none
exchange 2013 禁止匿名中继 报错,无法删除属性ExtendedRight 不存在ACE RRS feed

  • 问题

  •  各位大神:

       我的exchange 2013 不能禁止匿名中继。在使用命令Get-ReceiveConnector | Remove-ADPermission -User "NT AUTHORITY\anonymous logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender后,5个默认接收连接器都报错无法删除属性ExtendedRight 不存在ACE。

    报错示例;

    警告: 无法删除属性"ExtendedRight (ObjectType: c22841f4-96cb-498a-ac02-f9a87c74eb14)"对于对象"CN=Default
    CQRTSERVER42,CN=SMTP Receive Connectors,CN=Protocols,CN=CQRTSERVER42,CN=Servers,CN=Exchange Administrative Group
    (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,CN=Microsoft
    Exchange,CN=Services,CN=Configuration,DC=runkingcredit,DC=cn"的访问控制项,因为不存在 ACE。

     

    之前发贴时,论坛BOSS级人物manu meng指点过,执行et-ReceiveConnector "这里是开启了匿名的接收连接器" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" | where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"}  | Remove-ADPermission -Confirm:$false 后,重启传输服务,再删除。

    我尝试执行上一行的命令,能够执行成功,但是,还是报不存在ACE错误。

    根据google搜索相关资料后,我在域上使用ADSI编辑器,并在CN=Extended-Rights下中,能够找到CN=ms-Exch-SMTP-Accept-Authoritative-Domain-Sender,且该对象中rightsguid的值,即为报错示例中objectype中的值。

    请教各位大神,应该如何操作,才能够禁止匿名中继 ,比问题已困扰我数天,每天耗费相当多的时间在这问题上。

    感激不尽。

      各位大神,我在使用ADSI编辑器,删除CN=Extended-Rights下,CN=ms-Exch-SMTP-Accept-Authoritative-Domain-Sender里rightsguid的值后报错如下

    警告: 无法删除帐户"NT AUTHORITY\ANONYMOUS LOGON"的对象"CN=Default CQRTSERVER42,CN=SMTP Receive
    Connectors,CN=Protocols,CN=CQRTSERVER42,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative
     Groups,CN=First Organization,CN=Microsoft
    Exchange,CN=Services,CN=Configuration,DC=runkingcredit,DC=cn"上的访问控制条目,因为该对象上不存在 ACE。
    已经完全无解了。。。

    2018年11月2日 6:20

答案

  • 您好,

    很高兴再次帮助您!

    ExtendedRights的参数值应该是ms-Exch-SMTP-Accept-Any-Recipient。此权限允许Exchange通过此连接器中继邮件。如果未授予此权限,则此连接器仅接受发送到接受域中的收件人的邮件。而ms-Exch-SMTP-Accept-Any-Sender这个权限用于规避发件人地址的欺骗检查,应该与匿名中继无关。您可以尝试运行如下命令取消匿名中继。

    Get-ReceiveConnector "开启匿名中继的接收连接器" | Remove-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"


    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年11月2日 10:12
    版主

全部回复

  • 您好,

    很高兴再次帮助您!

    ExtendedRights的参数值应该是ms-Exch-SMTP-Accept-Any-Recipient。此权限允许Exchange通过此连接器中继邮件。如果未授予此权限,则此连接器仅接受发送到接受域中的收件人的邮件。而ms-Exch-SMTP-Accept-Any-Sender这个权限用于规避发件人地址的欺骗检查,应该与匿名中继无关。您可以尝试运行如下命令取消匿名中继。

    Get-ReceiveConnector "开启匿名中继的接收连接器" | Remove-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"


    此致,

    敬礼

    Manu Meng


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年11月2日 10:12
    版主
  •  boss meng

     非常感谢您的回复,谢谢

    祝一切顺利

    2018年11月5日 1:46