Bodenklappe 10 Geschrieben 4. Oktober 2010 Melden Teilen Geschrieben 4. Oktober 2010 Hallo allerseits, Seit der Migration vom SBS2003 zum SBS2008R2 ist einer meiner öffentlichen Ordner nicht mehr per Mail erreichbar. Nun habe ich herausgefunden, daß es am Leerzeichen im Alias liegt. Was dem SBS2003 nichts ausmachte, darüber stolpert der SBS2008 nun, doch wurde dieser Fehler (aus Exchange 2007-Sicht) bei der Migration nicht korrigiert. Will ich das Problem nun selbst beheben, bekomme ich die Meldung, daß für diesen Vorgang kein Wiederholungsversuch möglich ist und die Benutzerrechte nicht ausreichen. Ich habe es wahlweise als Benutzer der Domänenadministratoren probiert und auch mit dem Administrator selbst. Bei beiden erhalte ich dieselbe Fehlermeldung: set-mailpublicfolder Fehler bei Active Directory-Vorgang mit SBS2008.eict.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. Active Directory-Antwort: 00002098: SecErr: DSID-03150E8A, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Testweise habe ich dem Domänenadministrator die Berechtigungen "Exchange Organization Administrators" und "Exchange Public Folder Administrators" hinzugefügt, weil ich dahinter die nötige Berechtigung vermutete. Das war jedoch nicht ausreichend. Kann mir jemand einen Hinweis darauf geben, woran es scheitert? Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 4. Oktober 2010 Melden Teilen Geschrieben 4. Oktober 2010 Hallo. Schau hier einmal nach - Fehler beim Verschieben eines Exchange-Postfachs von Exchange 2003 zu Exchange 2010 Technikblog http://groups.google.com/group/microsoft.public.exchange.setup/browse_thread/thread/ec9a8f11a0e5f15/dce38bcaf103c986?lnk=st LG Günther Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 4. Oktober 2010 Melden Teilen Geschrieben 4. Oktober 2010 Moin, und kleine Ergänzung zu Günther, bevor Du Dir einen Wolf suchst: Setzen musst Du das Ganze mit der Shell: Add-PublicFolderAdministrativePermission, eine eingebaute GUI gibt es dafür noch nicht. Zitieren Link zu diesem Kommentar
Bodenklappe 10 Geschrieben 4. Oktober 2010 Autor Melden Teilen Geschrieben 4. Oktober 2010 Danke für die schnellen Antworten. Zu den ersten beiden Links muß ich folgendes sagen: es handelt sich um einen öffentlichen Ordner, also liegt kein Benutzer dahinter. Demzufolge kann ich keine Berechtigungen für ihn einsehen oder setzen, wie im ersten Link gedacht. Außerdem wurde die Mailbox ja bereits verschoben, es scheitert also nicht am Verschieben selbst sondern am anschließenden Zustellen einer Mail an diesen Ordner. Seine Mailadresse ist sehr wohl gültig, nur der Alias dummerweise nicht mehr unter dem neuen Exchange, und der wird offensichtlich zum Auflösen gebraucht. Zum dritten Link: ich hatte bisher den hier gefunden: Set-AddressList: Exchange 2007 Help . Es geht meines Wissens um das ForceUpgrade. Allerdings habe ich das noch nicht kapiert, wie das genau gehen soll. Ich denke, daß ich über die AddressList nicht an den Alias herankomme, jedenfalls habe ich das bisher nicht gefunden. Dazu hatte ich auch schon diesen alten Thread gefunden: http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html . Das hat mich bisher aber auch nicht weitergebracht. Gibt es vielleicht noch weitere Ideen? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 4. Oktober 2010 Melden Teilen Geschrieben 4. Oktober 2010 Danke für die schnellen Antworten. Zu den ersten beiden Links muß ich folgendes sagen: es handelt sich um einen öffentlichen Ordner, also liegt kein Benutzer dahinter. Demzufolge kann ich keine Berechtigungen für ihn einsehen oder setzen, wie im ersten Link gedacht. Doch, auch ein ÖO hat Berechtigungen. Sieh Dir meinen Link an, geht halt leider nur über die Shell. Zum dritten Link: ich hatte bisher den hier gefunden: Set-AddressList: Exchange 2007 Help . Es geht meines Wissens um das ForceUpgrade. Das ist was anderes. Das wirst Du auch am Ende machen müssen, hat aber mit dem Alias erst mal vermutlich nichts zu tun. Zitieren Link zu diesem Kommentar
