原始 KB 编号: 3096158
症状
尝试在多域环境中执行Microsoft Exchange Server管理任务(例如 Set-Mailbox 和 Move-Mailbox)时,会收到以下错误消息:
dc1.contoso.com 上的 Active Directory 操作失败。 此错误不可重试。 其他信息:没有足够的访问权限来执行操作。
Active Directory 响应:00002098:SecErr:DSID-03150889,问题 4003 (INSUF_ACCESS_RIGHTS) ,数据 0
仅当针对 Exchange 通用安全组所在的域中(例如 Exchange 受信任的子系统)中的邮箱运行 cmdlet 时,才会发生此问题。
原因
如果在同一林中的域之间启用了 SID 筛选隔离,则会出现此问题。 启用此功能后,Exchange 通用安全组所在的域将从其他域中的用户的任何令牌中丢弃这些通用安全组的 SID。 这意味着,作为 Exchange 受信任子系统成员(例如 Exchange 服务器本身)的用户将无法充当 Exchange 受信任子系统的成员(如果这些成员位于其他域中)。 由于 Exchange 管理 cmdlet 使用计算机帐户的安全上下文来更新收件人,因此更新该域中收件人的任何尝试都将失败。
解决方案
若要解决此问题,请不要在同一林中的域之间启用 SID 筛选器隔离。 有关如何禁用 SID 筛选器隔离的信息,请参阅 禁用 SID 筛选器隔离。
更多信息
有关 SID 筛选器隔离的详细信息,请参阅 配置 SID 筛选设置。