dataKEKS

Kaufmänisch bin ich komplett bei euch - auch wenn ich das noch nie gemacht habe mit gekauften Zertifikaten und nicht mal wüsste wo ich da eigentlich ansetzen sollte. Beim aktuellen Fall brauche ich mir da nur keine Hoffnung machen: Mit einer Aussage mit iOS 13 ist das halt so lässt sich der Kunde nicht "abspeisen", der will es immer 200%ig wissen (in wie weit er es auch versteht steht nicht zur Diskussion, er ist ja Kunde und hat damit immer Recht).... Hat denn niemand eine Idee wie das auch ohne Kauf eines Zertifikates realisiert werden kann / woran es mit den aktuellen Zertifikaten klemmen könnte? Norbert

Hallo Kollegen! Sicher bin ich nicht der einzige der auch mal das eine oder auch andere iOS Gerät an einen Exchange mit selbst erstellten Zertifikaten anbinden "darf" weswegen ich hoffe mir hat jemand eine Lösung für mein Problem, aktuell sehe ich die Lösung trotz alle Bemühungen nicht. Alle Geräte mit iOS 12.x und älter bekomme ich problemlos angebunden, mit iOS 13 ist leider Schicht im Schacht und bislang habe ich keine Idee wo mein Fehler liegt. Wir haben aktuell noch einige Exchange 2010 mit eigener CA im Einsatz deren Migration in den nächsten Wochen auf dem Plan steht nur leider bekommen wir da aktuell keine iPhones mehr angebunden. Bislang haben wir das immer so gemacht: - CER der eigenen CA (Windows) aufs neue Gerät übertragen und geladen - Wechsel in die Einstellungen, Allgemein, Profil und hier das neue Zertifikat annehmen - Unter Einstellungen, Allgemein, Info ganz unten in den Zertifikatsvertrauenseinstellungen die eigene CA aktiviert Danach konnte ich jedes iOS Gerät problemlos anbinden, mit iOS 13 funktioniert es leider mit dem gleichen Konto und dem gleichen Server nicht mehr - hat jemand eine schlaue Idee woran es krankt? Es kommt bereits in der Einrichtung des Kontos die Meldung Serveridentität kann nicht überprüft werden - die Identität von mail.abc.xyz kann nicht überprüft werden. Leider funktioniert auch die Schaltfläche Details hier überhaupt nicht :-( Wäre super wenn jemand mir die Lösung hätte - noch mehr graue Haar mag meine Frau nicht an mir sehen.... Norbert

Hallo Norbert! Sehe ich ja nicht anders, bin ja selber auch froh das es direktes SMTP ist nur Schulen und Kohle - das passt nicht in einen Satz - ist viel Liebhaberei dabei die zu betreuen.... Daher ja auch die typsiche Zwickmühle - darf nix kosten aber muss alles können.... Gruß Norbert

Hallo Norbert! Die Schule hat einen direkten MX Record und empfängt somit alle Mails direkt. Ist so gewollt, ein POP3 Connector ist wegen Geschwindigkeit nicht gewollt, das habe ich schon abgefragt. Soweit ich Exchange und das Thema NDR Spamming richtig verstehe ist das ja in einer solchen Konstellation leider ein echtes Problem. Die Schule hat nur einen normalen DSL Anschluss mit dynamischer IP (ja, ich weiß) und damit keine Chance ohne den Provider als Smarthost zu versenden... Habe mir mal übers Tracking ein paar NDRs angesehen, da ist fast nur Spam dabei an ehemalige Lehrer usw deren Adressen halt leider eingeführt sind / waren und die von Listen runter zu bekommen sehe ich als quasi unmöglich an - daher die Idee NDR zu deaktivieren. Habe extra die Schulleitung gefragt, für die wäre es kein Thema wenn keine Info mehr bei Mails an nicht existierende Adressen kommen würden. Grüße Norbert

