sự cố với quá trình đồng bộ hóa). Do đó, các nhóm quyền này được coi là mồ côi/cũ và đã bị xóa bằng tác nhân nhất quán của chúng tôi, hoạt động này chạy 7 ngày một lần trong phần phụ trợ. "
"Phải nói rằng, hành vi này là do thiết kế, nhưng chúng tôi rất tiếc không thể xác nhận đầy đủ lý do tại sao các quyền được phát hiện là cũ ngay từ đầu. Để biết thêm thông tin về vấn đề này, chúng tôi khuyên bạn nên xem lại chính thức Thông báo Tác nhân nhất quán thư mục chung cho Exchange Online bài đăng từ nhóm phát triển Exchange, giải thích cách hoạt động của tác nhân."