Bodenklappe 10 Geschrieben 8. Oktober 2010 Autor Melden Teilen Geschrieben 8. Oktober 2010 Ich habe noch einmal alle Links durchgelesen. Bei EX2K7 OWA - microsoft.public.exchange.setup | Google Groups wurde ich stutzig. Soll das bedeuten, daß der Benutzer, der diese Änderung durchführen will, Exchangeadmin sein muß, aber KEIN Domänenadmin sein darf? So verstehe ich den Kommentar von Neil Hobson ("stop elevation of privilege attacks"). Welche expliziten Rechte (Gruppenzugehörigkeiten) muß derjenige Benutzer dann besitzen? Und welche Gruppe ist dann effektiv "Exchangeadministrator"? Gemäß http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html ist damit der "Exchange Organization Administrator" gemeint, richtig? Im übrigen hatte ich den Eingriff mit zwei verschiedenen Konten versucht: einmal als Domänenadmin, dann als Domänenadmin mit den oben genannten hinzugefügten Rechten und als zweites mit dem lokalen Admin des SBS, der kein Domänenadmin ist. In allen Varianten bekam ich jedoch dieselbe Fehlermeldung angezeigt. Sollte ich also einen zusätzlichen Benutzer anlegen, der nur Mitglied von "Domänenbenutzer" und "Exchange Organization Administrators" ist? Dem lokalen Admin kann ich keine Exchangerechte geben, weil er kein Domänenkonto hat. Deshalb taucht er im AD nicht auf, aber wenn ich in den Lokalen Benutzern und Gruppen Einstellungen ändern will, wird mir das verwehrt und auf das AD verwiesen. Wenn ich in ADUC/Sicherheit den Haken für die Vererbung der Berechtigung setze, kann ich mit dem lokalen (nicht Domänen-) Admin immer noch nicht in der Shell den Alias für den öffentlichen Ordner ändern, es bleibt bei der Fehlermeldung. Nochmal zur Reihenfolge: Den Haken für den neuen Benutzer zum Erben der Rechte ist gesetzt (er war es bereits). Dann will ich ihm per Exchange-Verwaltungsshell mit Add-PublicFolderAdministrativePermission: Exchange 2007-Hilfe das Recht geben, daß er Änderungen an dem öffentlichen Ordner vornehmen darf. Wenn das erledigt ist, darf ich (hoffentlich) endlich den Alias ändern, um schließlich mit forceupgrade den öffentlichen Ordner in das Exchange2007-Format zu bringen, damit der öffentliche Ordner wieder Mails annimmt. Korrekt? Ich habe einen Benutzer "karl" angelegt, der Mitglied von Domänenbenutzer (kein Admin) ist und ihm zusätzlich die Rechte für "Exchange Organization Administrator" und "Exchange Public Folder Administrator" gegeben. Wenn ich als der neue Benutzer in der Shell "Add-PublicFolderAdministrativePermission" ohne Argumente ausführe, fragt er mich als erstes nach dem öffentlichen Ordner, danach nach einem User, dann nach "AccessRights[0]" und erhöht für jede Eingabe den Zähler um eins. Gebe ich bei [0] also "AllExtendedRights" ein, kommt die Frage nach "AccessRights[1]". Drücke ich dann Return, kommt nach einer Weile die rote Fehlermeldung: "Es ist kein 'PublicFolderEntry' vorhanden, das der folgenden Identität entspricht: 'BereitsOhneLeerzeichenBestehenderOrdner'. Gebe ich die Argumente gleich mit, fragt er nicht nach weiteren AccessRights[x], sondern bringt: [PS] C:\Windows\system32>add-publicfolderadministrativepermission -identity "\Al ter Name" -user karl -accessrights AllExtendedRights Identity User AccessRights IsInherited Deny -------- ---- ------------ ----------- ---- \Alter Name ABCD\karl {AllExtendedRights} False False Zitieren Link zu diesem Kommentar