Hallo Kollegen, ich kämpfe gerade mit einem Exchange Verhalten das ich so in all den Jahren noch nicht erlebt habe und auch mit Tante Google hatte ich bislang keinen Erfolg. Bei einer Schule wurden wir zu Rate gezogen weil 1&1 der Schule immer wieder Konto wegen SPAM Versand sperrt, Nach einigem Suchen in den Message Logs sieht für mich alles danach aus als würden wir wegen NDR Spamming geblockt werden. Bei Exchange 2010 konnte man wenn ich mich richtig erinnere noch die externen NDRs deakvieren - nur wie macht man das bei Exchange 2013 / 2016 / 2019? Der für mich plausible Ansatz mit set-RemoteDomain "Default" -NdrEnabled $false hat leider nicht funktioniert, Tests mit Hotmail und GMail wurden leider noch mit NDR quittiert... Im Zuge der Fehlersuche bin ich über diesen Artikel auf der MSXFAQ gestolpert, drum vermute ich hier die Aussage, bei 1&1 hatte ich leider noch kein Glück Grüße aus BaWü Norbert

Hallo Kollegen! Jeder von euch der schon ne Weile in der IT ist kennt das Problem: Irgendwann muss eine Monitoring Lösung her um besser mitzubekommen was eigentlich wann im Netzwerk los ist. Für viele Jahre haben wir an unseren Schulen für die Gateways ausschließlich mit MRTG gemacht was auch nach wie vor funktioniert, nur leider kommt ja bekanntlich der Appetit beim Essen und jetzt sollen noch Switche, Server etc überwacht werden weswegen wir jetzt nach einer softwareseiitig kostenlosen aber mächtigen Lösung suchen müssen. Ich selber habe schon mit Nagios, Paessler und auch Zabbix zu tun gehabt, nur wie es so oft ist im Leben - was man nicht selber bis ins letzte Detail macht kennt man doch nur halb, das merke ich gerade schmerzhaft. Wegen der Kostenthematik steht ganz klar Zabbix auf Platz eins und die Tests der letzten Wochen waren auch echt erfreulich, es fehlen uns "nur noch" die Bintec Gateways. Jeder der schon mal ein wenig mit Zabbix gespielt hat ist sicherlich schon einmal über den Punkt Last Data gestolpert, so auch ich wodurch ich überhaupt erst mit Sicherheit sagen kann das Zabbix erfolgreich per SNMP die Bintec abfragen kann, nur leider "unvollständig": Es fehlen alle Interfaces, CPU Last etc was wir von unseren HP Switchen (19er Familie also COMWare) bekommen. Fehlende CPU / RAM Daten könnten wir ja noch verkraften, aber wir sollten schon wissen was auf den Interfaces los ist... Hat jemand von euch zufällig Zabbix mit Bintec Gateways im Einsatz und kann mir vielleicht einen Schucker in die richtige Richtung geben? Grüße aus BaWü Norbert

Wäre das Thema mit Port 80 muss offen sein nicht hätte ich da weniger Bauchschmerzen mit, nur den immer wieder auf machen.... Oder leitet ihr das einfach auf eine Dummy Seite ohne Inhalt um? Gruß Norbert P.S.: War kein Problem mit dem Zertifikat sondern dem Active Directory Konto das ich auf dem Handy ans Laufen bringen wollte...

Leute Leute Leute! Der Fieberwahn hat mich echt auf Trapp gehalten! Wie jeder weiß der das Kleingedruckte beim Connectivty Test liest oder sich eure Hinweise zu Herzen nimmt der macht die Tests von Microsoft für die Exchange Connectivty nicht mit seinem Arbeitsuser sondern einem temporären Versuchskanninchen. Genau so habe ich es auch gemacht, nur dann kommt mein persönliches Versagen: Ich hätte diesen Testuser auch mal auf dem Handy probieren sollen und nicht gleich meinen User verwenden, und genau das hat mich Stunden gekostet.... Irgendwann hatte ich dann die doofe Idee es doch mal selber mit meinem Versuchskanninchen gemacht und siehe da - alles läuft. *augenreiben*, weiter machen! Beide Kundenkonten danach getestet, auch diese funktionierten wunderbar. Wie kann sowas sein? Funktioniert aber immer noch nicht mit meinem User, also weiter im Text, meinem User temporär das Postfach gekillt, neu angelegt und es tut weiterhin nicht per Active Sync???? Fragt mich nicht wie lange es her ist, aber mir kam vor Jahren schon einmal dieses Problem unter, nur daran habe ich natürlich gar nicht mehr gedacht... Hier des Rätsles Lösung: https://serverfault.com/questions/620434/allow-activesync-to-former-domain-administrator-in-exchange-2010 Benutzerkonto gecheckt und genau das vorgefunden was ich erwartet habe: Aus irgendeinem Grund war die Vererbung im Benutzerkonto deaktiviert wordurch der Exchange Server keine Möglichkeit hatte die Synchronisationsparameter im Benutzerkonto zu hinterlegen weswegen das Konto auf Handys zwar angelegt aber nicht synchronisiert werden konnte.1

