Jump to content

Öffentlicher Ordner - Fehler bei Berechtigung von "Senden als"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebes Forum,

wir haben hier einen Fehler bei einem Exchange 2013. 

Wenn ich bei einem e-mail aktivierten öffentlichen Ordner ein Benutzerkonto bei "Senden als" oder "Senden im Auftrag" berechtigen (oder das Recht entziehen) will bekomme ich folgende Fehlermeldung:
"Der Benutzer oder die Gruppe Mustermann konnte nicht aufgelöst werden. Wenn es sich dabei um einen Prinzipal einer fremden Gesamtstruktur handelt, benötigen Sie entweder eine birektionale oder eine ausgehende Vertrauensstellung."

Fehlermeldung lautet auf Englisch "Couldn't resolve the user of group "Mustermann." If the user or group is a foreign forest principal, you must have eighter a two-way trust or an outgoing trust."

 

Ich würde die Meldung selbst erstmal als irreführend einstufen: Es gibt zwar eine Vertrauensstellung zu einer anderen Domäne, es lassen sich aber auch keine Konten aus derselben Domäne hinzufügen, in der der Exchange steht. 
Ich kann das Recht "Senden als" jedoch z.B. bei Postfächern setzen, auch für Benutzer aus der jeweils anderen vertrauten Domäne und es gibt auch sonst keine Probleme, daher sollte mit der Vertrauensstellung alles i.O. sein.

 

Habe das Netz schon in deutsch und englisch durchsucht, finde aber niemanden mit demselben Problem.

Hat jemand eine Idee?

Das funktionierte definitiv bis vor kurzem und es wurde nichts wissentlich verändert.

 

Hier noch der Eintrag aus dem Eventlog "MSExchange Management"

Cmdlet fehlgeschlagen. Cmdlet Remove-ADPermission, Parameter -Identity "FIRMA.local/Microsoft Exchange System Objects/ÖffentlicherBeispielordner" -User "Max Mustermann" -ExtendedRights ("send as").

Unter Details steht folgendes:

Remove-ADPermission 
   -Identity "FIRMA.local/Microsoft Exchange System Objects/ÖffentlicherBeispielordner" -User "Max Mustermann" -ExtendedRights ("send as") 
   FIRMA.local/Eichenzell/Benutzer/Administrator 
   S-1-5-21-3815382074-1658224737-102353067-500 
   S-1-5-21-3815382074-1658224737-102353067-500 
   Local-ECP-Unknown 
   17252 w3wp#MSExchangeECPAppPool 
    
