Forums
Exchange Server
Exchange Server 201...
Exchange 2016 CU15 ...
 
Notifications
Clear all

Exchange 2016 CU15 does not find all ADUsers

 
Exchange Server 2016
Last Post by maboh 5 years ago
10 Posts
7 Users
0 Reactions
11.3 K Views
RSS
 MKW
(@mkw)
New Member
Joined: 5 years ago
Posts: 4
Topic starter 24. December 2019 16:20  

Best wishes to you all!

Exchange 2016 installed on new 2nd Server 2016 with many installation problems.

Cause:

About 3 years ago, the SBS 2008 with Exchange 2007 was replaced by a Server 2016. Exchange was no longer needed as it had been replaced by another non-MS product. Due to user dissatisfaction, this is to be removed again and Microsoft Exchange 2016 and Outlook are to be used.

During the migration at that time, entries from Exchange 2007 were also transferred to AD or ADUser. Of course, this was not noticed in the 3 years since Exchange was no longer used.

Before I installed Exchange 2016 (on newly installed 2nd Server 2016 for Exchange only), all legacy files were deleted with ADSI- Edit as far as I could see. I referred to the documentation:

Exchange 2016: Manual removal of an Exchange server (single server) by Frank.
Many thanks for the documentary, I would never have managed without it!

Only then did the new installation of Exchange 2016 run smoothly (I have now also installed the new Exchange 2016 CU15).

At that time, it would have made sense to delete Exchange 2007 and the associated attributes on SBS 2008 and then migrate.
Gone, the child has fallen into the well.

The problem:

If I log on to the EAC (Exchange Admin Center), go to
Receiver -
Mailboxes -
new user mailbox -
Existing user -
Browse -
not all ADUsers are listed. If I go to the top of the search bar with the magnifying glass symbol and enter something, nothing is found.

However, the user accounts to which I want to assign a mailbox exist in AD.

How can users still be displayed or assigned to mailboxes?

I am desperate to find out what else I can do.

Thank you very much for your attention!

LG from

MKW

This topic was modified 5 years ago by MKW

   
Quote
 Deleted user
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
December 25, 2019 12:45  

without knowing your AD better....

execute the command and test whether you see the users afterwards:

Set-AdServerSettings -ViewEntireForest $True

then try to enable the user via Powershell. 

enable-mailbox  -database

Now it must return an error message if it cannot find the user. But perhaps they are still burdened with legacy data, such as old Exchange attributes, etc.

Greetings,
Monthy

This post was modified 5 years ago 2 times by Anonymous

   
ReplyQuote

 Vendetta
(@vendetta)
Estimable Member
Joined: 5 years ago
Posts: 85
25. December 2019 14:16  

Check whether these users still have attributes in AD that indicate that they have already had an Exchange account, e.g. "homeDB" and "msExchHomeServerName".

I could imagine that the new Exchange Server still thinks that these accounts still have an Exchange account and therefore does not show them in the list.


   
ReplyQuote
 MKW
(@mkw)
New Member
Joined: 5 years ago
Posts: 4
Topic starter 25. December 2019 17:04  

Thank you for your answers!

I have executed the following in the Exchange Management Shell:

[PS] C:\Users\Administrator.DOMX\Desktop>Set-AdServerSettings -ViewEntireForest $True
[PS] C:\Users\Administrator.DOMX\Desktop>Get-ADServerSettings

ConfigurationDomainController PreferredDomainControllers PreferredGlobalCatalog RecipientViewRoot ViewEntireForest
----------------------------- -------------------------- ---------------------- ----------------- ----------------
{True

[PS] C:\Users\Administrator.DOMX\Desktop>Enable-Mailbox -Identity bk06@domx.local -Database "Mailbox DataBase 0524434150"

Error during Active Directory operation with server-DC01.domx.local. No retry is possible for this error.
possible. Additional information: The access rights are not sufficient for this process.
Active Directory-Antwort: 00002098: SecErr: DSID-03150F93, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
+ CategoryInfo : NotSpecified: (:) [Enable-Mailbox], ADOperationException
+ FullyQualifiedErrorId : [Server=SRV-MAIL,RequestId=1f187e01-f146-4979-8c24-7c654ee645fc,TimeStamp=25.12.2019 13:
53:33] [FailureCategory=Cmdlet-ADOperationException] 48715CC6,Microsoft.Exchange.Management.RecipientTasks.EnableM
ailbox
+ PSComputerName : srv-mail.domx.local