Die Domain liegt bei checkdomain (nie zuvor gehört) und ein ping auf mail.domain.com bringt die ip der Fritz!Box und auch der Zugriff auf den OWA funktioniert mit Chrome / Safari, nur eben den Mailprogrammen nicht weswegen ich für meinen Teil kein Problem in der DNS Auflösung, der HTTPs Weiterleitung und dem Zertifikat vermuten würde. Getestet habe ich es per DSL (Telekom) als auch Handynetzen (Telekom und O2)

Ihr habt ja recht! Die Fritz!Box erlaubt den Ping und der liebe Kunde will es so, ebenso einen Exchange für zwei Postfächer.... Er kennt es halt von seiner noch Firma und wünscht sich auch im Altenteil die Möglichkeiten - also soll er sie doch auch bekommen. Mal Hand aufs Herz - könntet ihr euch vorstellen das es nicht geht nur weil es selbst erstellte Zertifikate sind? Das habe ich an meiner Ex-Schule auch so am Laufen und die würden mich erschlagen wenn es nicht funktionieren würde... Beim Thema Let´s encrypt stört mich ehrlich gesagt noch die Notwendigkeit das Port 80 bei der Verlängerung erreichbar sein muss wenn ich den Artikel in der c´t noch richtig im Kopf habe (oder täuscht mich da die liebe Grippe, muss ja nicht nur der Hals platt sein).... Hustende Grüße Norbert

Hey Norbert! Weil der Kunde nur ne Fritz!Box davor hängen hat für zwei Postfächer.... Thema let´s encrypt ist sicherlich eine Option, ich würde nur gerne erst mal verstehen was los ist und dann im nächsten Schritt gerne noch das Zertifikat verbessern... bye Norbert (noch so einer, ja ja)

Habe gerade auf unserem Exchange 2013 nachgesehen der gerade auch vom Apfel befallen ist - es wird keine IMEI übermittlelt...

Ist der nicht irrelevant wenn ich das Konto Manuel definiere? Habe das auch noch kurz testen können - auch positiv.... Ich schnall einfach nicht wo es klemmt...

Habe gerade noch einmal die virtuellen Verzeichnisse abgeklappert, überall steht sowohl die interne als auch die externe URL drin, beim Testtool habe ich den Exchange ActiveSync Test laufen lassen Nein! Mit Zwerg Nase, ist mein Versuchskanninchen Auf dem Apfel ist es das Mail Programm vom OS, auf dem Android (ein OnePlus) ist es Google Mail

Wäre auch zu einfach gewesen - ich setze logischerweise den Haken per SSL ignorieren und was sagt die Website? Connectivty Test successfull Werde mir wohl mal das IIS Log vom Exchange ansehen, was anderes fällt mir im nächsten Schritt gerade nicht ein

Was ich gerade noch getestet habe: Apple per O2 und Android per D1 können den Exchange hinter seiner Fritz!Box pingen und der Zugriff auf den OWA funktioniert, also hängt es meiner Meinung nach nicht an DNS oder Portweiterleitung. Das mit dem Tool gehe ich gleich noch an und poste dann.

