Jump to content

Replikation von Gruppen die es nicht mehr geben dürfte


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

der Betreff ist etwas b***d gewählt aber mir fiel nichts passenderes ein.

Eigentlich ist dieser Beitrag eine Mischung aus AD DS und Exchange.

 

Ich schildere es einfach mal: Umgebung mit zwei DC's je auf 2K8R2, Funktionsebene 298R2.

Installation eines Exchange Servers 2016 durch Benutzer ohne Kentnisse durchgeführt.

Das klappte nicht, also das System gelöscht und neu aufgesetzt.

Dann wurden geteilte Berechtigungen aktiviert und man erreichte wieder nicht was man wollte.

 

Schlussletztlich sitzen wir jetzt an dem System. Leider ziemlich verbaut und vernarbt.

Vieles konnten wir in Ordnung bringen. Wir haben uns entschlossen, weil es aus das angedachte Exchnage System nicht mehr gibt aber ein Exchange 2016 integriert werden soll, die AD DS Datenbank zu reinigen.

Inkl. des Schemas. Zur Säuberung gehörte u.a. die Löschung alter Security Principals die mal auf Exchange verwiesen hatten. Einzelne Gruppen und Benutzer wie z.B. die Domänen-Admins wurden durch geteilte Berechtigungen verändert und die Übernahme übergordneter und vererbter Berechtigungen ausgeschaltet. Dies wurde wieder in den Standard zurückversetzt.

 

Das war auch alles soweit erfolgreich. Auf beiden DC's stimmt das Schema, die Datenbank, alles identisch. Replikation wurde entsprechend manuell angestoßen

 

Wir konnten anschließend den Stamm und das Schema sauber mittels der entsprechenden Befehle auf die Integration eines Exchange vorbereiten. Dieser Vorgang war ebenfalls erfolgreich. Wir hatten im Vorfeld die Replikation abgeschaltet. Nachdem nun Stamm und Schema auf MsExch vorbereitet waren haben wir die Replikation wieder eingeschaltet und einmal manuell angestoßen. DcDiag etc. alles sauber ohne Fehler.

 

Jetzt der Hammer: Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da. Wir wissen aber nicht woher die repliziert werden. Es gibt nachweislich nur zwei DC's. Beide hatten vor der Schemaanpassung den selben Stand ohne diese unbekannten Konten.

Nach Prüfung stellt man fest es handelt sich um alte Exchange Objekte.

 

Habt ihr eine Idee was das sein kann?

 

Freue mich auf eine Rückmeldung.

 

Viele Grüße

Fly87

Link zu diesem Kommentar

Moin,

 

gibt es wirklich noch Leute, die vor einem Schema-Update die Replikation abschalten? Das ist nicht nur gestrig, es ist auch unsupported.

 

Was genau meinst du mit Folgendem?

Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da.

 

Und was meinst du mit "den Stamm vorbereiten"?

 

Auch dies verstehe ich nicht:

Solange kein Exchange den Weg in die Umgung findet bleiben die entsprechenden unbekannten Konten auch dem System fern.

 

Bitte mal genau beschreiben, sonst kommen wir hier nicht weiter.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Hallo Nils, das wir die Replikation abgeschaltet haben nach der Säuberung hatte u.a. den Grund das wir herausfinden wollten wie sich das AD DS nach dem vorbereiten auf Exchange verhält. Vorher gab es u.a  jede Menge Fehler die von dcdaig und weiteren Analyse Tools ausgeworfen wurden. In einer Umgebung, die nicht so verbaut ist käme uns das auch nicht in den Sinn.

 

Was genau meinst du mit Folgendem?
Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da.

 

 

Alle Objekte die Administrative Funktionen ausführen haben eine Reihe unbekannter Konten im Sicherheitsreiter des jeweiligen Objekts. Das kann der Account Administrator sein, das kann der Account IT_Admin sein völlig egal. Sobald diese Accounts die Gruppen Organisations-Admins, Domänen-Admins etc. zugewiesen haben tauchen diese Konten nach einiger Zeit dort wieder auf. Selbst wenn sie entfernt wurden und der Account auf Standardwerte zurückgesetzt wurde.

 

Bei genauerer Analyse stellt man fest das dies alles alte Exchange Objekte sind wie z.B. die Server oder Subsystem Gruppe...

