Jump to content

User Postfach kann nicht erstellt werden - Exchange 2013


Go to solution Solved by NorbertFe,

Recommended Posts

Hallo zusammen,

 

heute morgen bat mich ein Kollege um Hilfe.

Er hatte einen User im Kunden-AD (Server2012R2) angelegt und wollte anschließend ein Postfach (Exchange 2013 CU23) erstellen.

Hierbei kam dann die Meldung 

 

Fehler bei Active Directory-Vorgang mit Firma-DC-02.cevec.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. 
Zusätzliche Informationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. 
Active Directory-Antwort: 00002098: SecErr: DSID-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 

 

Während ich zu diesem Fehler recherchierte rief eine Mitarbeiterin des Kunden an und bat darum, ihr Postfach zu vergrößern.

Gleiche Fehlermeldung.

 

Dann bin ich auf dieser Seite gelandet.

Meine Recherchen haben ergeben, das dies etwas mit der Vererbung zu tun hat, wenn der User in geschützen Gruppen war (AdminSD Holder)

 

Schließlich bin ich dann auf dieser Seite gelandet, und habe mit

 

get-aduser <username> -properties ntsecuritydescriptor | select -expand ntsecuritydescriptor | select areaccessrulesprotected
  
  
                                                                           AreAccessRulesProtected
                                                                           -----------------------
                                                                                             False

geprüft, ob die user die Vererbung deaktiviert haben.

 

Dies wird bei beiden Usern mit false quittiert, d.h für mich das sie nicht das AdminSD Holder Attribut haben.

 

Ich habe weiter recherchiert und bin bei Frankys Web  gelandet.

Hier ist der Fehlercode etwas anders, aber ich habe versucht die gepostete Lösung umzusetzen.

Anbei die Fehlermeldung.

[PS] C:\Windows\system32>New-ManagementRoleAssignment -Name OrgMgmtFix -Role "Mail Recipient Creation" -SecurityGroup "
rganization Management" |clip
Fehler bei Active Directory-Vorgang mit firma-DC-02.firma.local. Bei diesem Fehler ist kein Wiederholungsversuch
möglich. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-03152612, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
    + CategoryInfo          : NotSpecified: (:) [New-ManagementRoleAssignment], ADOperationException
    + FullyQualifiedErrorId : [Server=firma-EXCH-SRV,RequestId=6ae6067b-676f-462d-af69-db9d33308b66,TimeStamp=25.03.20
   21 15:55:05] [FailureCategory=Cmdlet-ADOperationException] 34B924E8,Microsoft.Exchange.Management.RbacTasks.NewMan
  agementRoleAssignment
    + PSComputerName        : firma-exch-srv.firma.local

 

Jetzt bin ich echt ratlos, und ich bin über jede Hilfe dankbar.

 

Zu Schluss noch als Info, der Exchange Server war auch vom HAFNIUM Exploit betroffen, und wurde aus einem Backup von vor dem Vorfall wiederhergestellt.

Das AD & der Befallene Exchange wurden von einem Drittunternehmen forensisch untersucht, und die Wiederherstellung aus dem Backup wurde empfohlen,

 

Gruß

chrismue

 

 

 

 

 

 

 

 

Link to post
vor 1 Minute schrieb chrismue:

geprüft, ob die user die Vererbung deaktiviert haben.

 

Gehts nicht einfacher, wenn man den User in dsa.msc einfach mal öffnet und nachschaut? Aber ok.

Stehen die User die das betrifft evtl. in einer OU, in der der Exchangeserver nicht die korrekten Permissions besitzt? Ansonsten den User im dsa.msc öffnen und auf dem Security Reiter einfach mal auf "Standard wiederherstellen" klicken. Danach etwas warten, und später nochmal versuchen.

Link to post

Man verschiebt den Benutzer mal woanders hin? Alternativ hast du dich evtl. schonmal gefragt, wozu es den Reiter "Sicherheit" in einem BEnutzerkonto gibt. Vergleich doch mal einen funktionierenden mit einem nicht funktionierendem Nutzer.

Link to post

Hallo Norbert,

 

verschieben des Users - gleicher Fehler

Neuanlegen eines Testusers in anderer OU - gleicher Fehler.

Standard wiederherstellen eines Users - gleicher Fehler

5 User zum Test mal versucht die Postfachgröße zu ändern - alle gleicher Fehler.

 

Ich habe keinen User, bei dem es funktioniert.

Wenn ich in die Eigenschaften des Postfachs des Administrators gehe, bekomme ich die Meldung das die OU nicht gefunden wurde.

Der Administrator befindet sich aber in der Standard Users OU, welche vom System angelegt wird.

Verschiebe ich ihn in eine neu angelegte TestOU, kann ich die Postfach Eigenschaften öffnen, bei Änderungen bekomme ich den bekannten Fehler.

 

Gruß

chrismue

 

Link to post

Ja, da hilft nur rausfummeln, an welcher Stelle deine Berechtigungen "fehlerhaft" sind. Das wird sich im Forum aber nicht sinnvoll lösen lassen, vermute ich. Du könntest dir mal eine Neuinstallation von AD mit Exchange in einer VM hochziehen und anfangen zu vergleichen.

Link to post

Hallo @NorbertFe

 

Ich habe eine andere Kundenlandschaft, mit dem gleichen Setup, deshalb vergleiche ich grade da.

 

Ich bin jetzt bei den Erweiterten Sicherheitseinstellungen für "Exchange Trusted Subsystem"

Hier ist auf dem Funktionierenden System die Vererbung aktiviert, auf dem defekten System die Vererbung deaktiviert.

So wie ich es verstanden habe, sollte diese aber auch deaktiviert sein.

grafik.png.81f69f6991f56abf158589eb2155d98d.png

 

Oder sehe ich das Falsch

 

Gruß

chrismue

Link to post
  • Solution

Sie sollte aktiviert sein meinst du? Sag ich ja, der Exchange hat keine Rechte auf die Objekte im ad und deswegen geht das dann nicht. Du musst also die korrekten Berechtigungen wiederherstellen.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...