Hallo Kollegen! Irgendwie setzt mir die Sommergrippe zu - ich bin zu doof nen Exchange 2016 so einzurichten so das er nicht nur intern per Outlook funktioniert sondern auch per Handy. Es ist ein Exchange der von extern per 443 errecihbar ist und so wie sonst auch und mit einem selbst erstellten versehen das sowohl auf seinen internen FQDN als auch auf mail.domain.com lautet. Das CA Zertifikat habe ich schon auf den Handys eingebunden aber per Apple noch Android haben Lust sich zu synchronisieren :-( Wo würdet ihr als erstes Suchen wenn der OWA von extern funktioniert? Gruß Norbert

Hallo Kollegen! Leider haben wir noch einige Netze mit WSUS auf Server 2008 R2 Basis weswegen die Windows 10 Installationen im Build nicht aktualisiert werden ohne das man Hand anlegt. Da User ja auch gerne mal selber Hand anlegen war meine Idee die ein Skript per GPO beim Rechnerstart laufen zu lassen, dass die Windows Version samt Build auswertet und dann einfach per Mail Alarm schlägt wenn nicht die aktuelle Version installiert ist. Per wmic os get buildnumber bekomme ich die folgende Ausgabe auf einem 1511er Windows: BuildNumber 10586 Leider habe ich keine Idee ich darauf aufbauend weiter kommen könnte. Wie löst ihr diese Art von Problem? Grüße aus BaWü Norbert (der andere)

Hat denn wirklich keiner Idee woran es liegen kann wenn ein IIS als FTP nur Anmeldungen von Admins erlaubt, nicht aber normalen Benutzern?

Hey Nils! Hast ja Recht, aber das ist Kundenanforderung, es darf nix kosten und per VPN gesichert automatisiert nutzbar sein, da kommen Daten von verschiedenen Plattformen rein, daher FTP. Wie würdest Du den das Problem lösen? Sollte doch eigentlich jeden Techniker beim Ergeiz packen :-) Gruß Norbert

Guten Morgen Kollegen! Nach Nächten mit grauen Haaren und erfolglosem Suchen wende ich mich jetzt an euch (ich weiß, wie so erst jetzt?) mit meinem Problem. Bei einem Kunden sollten wir "mal kurz" noch einen FTP Server einrichten mit unterschiedlichen Rechten pro User, AD Integration und Benutzer die sich nicht gegenseitig sehen können. Also erst im Testnetz auf dem Laptop und dann im Produktivnetz einen Server mit ISS aufgesetzt und darauf aufbauen losgelegt. Problem? Nur auf dem Kundennetz, bei mir läuft es komplett. Wie wurde das ganze realisiert? Einrichtung FTP mit UserIsolation 1.) Windows Server installieren 2.) Windows Server mit fester IP versehen, in Domäne einbinden 3.) Windows Server mit IIS, Funktion FTP Server erweitern 4.) Per Kommandozeile md D:\inetpub\ftproot\%userdomain%\Admin 5.) Per Kommandozeile md D:\inetpub\ftproot\%userdomain%\Testuser 6.) Im IIS Manager FTP Site anlegen nach D:\Inetpub\ftproot ohne SSL, Beide Authentifizierungstypen, alle Benutzer bekommen Berechtigung lesen 7.) FTP Server Dienst (Microsoft-FTP-Dienst) zwingend neu starten 8.) Testlauf mit FTP Client und anonymer Anmeldung, es muss der Domänen Ordner sichtbar sein 9.) FTP-Benutzerisolation im IIS für die gesamte FTP Site aktivieren, globale Verzeichnisse deaktivieren 10.) erneuter Testlauf mit anonymer Anmeldung, diese muß jetzt fehlschlagen. 11.) Im IIS Manager auf der FTP Site unter FTP-Authentifizierung Anonyme Authentifizierung abschalten und unter den Eigenschaften von Standard Authentifizierung die Anmeldedomäne eintragen 12.) erneuer Testlauf, diesmal mit Anmeldung Admin / ESD (ohne Domäne), Upload darf nicht funktionieren 13.) Im IIS Manager auf der FTP Site unterhalb des Domänenordners bei FTP-Autorisierungsregeln für die Gruppe der Domänen-Admins Lese- und Schreibrechte erteilen 14.) erneuer Testlauf, diesmal mit Anmeldung Admin / ESD (ohne Domäne), Upload und Download muss funktionieren und im richtigen Ordner des IIS landen. MS Website: https://docs.microsoft.com/en-us/iis/publish/using-the-ftp-service/configuring-ftp-user-isolation-in-iis-7 Egal was ich mache, mit Domänenadmins funktioniert es, nur normale Benutzer nicht. In Filezilla bekomme ich diese Meldungen: Status: Verbinde mit 192.168.101.80:21... Status: Verbindung hergestellt, warte auf Willkommensnachricht... Status: Unsicherer Server; er unterstützt kein FTP über TLS. Befehl: USER Test Antwort: 331 Password required Befehl: PASS ******* Antwort: 530 User cannot log in. Fehler: Kritischer Fehler: Herstellen der Verbindung zum Server fehlgeschlagen Wie bekomme ich das gelöst, wie sagt mir der IIS wieso ich micht nicht anmelden darf denn so deute ich die Meldung, es heißt ja nicht falsches Kennwort so wie ich das Protokoll deute. P.S.: Ich weiß das ich hier gerade ohne SSL arbeite was nur bei der internen Kommunikation der Fall ist, wenn der FTP von extern erreichbar wir erzwingen wir SSL, nur für die Tests habe ich das mittlerweile bewusst weggelassen um hier nicht noch weitere mögliche Probleme zu bekommen. Ratlose Grüße aus BaWü Norbert (der andere)

Mit Blick in das VBS Skript von Office 2016 und ein wenig Englisch habe ich die Abfrage dann doch noch verstanden und erfolgreich angepasst. Original: For Each objOS in GetObject("winmgmts:").InstancesOf("Win32_OperatingSystem") Ver = Split(objOS.Version, ".", -1, 1) ' Win2K3 If (Ver(0) = "5" And Ver(1) = "2" And (objOS.ProductType = 2 Or objOS.ProductType = 3)) Then 'Check for supported OS flavor intPosition = InStr(UCase(objOS.Caption),FlavorEnterprise) If intPosition = 0 Then intPosition = InStr(UCase(objOS.Caption),FlavorStandard) If intPosition = 0 Then intPosition = InStr(UCase(objOS.Caption),FlavorDataCenter) If intPosition <> 0 Then folder = "win2k3" : CheckSPP(objWMIService) : Exit For End If ' Win7 If (Ver(0) = "6" And Ver(1) = "1" And objOS.ProductType = 1) Then folder = "win7" Exit For End If ' Server2008R2 If (Ver(0) = "6" And Ver(1) = "1" And (objOS.ProductType = 2 Or objOS.ProductType = 3)) Then folder = "win7r2" Exit For End If Next Wie im Technet geschrieben muss man dann "nur noch" die Anfrage um neuere OS anpassen, ich habe das so realisiert: folder = "unknown" For Each objOS in GetObject("winmgmts:").InstancesOf("Win32_OperatingSystem") Ver = Split(objOS.Version, ".", -1, 1) ' Win2K3 If (Ver(0) = "5" And Ver(1) = "2" And (objOS.ProductType = 2 Or objOS.ProductType = 3)) Then 'Check for supported OS flavor intPosition = InStr(UCase(objOS.Caption),FlavorEnterprise) If intPosition = 0 Then intPosition = InStr(UCase(objOS.Caption),FlavorStandard) If intPosition = 0 Then intPosition = InStr(UCase(objOS.Caption),FlavorDataCenter) If intPosition <> 0 Then folder = "win2k3" : CheckSPP(objWMIService) : Exit For End If ' Win7 If (Ver(0) = "6" And Ver(1) = "1" And objOS.ProductType = 1) Then folder = "win7" Exit For End If ' Server2008R2 If (Ver(0) = "6" And Ver(1) = "1" And (objOS.ProductType = 2 Or objOS.ProductType = 3)) Then folder = "win7r2" Exit For End If 'future OS's If (CInt(Ver(0)) >= 10) Then folder = "win7r2" Exit For End If Next Damit kommt also rein dieser Teil dazu: 'future OS's If (CInt(Ver(0)) >= 10) Then folder = "win7r2" Exit For End If Next Jetzt gibt es einen Verweise für die neueren Betriebssysteme und der verweist einfach auch auf den Ordner win7r2, somit sind keine weiteren Anpassungen notwendig und die Installation funktioniert :-) Grüße Norbert 'future OS's If (CInt(Ver(0)) >= 10) Then folder = "win7r2" Exit For End If Next

Habt ihr das hinbekommen mit dem Office 2010 KMS auf Server 2016? Ich habe zwar die kms_host.vbs nur leider finde ich da die Zeile nicht die im Technet Beitrag angeführt wird :-( Ratlose Grüße Norbert

Leute, ihr glaubt es nicht! Wir haben wirklich alles richtig gemacht bei der Migration, die Quelle der Probleme lag leider wie so oft komplett wo anders... Auch wenn ich euch technisch leider nicht wirklich die Ursache erklären kann, die NTDS.dit auf dem Quellserver (das war mal ne Zweiserver Umgebung mit DC + MSX + + + auf der einen Maschine sowie ein TS) wurde mittlerweile eine sauber aufgeteilte Umgebung mit einem reinen Exchange Server, aber das ändert natürlich nichts mehr am Verhalten des alten Exchange. Ja, mit Eventlog prüfen in allen Unterbereichen hätte es mir auch früher auffallen können, ich wurde stutzig als mir der Quellserver in der Powershell noch Postfächer für die Datenbank angezeigt hat die schon migriert waren und so kam ich dann eben erst auf die Idee mal wieder ins Eventlog zu sehen... Fehlerbild waren diverse Fehlermeldungen, angefangen bei NTDS (696) NTDSA: Datenbank C:\Windows\NTDS\ntds.dit: Index DRA_USN_index von Tabelle datatable ist beschädigt (0). Noch detailierter wurde es hier: Dieses Ereignis enthält Reparaturvorgänge für das Ereignis "1084", das zuvor protokolliert wurde. Diese Meldung deutet auf ein bestimmtes Problem in Bezug auf die Konsistenz der Active Directory-Domänendienste-Datenbank für dieses Replikationsziel hin. Bei der Übernahme von Replikationsänderungen für das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank enthält nicht erwartete Inhalte, die verhindern, dass die Änderung durchgeführt wird. Objekt: CN=Ruiter Tanja,OU=Lehrer,OU=Benutzer,.............. Objekt-GUID: 203ca1ec-0077-4aee-ba28-d3779e42b61a Quell-DC: db2753ff-5192-4b96-867e-c998ef49e18e._msdcs........... Benutzeraktion Weitere Informationen finden Sie im KB-Artikel 837932 unter "http://support.microsoft.com/?id=837932".Ein Teil der Reparaturvorgänge ist dort aufgelistet. 1. Stellen Sie sicher, dass genügend freier Speicherplatz auf den Volumes vorhanden ist, auf denen die Directory-Datenbank gehostet wird, und wiederholen Sie den Vorgang. Stellen Sie sicher, dass sich die physikalischen Laufwerke, auf denen NTDS.DIT und die Protokolldateien gehostet werden, nicht auf Laufwerke befinden, auf denen NTFS-Komprimierung aktiviert ist. Prüfen Sie, ob Antivirussoftware auf diese Volumes zugreift. 2. Es ist eventuell vorteilhaft, wenn der Sicherheitsbeschreibungspropagierer gezwungen wird, die Objektcontainerherkunft in der Datenbank erneut zu erstellen. Dies kann entsprechend den Anweisungen im KB-Artikel 251343 unter "http://support.microsoft.com/?id=251343"durchgeführt werden. 3. Das Problem kann ggf. auch beim übergeordneten Objekt auf diesem Domänencontroller auftreten. Verschieben Sie das Objekt auf dem Quell-DC zu einem anderen übergeordneten Objekt. 4. Wenn dieser Computer ein globaler Katalog ist und der Fehler in einer der schreibgeschützten Partitionen auftritt, sollten Sie den Computer als globalen Katalog über das Kontrollkästchen "Globaler Katalog" in der Anwendung "Standorte und Dienste" herabstufen. Wenn der Fehler auf einer Anwendungspartition auftritt, können Sie das Hosten der Anwendungspartition auf diesem Replikat beenden. Dies kann mit dem Befehl NTDSUTIL.EXE durchgeführt werden. 