Hallo,
bis gestern hatten wir einen funktionierenden Exchange 2016. Nach einem Neustart des Servers arbeitet Topologie-Dienst nicht mehr und produziert minütlich ein Event 2142 / MSExchangeADTopology mit folgendem Inhalt:
- Process Microsoft.Exchange.Directory.TopologyService.exe (PID=17024) Forest $FOREST_NAME$. Topology discovery failed, error details
Fehler bei Active Directory-Vorgang auf . Die angegebenen Anmeldeinformationen für 'NT-AUTORITÄT\SYSTEM' sind ungültig..
Zudem wird Event 4027 / MSExchange ADAccess mit folgendem Fehler protokolliert:
- Process Microsoft.Exchange.Store.Service.exe (PID=30612). WCF request (Get Servers for $DOMAIN_NAME$) to the Microsoft Exchange Active Directory Topology service on server (TopologyClientTcpEndpoint (localhost)) failed. Make sure that the service is running. In addition, make sure that the network ports that are used by Microsoft Exchange Active Directory Topology service are not blocked by a firewall. The WCF call was retried 3 time(s). Error Details
Fehler bei Active Directory-Vorgang auf . Die angegebenen Anmeldeinformationen für 'NT-AUTORITÄT\SYSTEM' sind ungültig. ----> Die eingegebenen Anmeldeinformationen sind ungültig.
Die in $-eingefassten Werte sind maskiert, im Original aber korrekt/sinnvoll angegeben. Infolge des Problems können alle kritischen Exchange-Dienste, wie Information Store) nicht gestartet werden und weder die Management Shell noch OWA/ECP funktionieren. (EMS zeigt ein Verbindungsproblem, ECP eine Exception, wieder um mit der Meldung "Fehler bei Active Directory-Vorgang auf . Die angegebenen Anmeldeinformationen für 'NT-AUTORITÄT\SYSTEM' sind ungültig."
Bemerkenswert an den Meldungen finde ich den Abschnitt "Active Directory-Vorgang auf ." - hinter "auf" sollte m.E. eigentlich der Katalogserver folgen, jedoch ist hier immer ein Leerstring. Ich vermute daher, dass die Meldung zu den Anmeldeinformationen ein Folgefehler ist und der Topologiedienst nicht weiß, wo das AD zu erreichen ist.
Verschiedene Tests auf der Domain und das AD (Powershell Get-ADDomainController -Discover; ADSI-Editor; dsquery server; nltest) zeigten durchweg sinnvolle Werte ohne Fehler.
Nach Import des EMS-Snap-ins habe ich "Get-ADServerSettings" und verwandte Befehle versucht, wiederum mit der gleichen Fehlermeldung. dann jedoch statt NT-AUTORITÄT\SYSTEM den Admin-User. Der Admin-User ist in den relevanten Gruppen (Schema/Orga-Admin etc.).
Kennt jemand einen Trick, wie wir Exchange 2016 sagen können, wo gesucht werden soll? Oder wie das Problem weiter untersucht oder gar behoben werden kann?
Viele Grüße
Christian
Hallo Christian,
ich hatte einen ähnlichen Fall bei dem eine lokale Sicherheitsrichtlinie die Berechtigungen für SYSTEM eingeschränkt hatten. Prüfe doch mal ob es bei dir eine GPO oder eine lokale Richtlinie gibt, welche den Fehler verursachen könnte.
Hast du DNS Server auf dem Exchange Server eingetragen, die nicht Domain Controller sind?
Gruß,
Frank
Vielen Dank für die Antwort!
Es handelt sich um einen ganz kleinen Aufbau, bei dem Exchange direkt auf dem Domain Controller läuft (auch wenn offiziell nicht empfohlen, hat das jahrelang gut funktioniert), insofern sind alle DNS Server der Domain Controller = Exchange-Server selbst.
Die lokalen und GPO-Richtlinien haben wir überprüft, konnten jedoch keine Merkwürdigkeiten feststellen. Sollten wir nach etwas besonders Ausschau halten oder SYSTEM gezielt ein nicht definiertes Recht zuordnen?
Was mich stutzig macht, ist die Ablehnung unabhängig vom Benutzerkonto - wenn ich Get-ADServerSettings in der Powershell eingebe, werden die Anmeldeinformationen von $DOMAIN$\Administrator statt NT-AUTORITÄT\SYSTEM als ungültig deklariert. Ich vermute daher, dass das Problem gar nicht in der fehlenden Berechtigung von SYSTEM hängt, sondern darin, dass Exchange gar nicht die richtige Stelle anspricht. In einem alten Exchange-Setup-Log fand sich:
- [12.20.2017 18:20:32.0363] [0] Setup is choosing the domain controller to use
[12.20.2017 18:20:38.0781] [0] Setup is choosing a local domain controller...
[12.20.2017 18:20:43.0396] [0] Setup has chosen the local domain controller $SERVER-NAME.DOMAIN$ for initial queries
...
[12.20.2017 18:20:43.0958] [0] Setup is choosing a global catalog...
[12.20.2017 18:20:43.0976] [0] Setup has chosen the global catalog server $SERVER-NAME.DOMAIN$.
[12.20.2017 18:20:44.0028] [0] Setup will use the domain controller $SERVER-NAME.DOMAIN$.
[12.20.2017 18:20:44.0028] [0] Setup will use the global catalog $SERVER-NAME.DOMAIN$.
Hier war alles in Ordnung. Die Bereitstellungsprüfung für CU 14 (aktuell installiert ist CU 13) liefert dagegen:
- [10.19.2019 14:32:08.0917] [0] Setup is choosing the domain controller to use
[10.19.2019 14:32:09.0258] [0] Setup is choosing a local domain controller...
[10.19.2019 14:32:11.0710] [0] [ERROR] Setup encountered a problem while validating the state of Active Directory: Fehler bei Active Directory-Vorgang auf . Die angegebenen Anmeldeinformationen für '$DOMAIN$\Administrator' sind ungültig. See the Exchange setup log for more information on this error.
[10.19.2019 14:32:11.0730] [0] [ERROR] Active Directory operation failed on . The supplied credential for '$DOMAIN$\Administrator' is invalid.
[10.19.2019 14:32:11.0731] [0] [ERROR] Die eingegebenen Anmeldeinformationen sind ungültig.
[10.19.2019 14:32:11.0732] [0] Setup will use the domain controller ''.
[10.19.2019 14:32:11.0732] [0] Setup will use the global catalog ''.
Auch hier zeigt sich wieder wie im Event-Log, dass der "Active Directory-Vorgang auf ." einen Leerstring annimmt, wo eigentlich unsere Struktur stehen sollte. Ironischerweise kommt der gleiche Fehler, wenn wir in der Bereitstellungsprüfung den DC vorwählen:
- [10.19.2019 14:52:23.0344] [0] Setup is choosing the domain controller to use
[10.19.2019 14:52:23.0408] [0] We have a user-specified or previously-chosen domain controller: $SERVER-NAME$
[10.19.2019 14:52:26.0378] [0] [ERROR] Setup encountered a problem while validating the state of Active Directory: Fehler bei Active Directory-Vorgang auf . Die angegebenen Anmeldeinformationen für '$DOMAIN$\Administrator' sind ungültig. See the Exchange setup log for more information on this error.
[10.19.2019 14:52:26.0497] [0] [ERROR] Active Directory operation failed on . The supplied credential for '$DOMAIN$\Administrator' is invalid.
[10.19.2019 14:52:26.0501] [0] [ERROR] Die eingegebenen Anmeldeinformationen sind ungültig.
[10.19.2019 14:52:26.0502] [0] Setup will use the domain controller ''.
[10.19.2019 14:52:26.0503] [0] Setup will use the global catalog ''.
Gibt es einen Weg, den Befehl, den das Exchange-Setup/der PowerShell-Befehl/der Topologie-Dienst an dieser Stelle nutzt, um auf den globale Katalog zuzugreifen, zu testen? Oder eine Idee, ob etwas in der Exchange-Konfiguration geändert werden kann?
Viele Grüße
Christian
Moin zusammen,
habe das gleiche Problem mit einem Ex2016 nach dem Einspielen eines Backups, VMware-Host.
ExKonsole und Administrative Center kann nicht geladen werden, die Fehler im Eventlog sind wie oben beschrieben.
Gibt es mittlerweile einen Lösungsansatz?
VG
Mika
Hallo Christian,
ich hatte einen ähnlichen Fall bei dem eine lokale Sicherheitsrichtlinie die Berechtigungen für SYSTEM eingeschränkt hatten. Prüfe doch mal ob es bei dir eine GPO oder eine lokale Richtlinie gibt, welche den Fehler verursachen könnte.
Hast du DNS Server auf dem Exchange Server eingetragen, die nicht Domain Controller sind?
Gruß,
Frank
Antwort gefunden!!! Nun installiert er VIELEN Dank ;-)
BTW: Büdde mach weiter so, bist SO hilfreich THX!