   38 
   00:00:00 
   Vollständige Gesamtstruktur anzeigen: 'True', Konfigurationsdomänencontroller: 'FIRMADC1.FIRMA.local', Bevorzugter globaler Katalog: 'FIRMADC1.FIRMA.local', Bevorzugte Domänencontroller: '{ FIRMADC1.FIRMA.local }' 
   Microsoft.Exchange.Data.Common.LocalizedException: Der Benutzer oder die Gruppe Max Mustermann konnte nicht aufgelöst werden. Wenn es sich dabei um einen Prinzipal einer fremden Gesamtstruktur handelt, benötigen Sie entweder eine birektionale oder eine ausgehende Vertrauensstellung. ---> System.SystemException: Die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne konnte nicht hergestellt werden. bei System.Security.Principal.NTAccount.TranslateToSids(IdentityReferenceCollection sourceAccounts, Boolean& someFailed) bei System.Security.Principal.NTAccount.Translate(IdentityReferenceCollection sourceAccounts, Type targetType, Boolean forceSuccess) bei System.Security.Principal.NTAccount.Translate(Type targetType) bei Microsoft.Exchange.Configuration.Tasks.SecurityPrincipalIdParameter.GetUserSidAsSAMAccount(SecurityPrincipalIdParameter user, TaskErrorLoggingDelegate logError, TaskVerboseLoggingDelegate logVerbose) --- Ende der internen Ausnahmestapelüberwachung --- bei Microsoft.Exchange.Configuration.Tasks.Task.ThrowError(Exception exception, ErrorCategory errorCategory, Object target, String helpUrl) bei Microsoft.Exchange.Configuration.Tasks.Task.WriteError(Exception exception, ErrorCategory category, Object target) bei Microsoft.Exchange.Configuration.Tasks.SecurityPrincipalIdParameter.GetUserSidAsSAMAccount(SecurityPrincipalIdParameter user, TaskErrorLoggingDelegate logError, TaskVerboseLoggingDelegate logVerbose) bei Microsoft.Exchange.Configuration.Tasks.SecurityPrincipalIdParameter.GetSecurityPrincipal(IRecipientSession session, SecurityPrincipalIdParameter user, TaskErrorLoggingDelegate logError, TaskVerboseLoggingDelegate logVerbose) bei Microsoft.Exchange.Management.RecipientTasks.SetPermissionTaskBase`3.InternalValidate() bei Microsoft.Exchange.Management.RecipientTasks.SetADPermissionTaskBase.InternalValidate() bei Microsoft.Exchange.Configuration.Tasks.Task.<ProcessRecord>b__b() bei Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed) 
   7 
   System.SystemException: Die Vertrauensstellung zwischen der primären Domäne und der vertrauenswürdigen Domäne konnte nicht hergestellt werden. bei System.Security.Principal.NTAccount.TranslateToSids(IdentityReferenceCollection sourceAccounts, Boolean& someFailed) bei System.Security.Principal.NTAccount.Translate(IdentityReferenceCollection sourceAccounts, Type targetType, Boolean forceSuccess) bei System.Security.Principal.NTAccount.Translate(Type targetType) bei Microsoft.Exchange.Configuration.Tasks.SecurityPrincipalIdParameter.GetUserSidAsSAMAccount(SecurityPrincipalIdParameter user, TaskErrorLoggingDelegate logError, TaskVerboseLoggingDelegate logVerbose) 
   Ex19B768 
    
    
   False 
    
   0 objects execution has been proxied to remote server. 
    
    
   0 
   ActivityId: aff5852d-9ea6-4b1f-8fb4-1e6f313f54de 
   ServicePlan:;IsAdmin:True; 
    
   de-DE 

 

bearbeitet von Spackenheimer
Link zu diesem Kommentar

Hierzu hat wohl niemand eine Idee?
Der Fehler sieht im ECP übrigens folgendermaßen aus:
image.png.9ae5662a4f73a506caea53434f06d7c7.png

 

Die Befehlsprotokollierung gibt es folgendermaßen aus:

Zitat

 

Command:

Add-ADPermission -Identity 'FIRMA.local/Microsoft Exchange System Objects/Zentrale' -User '9744ad25-4677-446d-b48b-8b037b6d74b6' -AccessRights 'ExtendedRight' -ExtendedRights 'send as' 

Exception:

Der Benutzer oder die Gruppe Test Test konnte nicht aufgelöst werden. Wenn es sich dabei um einen Prinzipal einer fremden Gesamtstruktur handelt, benötigen Sie entweder eine birektionale oder eine ausgehende Vertrauensstellung.

 

 

 

Link zu diesem Kommentar

So, es gibt neue Erkenntnisse:

Beim Setzen der Berechtigung "Senden als" beim öffentlichen Ordner über das ECP schlägt ja folgender Befehl fehl:

Add-ADPermission -Identity 'FIRMA.local/Microsoft Exchange System Objects/Zentrale' -User '9744ad25-4677-446d-b48b-8b037b6d74b6' -AccessRights 'ExtendedRight' -ExtendedRights 'send as'

Wenn ich Befehl kopiere, die SID/GUID durch den Benutzernamen ersetze und direkt in der Powershell ausführe funktioniert es.

Also gibt es an irgendeiner Stelle einen Fehler beim Auflösen Benutzername<>GUID. Seltsamerweise funktioniert die Übersetzung ja aber in dem Fehlerdialog (Beitrag #2) wieder, dort wird der Benutzername angezeigt.

 

Ich betreue noch zwei weitere Exchange 2016 Server, identischer Patchstand. Bei dem einen tritt der Fehler auch auf, bei dem anderen nicht.

Könnt ihr das bei euch mal checken?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...