Jump to content

User Postfach kann nicht erstellt werden - Exchange 2013


Direkt zur Lösung Gelöst von NorbertFe,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

heute morgen bat mich ein Kollege um Hilfe.

Er hatte einen User im Kunden-AD (Server2012R2) angelegt und wollte anschließend ein Postfach (Exchange 2013 CU23) erstellen.

Hierbei kam dann die Meldung 

 

Fehler bei Active Directory-Vorgang mit Firma-DC-02.cevec.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. 
Zusätzliche Informationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. 
Active Directory-Antwort: 00002098: SecErr: DSID-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 

 

Während ich zu diesem Fehler recherchierte rief eine Mitarbeiterin des Kunden an und bat darum, ihr Postfach zu vergrößern.

Gleiche Fehlermeldung.

 

Dann bin ich auf dieser Seite gelandet.

Meine Recherchen haben ergeben, das dies etwas mit der Vererbung zu tun hat, wenn der User in geschützen Gruppen war (AdminSD Holder)

 

Schließlich bin ich dann auf dieser Seite gelandet, und habe mit

 

get-aduser <username> -properties ntsecuritydescriptor | select -expand ntsecuritydescriptor | select areaccessrulesprotected
  
  
                                                                           AreAccessRulesProtected
                                                                           -----------------------
                                                                                             False

geprüft, ob die user die Vererbung deaktiviert haben.

 

Dies wird bei beiden Usern mit false quittiert, d.h für mich das sie nicht das AdminSD Holder Attribut haben.

 

Ich habe weiter recherchiert und bin bei Frankys Web  gelandet.

Hier ist der Fehlercode etwas anders, aber ich habe versucht die gepostete Lösung umzusetzen.

Anbei die Fehlermeldung.

[PS] C:\Windows\system32>New-ManagementRoleAssignment -Name OrgMgmtFix -Role "Mail Recipient Creation" -SecurityGroup "
rganization Management" |clip
Fehler bei Active Directory-Vorgang mit firma-DC-02.firma.local. Bei diesem Fehler ist kein Wiederholungsversuch
möglich. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-03152612, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
    + CategoryInfo          : NotSpecified: (:) [New-ManagementRoleAssignment], ADOperationException
    + FullyQualifiedErrorId : [Server=firma-EXCH-SRV,RequestId=6ae6067b-676f-462d-af69-db9d33308b66,TimeStamp=25.03.20
   21 15:55:05] [FailureCategory=Cmdlet-ADOperationException] 34B924E8,Microsoft.Exchange.Management.RbacTasks.NewMan
  agementRoleAssignment
    + PSComputerName        : firma-exch-srv.firma.local

 

Jetzt bin ich echt ratlos, und ich bin über jede Hilfe dankbar.

 

Zu Schluss noch als Info, der Exchange Server war auch vom HAFNIUM Exploit betroffen, und wurde aus einem Backup von vor dem Vorfall wiederhergestellt.

Das AD & der Befallene Exchange wurden von einem Drittunternehmen forensisch untersucht, und die Wiederherstellung aus dem Backup wurde empfohlen,

 

Gruß

chrismue

 

 

 

 

 

 

 

 

Link zu diesem Kommentar
vor 1 Minute schrieb chrismue:

geprüft, ob die user die Vererbung deaktiviert haben.

 

Gehts nicht einfacher, wenn man den User in dsa.msc einfach mal öffnet und nachschaut? Aber ok.

Stehen die User die das betrifft evtl. in einer OU, in der der Exchangeserver nicht die korrekten Permissions besitzt? Ansonsten den User im dsa.msc öffnen und auf dem Security Reiter einfach mal auf "Standard wiederherstellen" klicken. Danach etwas warten, und später nochmal versuchen.

Link zu diesem Kommentar

Hallo Norbert,

 

verschieben des Users - gleicher Fehler

Neuanlegen eines Testusers in anderer OU - gleicher Fehler.

Standard wiederherstellen eines Users - gleicher Fehler

5 User zum Test mal versucht die Postfachgröße zu ändern - alle gleicher Fehler.

 

Ich habe keinen User, bei dem es funktioniert.

Wenn ich in die Eigenschaften des Postfachs des Administrators gehe, bekomme ich die Meldung das die OU nicht gefunden wurde.

Der Administrator befindet sich aber in der Standard Users OU, welche vom System angelegt wird.

Verschiebe ich ihn in eine neu angelegte TestOU, kann ich die Postfach Eigenschaften öffnen, bei Änderungen bekomme ich den bekannten Fehler.

 

Gruß

chrismue

 

Link zu diesem Kommentar

Hallo @NorbertFe

 

Ich habe eine andere Kundenlandschaft, mit dem gleichen Setup, deshalb vergleiche ich grade da.

 

Ich bin jetzt bei den Erweiterten Sicherheitseinstellungen für "Exchange Trusted Subsystem"

Hier ist auf dem Funktionierenden System die Vererbung aktiviert, auf dem defekten System die Vererbung deaktiviert.

So wie ich es verstanden habe, sollte diese aber auch deaktiviert sein.

grafik.png.81f69f6991f56abf158589eb2155d98d.png

 

Oder sehe ich das Falsch

 

Gruß

chrismue

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...