atctv 10 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Hallo Forengemeinde! Ich habe an meinem DC versucht ein GPO-Richtlinien Problem zu lösen, weil die Event-IDs 1030 + 1058 auftraten. Daraufhin habe ich einen Lösungsvorschlag von eventid.net (Event ID: 1030 Source: Userenv) genutzt und die SYSVOL Berechtigungen entsprechend korrigiert und diesen Befehl ausgeführt, um die Berechtigungen wieder zu reparieren: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose Seit dem haben Outlook Clients keinen Zugriff mehr auf den Exchange Server. Ich habe ihn neugestartet und dabei brauchte dieser schon mal sehr lange, um die Sicherheitskonfiguration durchzuführen und jetzt hängt er schon eine ganze Weile bei "Warten auf Benutzerprofildienst". Der Exchange 2011 befindet sich auf einem W2k8 R2 Server. Kann ich die Sicherheitseinstellungen irgendwie wiederherstellen? Vielen Dank im Voraus! Gruß, Amanda Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Hi, sichere das Backup Deines Servers zurück. Bedenke dabei, daß hierbei Daten aus den Postfächern verloren gehen können. Falls Du damit Probleme hast, prüfe das Ereignisprotokoll des Servers. Sind hier Fehlermeldungen zu finden, die auf die Ursache des Problems hindeuten können. Wo genau hast Du den Secedit Befehl ausgeführt - auf dem Exchange Server? Was genau meinst Du mit "SYSVOL Berechtigungen konfiguriert"? P.S.: Laß Dir das eine Lehre sein, nicht mal eben irgendwelchen Tipps aus dem Netz zu folgen, wenn Du es vorher nicht getestet hast... Viele Grüße olc Zitieren Link zu diesem Kommentar
atctv 10 Geschrieben 1. März 2012 Autor Melden Teilen Geschrieben 1. März 2012 Der Secedit Befehl wurde auf dem DC ausgeführt und die Fehler waren danach auch beseitigt. Aber ein Recovery des Exchange bringt doch die Berechtigungen im AD bzw. die NTFS Berechtigungen des SYSVOL-Ordners nicht wieder zurück. Ich habe die NTFS Berechtigungen angepasst lt. dieser Aussage: EventID.Net In many cases, this problem is the effect of from incorrect permissions on the SYSVOL share. Please verify that the following users and groups have the right permissions for the folder shared as SYSVOL (typically this is C:\Windows\Sysvol): Administrators – Full Control (these are the default, inherited permissions and should be shown grayed out). Authenticated Users – Read & Execute, List Folder Contents, Read. Creator Owner – Default inherited permissions only (shown grayed out). Server Operators – Read & Executed, List Folder Contents, Read. System – Full Control (inherited permissions and should be shown grayed out). For the SYSVOL share itself (remember that the permissions for the folder and the ones for the share combine and the most restrictive apply) check: Administrators – Full Control Authenticated Users – Full Control Everyone - Read If the settings were changed, you need to reset them and then you also need to restore the security settings. To to this, please use the following command: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose See M313222 for more details about the security settings restore. After these steps are performed, reapply the group policy using: Gpupdate Verify in the event log if the group policy was applied successfully. Gruß, Amanda Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Hi, bei Ausführung des Befehls auf dem DC hast Du damit auch einige AD GPO Einstellungen in der Default Domain Controller Policy überschrieben. Keine gute Idee also. So fehlt nun vermutlich für die "Exchange Server der Organisation" das Recht, sich übers Netzwerk anzumelden. Hast Du ein Backup deiner "Default Domain Controller Policy" vor der Änderung, die Du wiederherstellen kannst? Ggf. könntest Du das Recht auch manuell hinzufügen. Vielleicht hast Du ja eine Testumgebung, in der Du die Berechtigungen innerhalb der "Default Domain Controller Policy" abgleichen kannst? Ansonsten sollte Dir das "Domainprep" aus dem Exchange Setup helfen - ich weiß jedoch nicht, inwieweit das Seiteneffekte hat. Im SYSVOL selbst Berechtigungen zu verändern ist im Regelfall ein "no go". Das passiert über die GPMC. Wenn Du in eine GPO per GPMC hinein klickst, bekommst Du dann eine Meldung, daß die ACLs nicht passen? Alles in allem ein guter Zeitpunkt, um Dein Backup/Restore Vorgehen in Bezug auf Deine Umgebung, im speziellen Deiner Group Policies zu prüfen. Und ein guter Zeitpunkt über einen Dienstleister nachzudenken, der Dich aus dem Schlamassel vielleicht befreien kann. Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Am einfachsten, wenn olcs Vermutung stimmt: Führe setup.com /prepareAD erneut aus (Exchange 2010/2007 SP aktuell). Damit werden die Berechtigungen wieder korrigiert. Der Fehler ist schon soooo alt. ;) Wiederherstellung der Default Domain Policy und der Default Domain Controllers Policy Beide Tools stellen, mehr oder weniger, den Originalzustand (The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state) der beiden Richtlinien her. Damit haben natürlich Applikationen Probleme, die selbst die Standard Richtlinien bei der Installation verändern. Der prominenteste Vertreter einer solchen Anwendung dürfte Exchange 200x sein. Nach dem Zurücksetzen wird man also vor dem Problem stehen, dass der Exchangeserver bzw. die Exchangeserver nach einiger Zeit den Betrieb einstellen. Siehe folgenden Artikel: Exchange services do not start, and event IDs 2114 and 2112 are logged in the Application log in Exchange Server 2003 or in Exchange 2000 Server Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Ach ok, bei Exchange heißt das "prepareAD", nicht "Domainprep" wie ich es schrieb. Hatte ich nicht auf dem Schirm, danke für den Hinweis. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