[PS] C:\Users\Administrator.DOMX\Desktop>Enable-Mailbox -Identity sysop@domx.local -Database "Mailbox DataBase 0524434150"

Name Alias ServerName ProhibitSendQuota
---- ----- ---------- -----------------
Sysop sysop srv-mail Unlimited

[PS] C:\Users\Administrator.domx\Desktop>

Set-AdServerSettings -ViewEntireForest $True
zeigte leider keine Auswirkungen.

Beim Versuch ein Mailkonto des lange vorhandenen AD-Benutzers anzulegen (wie oben zu sehen) schlug fehl.

Habe zum Testen den Benutzer sysop im AD angelegt und dann in der EMS ihm ein Mailkonto zugewiesen.
Man sieht oben, dass dies einwandfrei funktioniert. AD-Benutzer, die später nach der Migration angelegt wurden,
lassen sich auch Mailkonten zuweisen.

In den alten AD-Benutzerkonten waren Attribute von Exchange 2007 vorhanden. Ich kann mich erinnern, dass
in den Attributen was von „homeDB" und "msExchHomeServerName“ darin stand.

Hatte mit Franks Script auf jeden einzelnen User (der früher mit Exchange 2007 ein Mailkonto hatte) ausgeführt.
Hier das Script von Frank (war für Exchange 2010 vorgesehen, kann sein, das es auf Exchange 2007 nicht 100% gewirkt hat.)

Get-ADUser frank | Set-ADUser -Clear msExchAddressBookFlags,msExchArchiveGUID,msExchArchiveName,msExchArchiveQuota,
msExchArchiveWarnQuota,msExchBypassAudit,msExchCalendarLoggingQuota,msExchDumpsterQuota,msExchDumpsterWarningQuota,
msExchELCMailboxFlags,msExchGroupSecurityFlags,msExchHomeServerName,msExchMailboxAuditEnable,msExchMailboxAuditLogAgeLimit,
msExchMailboxGuid,msExchMailboxSecurityDescriptor,msExchMDBRulesQuota,msExchModerationFlags,msExchPoliciesIncluded,
msExchProvisioningFlags,msExchRecipientDisplayType,msExchRecipientSoftDeletedStatus,msExchRecipientTypeDetails,
msExchTextMessagingState,msExchTransportRecipientSettingsFlags,msExchUMDtmfMap,msExchUMEnabledFlags2,msExchUserAccountControl,
msExchWhenMailboxCreated,showInAddressBook,proxyAddresses,legacyExchangeDN

Lief auf jeden einzelnen ADUser einwandfrei durch und die meisten Exchange Attribute waren gelöscht.
Vermutlich muss da noch mehr gelöscht werden.

Hier die Attribute des alten AD-Benutzers:
    

und hier des neu angelegten AD-Benutzers sysop:
  

LG von MKW
This post was modified 5 years ago by MKW

   
ReplyQuote

 MKW
(@mkw)
New Member
Joined: 5 years ago
Posts: 4
Topic starter 25. December 2019 18:41  

Hallo zu Euch!

Weitere Infos:

[PS] C:\Users\Administrator.DOMX\Desktop>Get-User bk06

WARNUNG: Das Objekt "domx.local/domx/Users/Bxxx Kxxx" wurde beschädigt oder ist mit Microsoft-Supportanforderungen
nicht kompatibel und befindet sich in einem inkonsistenten Zustand. Folgender Überprüfungsfehler:
WARNUNG: 'ExternalEmailAddress' ist für 'MailUser' verbindlich.
WARNUNG: Der E-Mail-Kontakt und der E-Mail-Benutzer müssen eine gültige externe E-Mail-Adresse haben.
WARNUNG: Der E-Mail-Kontakt und der E-Mail-Benutzer müssen eine gültige externe E-Mail-Adresse haben.
Name RecipientType
---- -------------
Bxxx Kxxx MailUser