5. Beziehen die neueste Version von NTDSUTIL.EXE, indem Sie das neueste Service Pack für dieses Betriebssystem installieren. Stellen Sie sicher, dass das DSRM-Kennwort (Directory Services Restore Mode) bekannt ist, bevor Sie den DSRM-Modus starten. Setzen Sie es andernfalls zurück, bevor Sie das System neu starten. 6. Führen Sie unter einer NT-Eingabeaufforderung im DSRM den Befehl "NTDSUTIL files integrity" aus. Stufen Sie das Replikat herab und überprüfen Sie die Hardware, wenn eine Beschädigung gefunden wurde und andere Replikate vorhanden sind. Stellen Sie das System über eine Sicherung wieder her, und wiederholen Sie diese Verifizierung, wenn keine Replikate vorhanden sind. 7. Führen Sie eine Offlinedefragmentierung mit dem Befehl "NTDSUTIL files compact" aus. 8. Der Befehl "NTDSUTIL semantic database analysis" sollte ebenfalls ausgeführt werden. Wenn Fehler gefunden wurden, können diese mit der Funktion "go fixup" behoben werden. Dies sollte nicht mit der Datenbankwartungsfunktion "ESE repair", die in diesem Fall nicht verwendet werden sollte, verwechselt werden, da dies zu Datenverlust bei der Active Directory-Domänendienste-Datenbank führt. Wenn keine dieser Aktionen erfolgreich ist und der Replikationsfehler weiterhin auftritt, sollten Sie diesen Domänencontroller herab- und anschließend wieder heraufstufen. Zusätzliche Daten Primärer Fehlerwert: 8451 Der Replikationsvorgang ist auf einen Datenbankfehler gestoßen. Sekundärer Fehlerwert: -1414 JET_errSecondaryIndexCorrupted, Secondary index is corrupt. The database must be defragmented Die Lösung war trotz Bauchweh erstaunlich einfach: Server im Verzeichnisdienst Wiederherstellungsmodus starten, mit ESEUTIL die DB defragmentieren und nach einem Neustart und ein paar Minuten warten war das komplette Active Directory endlich wieder sauber und die Exchange Migration lief vollends sauber durch. Lange Suche - Kurze Lösung: AD Replikation bei Exchange Migrationen im Auge behalten!

Danke für den Hinweis, ist es mir doch mal durch die Lappen gerutscht... Sollte vielleicht mal wieder schlafen gehen wenn das endlich durch ist, mittlerweile steht er bei 45% und schnarcht.... Scheint auch so nicht zu funktionieren :-( Im Eventlog steht das: Quelle MSExchange Mailbox Replication Ereignis ID 1114 The Microsoft Exchange Mailbox Replication service was unable to save changes to request. Request: 'd57ea7c8-a40b-48a9-8a79-998ba1d2b6b0' (387303e1-b279-4d3a-b467-7b9178854506) Database: Mailbox Database LGS-MS-1 Error: Die Anforderung ist ungültig. Überprüfungsergebnis: "Orphaned". Überprüfungsmeldung: "Der Active Directory-Benutzer wird nicht verschoben.". Mal sehen was ich dazu finde, ein Get-MoveRequestStatistics -Identity reinhart.gronbach@ bringt DisplayName StatusDetail TotalMailboxSize TotalArchiveSize PercentComplete ----------- ------------ ---------------- ---------------- --------------- Gronbach Reinhart WaitingForJobPickup 19.51 GB (20,950,917,158 bytes) 77 Und danach gehts nicht weiter...