atctv 10 Geschrieben 1. März 2012 Autor Melden Teilen Geschrieben 1. März 2012 D:\Exchange\install\sp1>setup.com /prepareAD Willkommen bei der unbeaufsichtigten Installation von Microsoft Exchange Server 2010 Exchange-Setup wird vorbereitet Die Setupdateien werden kopiert ABGESCHLOSSEN Es werden keine Serverrollen installiert. Die Voraussetzungen für Microsoft Exchange Server werden überprüft Organisationsüberprüfungen FEHLER Setup bereitet die Organisation mithilfe von 'Setup /PrepareAD' auf Exchange 20 10 vor. In dieser Topologie wurden keine Exchange 2007-Serverrollen erkannt. Nac h diesem Vorgang können Sie keine Exchange 2003- und Exchange 2007-Server mehr i nstallieren. Active Directory muss für Exchange Server vorbereitet werden, und 'Ldifde.e xe' ist auf diesem Computer nicht installiert. Sie müssen 'Ldifde.exe' durch Öff nen der PowerShell und Ausführen von 'Import-Module ServerManager' und ''Add-Win dowsFeature RSAT-ADDS' installieren. Oder Sie starten Setup auf einem Domänencon troller neu. Problem beim Überprüfen des Status von Active Directory: Die Version der Ac tive Directory-Organisationskonfiguration (14247) ist höher als die Setupversion (13214). Daher kann der Befehl 'PrepareAD' nicht ausgeführt werden. Setup von Exchange Server wurde nicht abgeschlossen. Weitere Details finden Sie im Protokoll 'ExchangeSetup.log' im Ordner '<SystemDrive>:\ExchangeSetupLogs'. Fehler beim Setup von Exchange Server. Was kann ich da machen? Gruß, Amanda Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Hi, Was kann ich da machen? Ganz ehrlich? Wenn Du den Benutzern nicht eine längere Zeit ohne Exchange zumuten möchtest, schalte einen Dienstleister ein oder den Microsoft Support. Alternativ: Problem beim Überprüfen des Status von Active Directory: Die Version der Active Directory-Organisationskonfiguration (14247) ist höher als die Setupversion (13214). Daher kann der Befehl 'PrepareAD' nicht ausgeführt werden. Wie konkreter sollte eine Fehlermeldung sein? ;) Es ist schlichtweg nicht die neueste Version. Hast Du zufällig eine DVD ohne Service Pack o.ä. verwendet? Du benötigst die DVD von Exchange 2010 SP2. Setup von Exchange Server wurde nicht abgeschlossen. Weitere Details finden Sie im Protokoll 'ExchangeSetup.log' im Ordner '<SystemDrive>:\ExchangeSetupLogs'. Die Log-Datei sollte ggf. zusätzliche Informationen enthalten. Viele Grüße olc Zitieren Link zu diesem Kommentar
atctv 10 Geschrieben 1. März 2012 Autor Melden Teilen Geschrieben 1. März 2012 Ja, ich habe jetzt das richtig Setup "SP2" gestartet, aber jetzt kommt diese Meldung mit der Aufforderung, ich solle 'Ldifde.exe' installieren, aber das Setup lief doch damals auch so durch, aber ich habe dennoch nach dieser Anweisung das Feature installiert. Einen Dienstleister kann ich morgen immer noch einschalten... ich will das heute Abend noch regeln. Es sollte doch nicht so schwer sein, die Default Domain Controller Policy wieder herzurichten. Ich habe auch schon den manuellen Weg aus NorbertFe's Links durchgeführt, aber die zu ändernden Maßnahmen waren bereits vorhanden... D:\Exchange\install\sp2>setup /preparead Willkommen bei der unbeaufsichtigten Installation von Microsoft Exchange Server 2010 Exchange-Setup wird vorbereitet Die Setupdateien werden kopiert ABGESCHLOSSEN Es werden keine Serverrollen installiert. Die Voraussetzungen für Microsoft Exchange Server werden überprüft Organisationsüberprüfungen FEHLER Setup bereitet die Organisation mithilfe von 'Setup /PrepareAD' auf Exchange 20 10 vor. In dieser Topologie wurden keine Exchange 2007-Serverrollen erkannt. Nac h diesem Vorgang können Sie keine Exchange 2003- und Exchange 2007-Server mehr i nstallieren. Active Directory muss für Exchange Server vorbereitet werden, und 'Ldifde.e xe' ist auf diesem Computer nicht installiert. Sie müssen 'Ldifde.exe' durch Öff nen von Windows PowerShell und Ausführen von 'Import-Module ServerManager' und ' Add-WindowsFeature RSAT-ADDS' installieren. Oder Sie starten Setup auf einem Dom änencontroller neu. Setup von Exchange Server wurde nicht abgeschlossen. Weitere Details finden Sie im Protokoll 'ExchangeSetup.log' im Ordner '<SystemDrive>:\ExchangeSetupLogs'. Fehler beim Setup von Exchange Server. Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Wieviel mehr muss die das setup denn hinschreiben? Führ das preparead auf einem Dc durch. Bye Norbert Zitieren Link zu diesem Kommentar
atctv 10 Geschrieben 1. März 2012 Autor Melden Teilen Geschrieben 1. März 2012 Der DC ist aber ein W2k3 Server und darauf kann das Setup nicht ausgeführt werden... Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Man Ey, dann installier dir auf dem Exchange die AD Tools. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.