[PS] C:\Users\Administrator.DOMX\Desktop>Get-User sysop

Name RecipientType
---- -------------
Sysop UserMailbox

[PS] C:\Users\Administrator.DOMX\Desktop>

User bk06 fehlerhaft

Sysop OK

LG MKW


   
ReplyQuote
 MKW
(@mkw)
New Member
Joined: 5 years ago
Posts: 4
Topic starter 26. December 2019 16:40  

Hier noch weitere Infos:

[PS] C:\Users\Administrator.domx\Desktop>Get-MailboxPermission sysop

Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
domx.local/domx/U... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False
domx.local/domx/U... domx\Administrator {FullAccess} True True
domx.local/domx/U... domx\Domänen-Admins {FullAccess} True True
domx.local/domx/U... domx\Organisation... {FullAccess} True True
domx.local/domx/U... domx\Organization... {FullAccess} True True
domx.local/domx/U... NT-AUTORITÄT\SYSTEM {FullAccess} True False
domx.local/domx/U... NT-AUTORITÄT\Netz... {ReadPermission} True False
domx.local/domx/U... domx\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Domänen-Admins {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Organisation... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Organization... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Public Folde... {ReadPermission} True False
domx.local/domx/U... domx\Delegated Setup {ReadPermission} True False
domx.local/domx/U... domx\Exchange Ser... {FullAccess, ReadPermission} True False
domx.local/domx/U... domx\Exchange Tru... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Managed Avai... {ReadPermission} True False

[PS] C:\Users\Administrator.domx\Desktop>Get-MailboxPermission bk06
Der Vorgang konnte nicht ausgeführt werden, weil das Objekt 'bk06' nicht auf 'Server-DC01.domx.local' gefunden wurde.
+ CategoryInfo : InvalidData: (:) [Get-MailboxPermission], ManagementObjectNotFoundException
+ FullyQualifiedErrorId : [Server=SRV-MAIL,RequestId=41e5efb3-8abd-43b9-b396-ff24726d46ba,TimeStamp=26.12.2019 13:
13:05] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] C3912C9B,Microsoft.Exchange.Management.Recipient
Tasks.GetMailboxPermission
+ PSComputerName : srv-mail.domx.local

[PS] C:\Users\Administrator.domx\Desktop>

This post was modified 5 years ago 2 times by MKW

   
ReplyQuote

 Robert
(@robert)
Active Member
Joined: 5 years ago
Posts: 7
7. January 2020 09:44  

Hallo MKW,

falls das Thema noch offen ist, prüfe die Vererbung im Active-Directory. Da in den Fehlermeldungen von "Zugriff verweigert" und "Objekt nicht gefunden" zu lesen ist, wäre das eine naheliegende Vermutung. Ich gehe hier definitiv davon aus, dass du mit einem Administrator arbeitest, der die nötigen Rechte am Exchange-Server hat und du auch kein Split-Permission Modell verwendest.

Ich hatte ein ähnliches Problem mit vermurksten AD-Berechtigungen und Vererbung. Konkret würde ich folgendes vorschlagen:

  1. Prüfe im Root der Domain, ob hier eventuell Berechtigungen sind, die den Exchange-Betrieb einschränken(wer weiß schon genau, was beim "deaktivieren" des alten Exchange 2007 passierte)
    1. ACHTUNG: Änderungen hier sind sehr gefährlich, die solltest du nur ausführen, wenn du dir sicher bist und Backups und Downtimes hast.
    2. Änderungen hier sind der letzte Schritt. Wenn du hier nicht ein eindeutiges Problem siehst, fahre mit den nächsten Schritten fort.
  2. Erstelle eine neue OU direkt unter dem Domain-Root und stelle sicher, dass die Vererbung von oben aktiviert ist
  3. Wenn das passt, versuche in den Sicherheitseinstellungen der neu erstellten OU auch, die AD-Standardberechtigungen wiederherzustellen
    1. Eigenschaften -> Sicherheit -> Erweitert -> Standard wiederherstellen(oder so ähnlich, ich habs nur auf Englisch)
    2. Alle Fenster mit OK schließen und die Eigenschaften erneut prüfen(Vererbung aktiv)
  4. Den betroffenen Benutzer(oder einen anderen betroffenen User zum Testen) dorthin verschieben
  5. Stelle sicher, dass du ein Backup des Users(AD) und der Mailbox hast
  6. Beim betroffenen User in den Sicherheitseinstellungen unter "Erweitert":
    1. Vererbung deaktivieren, falls aktiv
    2. Alle Berechtigungen löschen
    3. Standard-Berechtigungen wiederherstellen
    4. Vererbung aktivieren
    5. Alle Fenster mit OK schließen

Sollte hier ein Fehler passieren, kann es passieren, dass der Benutzer und das Postfach beschädigt werden, deshalb unbedingt vorher Backups erstellen und sichergehen, dass eine Wiederherstellung möglich wäre.