 

Mit Stamm vorbereitet meinte ich die Anpassung des Schemas, die Vorbereitung des AD DS für Exchange. Sprich sämtliche Vorab Vorbereitungen des AD DS für Exchange.

 

Auch dies verstehe ich nicht:
Solange kein Exchange den Weg in die Umgung findet bleiben die entsprechenden unbekannten Konten auch dem System fern.

 

 

Ich leider auch nicht. Solange es keine Exchange Vorbereitung gibt im AD DS tauchen diese unbekannten Konten nach entfernen nicht wieder auf. Wird aber die Vorbereitung durchgeführt sind kurze Zeit später auf den genannten Konten die unbekannten Konten wieder da.

 

Ein Vergleich in einer sauber aufgesetzten Testinstallation konnte dieses Verhalten nicht hervorrufen.

 

Grüße

Fly87

bearbeitet von fly87
Link zu diesem Kommentar

Moin,

 

also, für mich sprichst du immer noch in Rätseln.

 

 

Solange es keine Exchange Vorbereitung gibt im AD DS tauchen diese unbekannten Konten nach entfernen nicht wieder auf. Wird aber die Vorbereitung durchgeführt sind kurze Zeit später auf den genannten Konten die unbekannten Konten wieder da.

 

Ich verstehe nicht, was du damit meinst. Mit "Exchange-Vorbereitung" meinst du die ersten Schritte der Installation? Das macht man aber doch nur einmal, oder? Deine Formulierung klingt, als würdet ihr da irgendwas ein- und ausschalten und schauen, was passiert.

 

Macht ihr da am Ende mit VM-Snapshots rum oder sowas?

 

Was meinst du mit "unbekannte Konten"? Solche, bei denen nur ein SID angezeigt wird statt des Namens? Was meinst du in dem Zusammenhang mit

 

Nach Prüfung stellt man fest es handelt sich um alte Exchange Objekte.

?

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Guten Abend,

 

OK, auch wenn hier wirklich mehr Klarheit nutzen könnte, falls noch nicht bekannt, hilft möglicherweise der folgende Artikel:

https://technet.microsoft.com/en-us/library/dd638146%28v=exchg.150%29.aspx?f=255&MSPPError=-2147217396

 

So würde man das machen, wenn mans vorher "nicht kaputt konfiguriert" hat. ;) Viel mehr Hilfe kann man meiner Meinung nach aus der Ferne und schon gar nicht mit obigen Infos leisten.

 

Bye

Norbert

Link zu diesem Kommentar

Hallo Zusammen,

 

ich habe eigentlich gedacht ich hätte es schon so gut wie möglich erklärt. So kann man sich irren. :shock:

 

Also zur Situation: Es gibt ein verbautes und verbasteltest AD DS auf der 2008 R2 Funktionsebene.

Das Schema und der Forest selbst hatte teilweise verstellte Objekte die eine Installation von Exchnage z.B. unmöglich machten.

Die Anpassung des Schemas durch die Setuproutine brach mit unbeklanntem Fehler ab.

 

Daraufhin haben wir, weil die Möglichkeit der Neuinstallation vermieden werden musste, eine Säuberung des gesamten AD DS vorgenommen. Dazu gehörten auch Elemente aus dem Schema. Uralte Exchange Einträge zum Beispiel. Dies war auch erfolgreich. Entsprechend umsichtig wurde gerade in dem Zusammenhang gehandelt.

 

Danach haben wir uns den Berechtigungen gewidmet. Auf dem höchsten Objekt des Domänenstamms waren im Reiter Sicherheit alte Sicherheitsgruppen eingetragen, die als unbekannte Konten aufgeführt werden, weil es die entsprechenden alten Sicherheitsgruppen bereits im Vorfeld schon nicht mehr gab. Diese haben wir entfernt.

 

Für alle Objekte, die in irgendeinerweise die Domäne Administrativ beeinflussen können z.B. das Objekt des Domänenadministrators. Account Name: Administrator oder die Sicherheitsgruppen Schema-Admins, Domänen-Admins usw. wurden diese alten Sicherheitsgruppen nicht entfernt, weil die Vererbung deaktivert wurde.

Das zog sich durch alle Sicherheitsgruppen und Objekte, die Administrativ die Domäne beeinflussen können.

Auch das wurde bereinigt und über beide DC's repliziert.

Die Folge war: Benutzer können sich wieder anmelden, die Replikation funktioniert wieder usw.

 

Danach haben wir begonnen einen Exchange 2016 sauber in das Schema und den Forest zu integrieren. Eine Demo Umgebung durfte und konnte zu unserem Leidwesen nicht erstellt werden. Also wurde das gesamte AD DS per Backup gesichert.

Dieser Vorgang war erfolgreich. Auch die Installation und die Inbetriebnahme des Exchange hat ohne erkennbare Probleme funktioniert.

 

Man könnte meinen alles gut gegangen. System läuft.

Wäre da nicht folgender Umstand: Die Gruppen Domänen-Admins, Schema-Admins, das Objekt Administrator usw. haben plötzlich wieder die unbekannten Objekte in ihrer ACL. Beim ersten mal hält man das für einen sontigen Fehler. Es wurde wieder angepasst.

Beide DC's haben den selben Stand ohne diese unbekannten in ihrer ACL.

Einige Stunden später sind diese Objekte wieder da. Und ich weiß ehrlich gesagt nicht warum. Ich weiß nicht woher die repliziert werden.

Untersucht man diese unbekannten Konto ACL Einträge genauer, stellt man fest das diese z.B. die Berechtigung "Exchange Personal Information" lesen haben. Oder andere Exchange Elemente. Ich hänge mal ein Bild zur Visualisierung an.

 

Ich frage mich: Woher stammen diese offenbar alten unbekannten Konten. Woher werden die repliziert oder wiederhergestellt?

Es gibt nur nachweislich zwei DC's die aber korrekt replizieren. Das heißt enfernt man diese Gruppen sind sie auf beiden DC's auch weg. Nach Stunden sind sie plötzlich wieder da.

 

Ich hoffe mich jetzt verständlicher ausgedrückt zu haben.

 

LG,

Fly87

post-54163-0-88281600-1506590263_thumb.png

bearbeitet von fly87
Link zu diesem Kommentar

Moin,

 

Daraufhin haben wir, weil die Möglichkeit der Neuinstallation vermieden werden musste, eine Säuberung des gesamten AD DS vorgenommen. Dazu gehörten auch Elemente aus dem Schema. Uralte Exchange Einträge zum Beispiel. Dies war auch erfolgreich. Entsprechend umsichtig wurde gerade in dem Zusammenhang gehandelt.

 

das kann so nicht sein. Im Schema kann man keine Löschungen vornehmen. Hier wäre also wichtig zu wissen, was ihr tatsächlich wo gemacht habt.

 

Danach haben wir uns den Berechtigungen gewidmet. Auf dem höchsten Objekt des Domänenstamms waren im Reiter Sicherheit alte Sicherheitsgruppen eingetragen, die als unbekannte Konten Wäre da nicht folgender Umstand: Die Gruppen Domänen-Admins, Schema-Admins, das Objekt Administrator usw. haben plötzlich wieder die unbekannten Objekte in ihrer ACL.

 

 

Hier wird es interessant. Dass diese Objekte durch eine Replikation ins System kommen, kann man ausschließen.

 

Zwei spekulative Theorien:

  • Theorie 1: Es gab nach eurer Bereinigung doch noch Berechtigungseinträge für diese verwaisten Objekte im AD. Bei der Neuinstallation erkennt Exchange diese und wendet sie auf die neuen AD-Objekte an.
  • Theorie 2: Exchange versucht, die zugehörigen Objekte (User und/oder Gruppen) neu zu erzeugen und die passenden Berechtigungen zu setzen. Aus irgendeinem Grund geschieht hierbei ein Fehler, und Exchange setzt die falschen Berechtigungen.

Kern des Problems dürfte sein, dass ihr hier einen nicht supporteten manuellen Weg zur "Bereinigung" beschritten habt. Ich vermute, dass ihr von Microsoft hier keinen Support kriegen werdet - einen Versuch wäre es aber vielleicht wert.

 

Alternativ würde ich jetzt sehen, ob ich einen Exchange-Spezi finde, der sich die Sache mal ansieht. Je nach Ergebnis würde ich dann, wenn eine Reparatur nicht möglich erscheint, einen Neuaufbau erwägen.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...