Bei der Installation von neuen Exchange 2019 Servern in einer bestehenden Exchange 2016 Organisation, bin ich über den folgenden Fehler gestolpert. Das Exchange 2019 Setup hat während der Installation des ersten Exchange 2019 Servers nach dem Organisationsnamen gefragt. Die Nachfrage nach dem Organisationsnamen darf bei der Installation in eine bestehende Exchange Organisation nicht auftauchen, denn die neuen Server sollen ja in die bestehende Exchange 2016 Organisation installiert werden. Die Nachfrage nach dem Exchange Organisationsnamen erscheint daher normalerweise nur, wenn es sich um eine neue Exchange Organisation handelt, also bei der Installation des ersten Exchange Servers in ein Active Directory in dem es noch keine Exchange Installation gegeben hat:
Ich habe darauf hin das Setup abgebrochen und mir das Exchange Setup Log (C:\ExchangeSetupLogs\ExchangeSetup.log) angeschaut. Hier find mir dann die folgenden Zeilen aufgefallen:
[01.23.2023 18:44:45.0533] [0] Setup is choosing the domain controller to use
[01.23.2023 18:44:58.0018] [0] Setup is choosing a local domain controller...
[01.23.2023 18:45:00.0080] [0] [ERROR] Setup encountered a problem while validating the state of Active Directory: Active Directory operation failed on . The supplied credential for 'BENUTZERNAME' is invalid. See the Exchange setup log for more information on this error.
[01.23.2023 18:45:00.0080] [0] [ERROR] Active Directory operation failed on . The supplied credential for 'BENUTZERNAME' is invalid.
[01.23.2023 18:45:00.0096] [0] [ERROR] The supplied credential is invalid.
[01.23.2023 18:45:00.0096] [0] Setup will use the domain controller ''.
[01.23.2023 18:45:00.0096] [0] Setup will use the global catalog ''.
[01.23.2023 18:45:00.0221] [0] No Exchange configuration container was found for the organization. Message: 'Active Directory operation failed on . The supplied credential for 'BENUTZERNAME' is invalid.'.
Ich hatte aufgrund der Meldungen zunächst die Vermutung, dass der Benutzer den ich zur Installation verwendet habe, keine ausreichenden Berechtigungen im Active Directory hat. Ich habe dann die Active Directory Benutzer und Computer MMC auf dem Exchange Server gestartet um die Berechtigungen zu kontrollieren (glücklicherweise, habe ich die dies auf dem Exchange Server selbst getan). Bei der Kontrolle der Gruppenmitgliedschaften bin ich dann auf die folgende Fehlermeldung gestoßen:
Auf dem Domain Controller selbst, tritt diese Meldung mit dem gleichen Benutzer übrigens nicht auf, hätte ich die Konsole nicht auf dem zu installierenden Exchange Server gestartet, wäre mir die Fehlermeldung wahrscheinlich nicht aufgefallen. Ich habe also nur schnell die Berechtigungen kontrolliert und mich dann auf den Fehler konzentriert:
A global catalog cannot be contacted to retrieve the icons for
the member list because access was denied. Some icons may
not be shown.
Ich habe dann die üblichen Verdächtigen überprüft: DNS, Secure Channel und Event Log. Hier konnte ich allerdings keine Fehler finden. Irgendwann kamen mir dann Gruppenrichtlinien in den Sinn, die ggf. irgendwas verhindern. Ich habe das Computer Konto des Exchange Servers daher in eine neue OU verschoben und auf der OU die Vererbung deaktiviert. Mit der neuen OU habe ich dann nur die GPO „Default Domain Policy“ verknüpft und zur Sicherheit auch alle lokalen GPOs auf dem Server zurückgesetzt:
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
RD /S /Q "%WinDir%\System32\GroupPolicy"
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
Nach einem Neustart des Servers konnte ich die Gruppenmitglieder vom Exchange Server wieder auflisten. Der Fehler dass kein Globaler Katalog erreichbar sei, ist nicht mehr aufgetreten. Daraufhin habe ich testweise das Exchange Setup neu gestartet und auch die Nachfrage nach dem Organisationsnamen ist verschwunden. Im Exchange Setup Log wurden jetzt auch die korrekten Werte angezeigt:
Ich habe das Exchange Setup dann trotzdem wieder abgebrochen, da ich ja noch nicht wusste welche GPO die Probleme verursacht. Ich bin dann nach dem Ausschlussverfahren vorgegangen. Ich habe nach und nach die GPOs der ursprünglichen OU an die Test-OU angehangen und immer versucht die Gruppenmitgliedschaften aufzulisten. Nach ein paar Versuchen hatte ich dann die problematische GPO gefunden:
In einer GPO welche für das Hardening des Betriebssystems sorgt, wurde RC4_HMAC_MD5 als zulässiger Verschlüsselungstyp für Kerberos abgeschaltet und nur noch die AES Verschlüsselung zugelassen. In meinem Fall war dies allerdings problematisch, da die die Domain und die Domain Trusts (noch) nicht für AES konfiguriert waren. Ich habe also eine neue GPO für die Exchange Server erstellt, welche RC4 wieder zulässt:
Das Exchange Setup ist nach der Aktivierung von RC4 sauber durchgelaufen. Ein Problem gelöst und eine neue Aufgabe gewonnen: Die Domains und Trusts auf AES umstellen. Das ist aber ein anderes Thema.