Wenn der Fehler dann behoben ist, dann solltest du im AD von oben nach unten prüfen, wo die Vererbung gebrochen ist(Eventuell auch Absichtlich!) und welche Berechtigungen da fehlen. Zum Schluss dann die Berechtigungen der restlichen Benutzer prüfen.

Falls irgendwie möglich solltest du das in einer Testumgebung vorher testen.

lg

Robert


   
ReplyQuote
Roman_Vienna
 Roman_Vienna
(@werom-edv)
Estimable Member
Joined: 5 years ago
Posts: 184
16. January 2020 01:09  
Published by: @mkw

Hier noch weitere Infos:

[PS] C:\Users\Administrator.domx\Desktop>Get-MailboxPermission sysop

Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
domx.local/domx/U... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False
domx.local/domx/U... domx\Administrator {FullAccess} True True
domx.local/domx/U... domx\Domänen-Admins {FullAccess} True True
domx.local/domx/U... domx\Organisation... {FullAccess} True True
domx.local/domx/U... domx\Organization... {FullAccess} True True
domx.local/domx/U... NT-AUTORITÄT\SYSTEM {FullAccess} True False
domx.local/domx/U... NT-AUTORITÄT\Netz... {ReadPermission} True False
domx.local/domx/U... domx\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Domänen-Admins {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Organisation... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Organization... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Public Folde... {ReadPermission} True False
domx.local/domx/U... domx\Delegated Setup {ReadPermission} True False
domx.local/domx/U... domx\Exchange Ser... {FullAccess, ReadPermission} True False
domx.local/domx/U... domx\Exchange Tru... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Managed Avai... {ReadPermission} True False

[PS] C:\Users\Administrator.domx\Desktop>Get-MailboxPermission bk06
Der Vorgang konnte nicht ausgeführt werden, weil das Objekt 'bk06' nicht auf 'Server-DC01.domx.local' gefunden wurde.
+ CategoryInfo : InvalidData: (:) [Get-MailboxPermission], ManagementObjectNotFoundException
+ FullyQualifiedErrorId : [Server=SRV-MAIL,RequestId=41e5efb3-8abd-43b9-b396-ff24726d46ba,TimeStamp=26.12.2019 13:
13:05] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] C3912C9B,Microsoft.Exchange.Management.Recipient
Tasks.GetMailboxPermission
+ PSComputerName : srv-mail.domx.local

[PS] C:\Users\Administrator.domx\Desktop>

Hi mkw!

Konntest du das zwischenzeitlich lösen? Wie ist der Stand der Dinge?

Lg Roman


   
ReplyQuote

 Adrian Siebert
(@adrian-siebert)
New Member
Joined: 5 years ago
Posts: 1
13. May 2020 20:07  

@mkw

Ich hatte das Problem auch mit dem Script nach einer Zwangsentfernung vom SBS 2011. (Exchange 2010 > Exchange 2019).

Bei mir musste ich folgende Attribute im Benutzer löschen: mail, mailNickname, homeMDB .

Danach wurde der Benutzer in der Exchange Admin Konsole gefunden und es konnte ein Postfach erstellt werden.

Greetings

Adrian


   
ReplyQuote
 maboh
(@maboh)
Trusted Member
Joined: 5 years ago
Posts: 87
17. May 2020 09:08  

Vererbung wäre auch mein erster Ansatz gewesen. Eventuell waren oder sind die User in einer Administrator Sicherheitsgruppe. Dabei wird das AdminHolder Flag gesetzt und die Vererbung auf dem Benutzerobjekt deaktiviert. Sobald ein Ex2016+ im Forest ist, sollte kein User Adminrechte mehr haben! Du kannst sonst bspw. auch kein ActiveSync mehr machen.


   
ReplyQuote

Forum Jump:
  Previous Topic
Next Topic  
Share: