Exchange 2010: Identitätswechsel (Impersonation) funktioniert nicht (HTTP 500)

Eine Nuss der etwas härteren Art, scheinbar plötzlich funktionierte der Identitätswechsel (Impersonation) für einige Benutzer nicht mehr. Eine UC-Software war nicht mehr in der Lage die Kontakte aus dem Postfach des Benutzers abzufragen. Leider lieferte die Software etwa eine Fehlermeldung wie diese: “Geht nicht”

Im Event Logs auf den Exchange Server gab es auch keine Einträge und selbst die IIS Logs geben nicht viel Aufschluss, dort heißt es nur:

2013-07-08 08:42:45 192.168.200.1 POST /ews/exchange.asmx – 80 frankysweb.local\ucadmin 192.168.200.10 Cycos+EWS+HttpClient 500 0 0 15

Status Code 500 steht bekanntlich für “Internal Server Error”, aber das kann vieles sein. Zum Glück gab die UC-Software die Abfrage mit die gegen die EWS ausgeführt werden preis, also ließ sich der Fehler mit SOAPe nachstellen:

Impersonation

In der Fehlermeldung heißt es dann:

“Das Konto ist nicht berechtigt, die Identität des angeforderten Benutzers anzunehmen.”

Es handelt sich also scheinbar um ein Berechtigungsproblem, im RBAC waren die Rollen aber entsprechend zugewiesen, genau wie hier beschrieben:

http://msdn.microsoft.com/en-us/library/exchange/bb204095(v=exchg.140).aspx

Nach einiger Suche, ist dann aufgefallen das der Default Scope nicht auf die OU “Users” angewendet wird, genau in diese OU wurden aber die Benutzer zu Testzwecken verschoben. Die einfachste Lösung ist natürlich die Benutzerkonten wieder aus der OU “Users” zu holen, oder man erstellt einen neuen Scope, etwa so:

New-ManagementScope -Name:ImpersonationScope -RecipientRestrictionFilter: {MemberOfGroup -eq „CN=Impersonated Users,CN=Users,DC=frankysweb,DC=local“}

Sobald der Scope geändert wurde oder das Konto aus der OU “Users” verschoben wurde, sieht dann auch die Abfrage in SOAPe besser aus:

2

Das Tool SOAPe, kann übrigens hier runtergeladen werden, für Tests mit den EWS erweist es sich immer wieder als sehr hilfreich:

http://soape.codeplex.com/

Leave a Comment