Liebe Grüße an Euch Allen!
Exchange 2016 mit vielen Installationsproblemen auf neuen 2. Server 2016 installiert.
Ursache:
Vor ca. 3 Jahren wurde der SBS 2008 mit Exchange 2007 durch einen Server 2016 ersetzt. Exchange wurde nicht mehr gebraucht, da durch ein anders nicht MS Produkt ersetzt. Durch Unzufriedenheit der Anwender soll das wieder entfernt werden und Microsoft Exchange 2016 und Outlook zum Einsatz kommen.
Bei der damaligen Migration wurden Einträge von Exchange 2007 mit in das AD bzw. ADUser übernommen. Das ist natürlich in den 3 Jahren nicht aufgefallen, da Exchange nicht mehr zum Einsatz kam.
Bevor ich Exchange 2016 installiert habe (auf neu installierten 2. Server 2016 nur für Exchange), wurde mit ADSI- Edit alle Altlasten soweit zu sehen, gelöscht. Habe auf die Dokumentation:
Exchange 2016: Manuelles Entfernen eines Exchange Servers (Single Server) von Frank dabei beachtet.
Vielen Dank für die Doku, hätte ich nie ohne die hinbekommen!
Erst dann lief auch die Neuinstallation des Exchange 2016 sauber durch, (habe jetzt auch das neue Exchange 2016 CU15 installiert).
Sinnvoll wäre es damals gewesen auf den SBS 2008 Exchange 2007 und die dazugehörigen Attribute zu löschen und dann zu migrieren.
Vorbei, das Kind ist im Brunnen gefallen.
Das Problem:
Melde ich mich am EAC (Exchange Admin Center) an, gehe auf
Empfänger -
Postfächer -
neues Benutzerpostfach -
Vorhandener Benutzer -
Durchsuchen -
werden nicht alle ADUser aufgelistet. Gehe ich oben in der Suchleiste mit dem Lupensymbol und gebe was ein, wird auch nichts gefunden.
Die Benutzerkonten, denen ich eine Mailbox zuweisen möchte, existieren aber im AD.
Wie kann man dennoch erreichen, dass die User angezeigt bzw. Mailboxen zugeordnet werden können?
Ich bin am verzweifeln, was ich noch machen kann.
Vielen Dank für Eure Aufmerksamkeit!
LG von
MKW
ohne dein AD näher zu kennen....
führe mal den Befehl aus und teste, ob du danach die Benutzer siehst:
Set-AdServerSettings -ViewEntireForest $True
danach versuche den Benutzer mal per Powershell zu enablen.
enable-mailbox <distinguishedname of user> -database <database>
nun muss er dir ja ne Fehlermeldung zurückgeben, wenn er den User so auch nicht findet. Vielleicht sind die aber auch noch mit Altlasten belastet, quasi noch alte Exchange Attribute drauf etc.
Gruß,
Monthy
schau mal ob diese User noch Attribute im AD haben, die darauf hindeuten, dass sie schon mal ein Exchange Konto hatten, z.B. „homeDB" und "msExchHomeServerName“.
Ich könnte mir vorstellen, dass der neue Exchange Server immer noch denkt, dass diese Konten immer noch ein Exchange Konto haben und zeigt sie deshalb in der Liste nicht an.
Danke für Eure Antworten!
Habe in der Exchange Management Shell folgendes ausgeführt:
[PS] C:\Users\Administrator.DOMX\Desktop>Set-AdServerSettings -ViewEntireForest $True
[PS] C:\Users\Administrator.DOMX\Desktop>Get-ADServerSettings
ConfigurationDomainController PreferredDomainControllers PreferredGlobalCatalog RecipientViewRoot ViewEntireForest
----------------------------- -------------------------- ---------------------- ----------------- ----------------
{} True
[PS] C:\Users\Administrator.DOMX\Desktop>Enable-Mailbox -Identity bk06@domx.local -Database "Mailbox DataBase 0524434150"
Fehler bei Active Directory-Vorgang mit Server-DC01.domx.local. Bei diesem Fehler ist kein Wiederholungsversuch
möglich. Zusätzliche Informationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus.
Active Directory-Antwort: 00002098: SecErr: DSID-03150F93, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
+ CategoryInfo : NotSpecified: (:) [Enable-Mailbox], ADOperationException
+ FullyQualifiedErrorId : [Server=SRV-MAIL,RequestId=1f187e01-f146-4979-8c24-7c654ee645fc,TimeStamp=25.12.2019 13:
53:33] [FailureCategory=Cmdlet-ADOperationException] 48715CC6,Microsoft.Exchange.Management.RecipientTasks.EnableM
ailbox
+ PSComputerName : srv-mail.domx.local
[PS] C:\Users\Administrator.DOMX\Desktop>Enable-Mailbox -Identity sysop@domx.local -Database "Mailbox DataBase 0524434150"
Name Alias ServerName ProhibitSendQuota
---- ----- ---------- -----------------
Sysop sysop srv-mail Unlimited
[PS] C:\Users\Administrator.domx\Desktop>
Set-AdServerSettings -ViewEntireForest $True
zeigte leider keine Auswirkungen.
Beim Versuch ein Mailkonto des lange vorhandenen AD-Benutzers anzulegen (wie oben zu sehen) schlug fehl.
Habe zum Testen den Benutzer sysop im AD angelegt und dann in der EMS ihm ein Mailkonto zugewiesen.
Man sieht oben, dass dies einwandfrei funktioniert. AD-Benutzer, die später nach der Migration angelegt wurden,
lassen sich auch Mailkonten zuweisen.
In den alten AD-Benutzerkonten waren Attribute von Exchange 2007 vorhanden. Ich kann mich erinnern, dass
in den Attributen was von „homeDB" und "msExchHomeServerName“ darin stand.
Hatte mit Franks Script auf jeden einzelnen User (der früher mit Exchange 2007 ein Mailkonto hatte) ausgeführt.
Hier das Script von Frank (war für Exchange 2010 vorgesehen, kann sein, das es auf Exchange 2007 nicht 100% gewirkt hat.)
Get-ADUser frank | Set-ADUser -Clear msExchAddressBookFlags,msExchArchiveGUID,msExchArchiveName,msExchArchiveQuota,
msExchArchiveWarnQuota,msExchBypassAudit,msExchCalendarLoggingQuota,msExchDumpsterQuota,msExchDumpsterWarningQuota,
msExchELCMailboxFlags,msExchGroupSecurityFlags,msExchHomeServerName,msExchMailboxAuditEnable,msExchMailboxAuditLogAgeLimit,
msExchMailboxGuid,msExchMailboxSecurityDescriptor,msExchMDBRulesQuota,msExchModerationFlags,msExchPoliciesIncluded,
msExchProvisioningFlags,msExchRecipientDisplayType,msExchRecipientSoftDeletedStatus,msExchRecipientTypeDetails,
msExchTextMessagingState,msExchTransportRecipientSettingsFlags,msExchUMDtmfMap,msExchUMEnabledFlags2,msExchUserAccountControl,
msExchWhenMailboxCreated,showInAddressBook,proxyAddresses,legacyExchangeDN
Lief auf jeden einzelnen ADUser einwandfrei durch und die meisten Exchange Attribute waren gelöscht.
Vermutlich muss da noch mehr gelöscht werden.
Hier die Attribute des alten AD-Benutzers:
und hier des neu angelegten AD-Benutzers sysop:
LG von MKW
Hallo zu Euch!
Weitere Infos:
[PS] C:\Users\Administrator.DOMX\Desktop>Get-User bk06
WARNUNG: Das Objekt "domx.local/domx/Users/Bxxx Kxxx" wurde beschädigt oder ist mit Microsoft-Supportanforderungen
nicht kompatibel und befindet sich in einem inkonsistenten Zustand. Folgender Überprüfungsfehler:
WARNUNG: 'ExternalEmailAddress' ist für 'MailUser' verbindlich.
WARNUNG: Der E-Mail-Kontakt und der E-Mail-Benutzer müssen eine gültige externe E-Mail-Adresse haben.
WARNUNG: Der E-Mail-Kontakt und der E-Mail-Benutzer müssen eine gültige externe E-Mail-Adresse haben.
Name RecipientType
---- -------------
Bxxx Kxxx MailUser
[PS] C:\Users\Administrator.DOMX\Desktop>Get-User sysop
Name RecipientType
---- -------------
Sysop UserMailbox
[PS] C:\Users\Administrator.DOMX\Desktop>
User bk06 fehlerhaft
Sysop OK
LG MKW
Hier noch weitere Infos:
[PS] C:\Users\Administrator.domx\Desktop>Get-MailboxPermission sysop
Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
domx.local/domx/U... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False
domx.local/domx/U... domx\Administrator {FullAccess} True True
domx.local/domx/U... domx\Domänen-Admins {FullAccess} True True
domx.local/domx/U... domx\Organisation... {FullAccess} True True
domx.local/domx/U... domx\Organization... {FullAccess} True True
domx.local/domx/U... NT-AUTORITÄT\SYSTEM {FullAccess} True False
domx.local/domx/U... NT-AUTORITÄT\Netz... {ReadPermission} True False
domx.local/domx/U... domx\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Domänen-Admins {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Organisation... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Organization... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Public Folde... {ReadPermission} True False
domx.local/domx/U... domx\Delegated Setup {ReadPermission} True False
domx.local/domx/U... domx\Exchange Ser... {FullAccess, ReadPermission} True False
domx.local/domx/U... domx\Exchange Tru... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Managed Avai... {ReadPermission} True False
[PS] C:\Users\Administrator.domx\Desktop>Get-MailboxPermission bk06
Der Vorgang konnte nicht ausgeführt werden, weil das Objekt 'bk06' nicht auf 'Server-DC01.domx.local' gefunden wurde.
+ CategoryInfo : InvalidData: (:) [Get-MailboxPermission], ManagementObjectNotFoundException
+ FullyQualifiedErrorId : [Server=SRV-MAIL,RequestId=41e5efb3-8abd-43b9-b396-ff24726d46ba,TimeStamp=26.12.2019 13:
13:05] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] C3912C9B,Microsoft.Exchange.Management.Recipient
Tasks.GetMailboxPermission
+ PSComputerName : srv-mail.domx.local
[PS] C:\Users\Administrator.domx\Desktop>
Hallo MKW,
falls das Thema noch offen ist, prüfe die Vererbung im Active-Directory. Da in den Fehlermeldungen von "Zugriff verweigert" und "Objekt nicht gefunden" zu lesen ist, wäre das eine naheliegende Vermutung. Ich gehe hier definitiv davon aus, dass du mit einem Administrator arbeitest, der die nötigen Rechte am Exchange-Server hat und du auch kein Split-Permission Modell verwendest.
Ich hatte ein ähnliches Problem mit vermurksten AD-Berechtigungen und Vererbung. Konkret würde ich folgendes vorschlagen:
- Prüfe im Root der Domain, ob hier eventuell Berechtigungen sind, die den Exchange-Betrieb einschränken(wer weiß schon genau, was beim "deaktivieren" des alten Exchange 2007 passierte)
- ACHTUNG: Änderungen hier sind sehr gefährlich, die solltest du nur ausführen, wenn du dir sicher bist und Backups und Downtimes hast.
- Änderungen hier sind der letzte Schritt. Wenn du hier nicht ein eindeutiges Problem siehst, fahre mit den nächsten Schritten fort.
- Erstelle eine neue OU direkt unter dem Domain-Root und stelle sicher, dass die Vererbung von oben aktiviert ist
- Wenn das passt, versuche in den Sicherheitseinstellungen der neu erstellten OU auch, die AD-Standardberechtigungen wiederherzustellen
- Eigenschaften -> Sicherheit -> Erweitert -> Standard wiederherstellen(oder so ähnlich, ich habs nur auf Englisch)
- Alle Fenster mit OK schließen und die Eigenschaften erneut prüfen(Vererbung aktiv)
- Den betroffenen Benutzer(oder einen anderen betroffenen User zum Testen) dorthin verschieben
- Stelle sicher, dass du ein Backup des Users(AD) und der Mailbox hast
- Beim betroffenen User in den Sicherheitseinstellungen unter "Erweitert":
- Vererbung deaktivieren, falls aktiv
- Alle Berechtigungen löschen
- Standard-Berechtigungen wiederherstellen
- Vererbung aktivieren
- Alle Fenster mit OK schließen
Sollte hier ein Fehler passieren, kann es passieren, dass der Benutzer und das Postfach beschädigt werden, deshalb unbedingt vorher Backups erstellen und sichergehen, dass eine Wiederherstellung möglich wäre.
Wenn der Fehler dann behoben ist, dann solltest du im AD von oben nach unten prüfen, wo die Vererbung gebrochen ist(Eventuell auch Absichtlich!) und welche Berechtigungen da fehlen. Zum Schluss dann die Berechtigungen der restlichen Benutzer prüfen.
Falls irgendwie möglich solltest du das in einer Testumgebung vorher testen.
lg
Robert
Hier noch weitere Infos:
[PS] C:\Users\Administrator.domx\Desktop>Get-MailboxPermission sysop
Identity User AccessRights IsInherited Deny
-------- ---- ------------ ----------- ----
domx.local/domx/U... NT-AUTORITÄT\SELBST {FullAccess, ReadPermission} False False
domx.local/domx/U... domx\Administrator {FullAccess} True True
domx.local/domx/U... domx\Domänen-Admins {FullAccess} True True
domx.local/domx/U... domx\Organisation... {FullAccess} True True
domx.local/domx/U... domx\Organization... {FullAccess} True True
domx.local/domx/U... NT-AUTORITÄT\SYSTEM {FullAccess} True False
domx.local/domx/U... NT-AUTORITÄT\Netz... {ReadPermission} True False
domx.local/domx/U... domx\Administrator {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Domänen-Admins {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Organisation... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Organization... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Public Folde... {ReadPermission} True False
domx.local/domx/U... domx\Delegated Setup {ReadPermission} True False
domx.local/domx/U... domx\Exchange Ser... {FullAccess, ReadPermission} True False
domx.local/domx/U... domx\Exchange Tru... {FullAccess, DeleteItem, ReadPermission, ChangePermissio... True False
domx.local/domx/U... domx\Managed Avai... {ReadPermission} True False[PS] C:\Users\Administrator.domx\Desktop>Get-MailboxPermission bk06
Der Vorgang konnte nicht ausgeführt werden, weil das Objekt 'bk06' nicht auf 'Server-DC01.domx.local' gefunden wurde.
+ CategoryInfo : InvalidData: (:) [Get-MailboxPermission], ManagementObjectNotFoundException
+ FullyQualifiedErrorId : [Server=SRV-MAIL,RequestId=41e5efb3-8abd-43b9-b396-ff24726d46ba,TimeStamp=26.12.2019 13:
13:05] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] C3912C9B,Microsoft.Exchange.Management.Recipient
Tasks.GetMailboxPermission
+ PSComputerName : srv-mail.domx.local[PS] C:\Users\Administrator.domx\Desktop>
Hi mkw!
Konntest du das zwischenzeitlich lösen? Wie ist der Stand der Dinge?
Lg Roman
Ich hatte das Problem auch mit dem Script nach einer Zwangsentfernung vom SBS 2011. (Exchange 2010 > Exchange 2019).
Bei mir musste ich folgende Attribute im Benutzer löschen: mail, mailNickname, homeMDB .
Danach wurde der Benutzer in der Exchange Admin Konsole gefunden und es konnte ein Postfach erstellt werden.
Gruß
Adrian
Vererbung wäre auch mein erster Ansatz gewesen. Eventuell waren oder sind die User in einer Administrator Sicherheitsgruppe. Dabei wird das AdminHolder Flag gesetzt und die Vererbung auf dem Benutzerobjekt deaktiviert. Sobald ein Ex2016+ im Forest ist, sollte kein User Adminrechte mehr haben! Du kannst sonst bspw. auch kein ActiveSync mehr machen.