Bodenklappe 10 Geschrieben 8. Oktober 2010 Autor Melden Teilen Geschrieben 8. Oktober 2010 (bearbeitet) Ich habe noch einmal alle Links durchgelesen. Bei http://groups.google.com/group/microsoft.public.exchange.setup/browse_thread/thread/ec9a8f11a0e5f15/dce38bcaf103c986?lnk=st wurde ich stutzig. Soll das bedeuten, daß der Benutzer, der diese Änderung durchführen will, Exchangeadmin sein muß, aber KEIN Domänenadmin sein darf? So verstehe ich den Kommentar von Neil Hobson ("stop elevation of privilege attacks"). Welche expliziten Rechte (Gruppenzugehörigkeiten) muß derjenige Benutzer dann besitzen? Und welche Gruppe ist dann effektiv "Exchangeadministrator"? Gemäß http://www.mcseboard.de/ms-exchange-forum-80/exchange-07-set-addresslist-rights-problem-134432.html ist damit der "Exchange Organization Administrator" gemeint, richtig? Im übrigen hatte ich den Eingriff mit zwei verschiedenen Konten versucht: einmal als Domänenadmin, dann als Domänenadmin mit den oben genannten hinzugefügten Rechten und als zweites mit dem lokalen Admin des SBS, der kein Domänenadmin ist. In allen Varianten bekam ich jedoch dieselbe Fehlermeldung angezeigt. Sollte ich also einen zusätzlichen Benutzer anlegen, der nur Mitglied von "Domänenbenutzer" und "Exchange Organization Administrators" ist? Dem lokalen Admin kann ich keine Exchangerechte geben, weil er kein Domänenkonto hat. Deshalb taucht er im AD nicht auf, aber wenn ich in den Lokalen Benutzern und Gruppen Einstellungen ändern will, wird mir das verwehrt und auf das AD verwiesen. Wenn ich in ADUC/Sicherheit den Haken für die Vererbung der Berechtigung setze, kann ich mit dem lokalen (nicht Domänen-) Admin immer noch nicht in der Shell den Alias für den öffentlichen Ordner ändern, es bleibt bei der Fehlermeldung. Nochmal zur Reihenfolge: Den Haken für den neuen Benutzer zum Erben der Rechte ist gesetzt (er war es bereits). Dann will ich ihm per Exchange-Verwaltungsshell mit http://technet.microsoft.com/de-de/library/aa997986(EXCHG.80).aspx das Recht geben, daß er Änderungen an dem öffentlichen Ordner vornehmen darf. Wenn das erledigt ist, darf ich (hoffentlich) endlich den Alias ändern, um schließlich mit forceupgrade den öffentlichen Ordner in das Exchange2007-Format zu bringen, damit der öffentliche Ordner wieder Mails annimmt. Korrekt? Ich habe einen Benutzer "karl" angelegt, der Mitglied von Domänenbenutzer (kein Admin) ist und ihm zusätzlich die Rechte für "Exchange Organization Administrator" und "Exchange Public Folder Administrator" gegeben. Wenn ich als der neue Benutzer in der Shell "Add-PublicFolderAdministrativePermission" ohne Argumente ausführe, fragt er mich als erstes nach dem öffentlichen Ordner, danach nach einem User, dann nach "AccessRights[0]" und erhöht für jede Eingabe den Zähler um eins. Gebe ich bei [0] also "AllExtendedRights" ein, kommt die Frage nach "AccessRights[1]". Drücke ich dann Return, kommt nach einer Weile die rote Fehlermeldung: "Es ist kein 'PublicFolderEntry' vorhanden, das der folgenden Identität entspricht: 'BereitsOhneLeerzeichenBestehenderOrdner'. Gebe ich die Argumente gleich mit, fragt er nicht nach weiteren AccessRights[x], sondern bringt: [PS] C:\Windows\system32>add-publicfolderadministrativepermission -identity "\Al ter Name" -user karl -accessrights AllExtendedRights Identity User AccessRights IsInherited Deny -------- ---- ------------ ----------- ---- \Alter Name ABCD\karl {AllExtendedRights} False False bearbeitet 8. Oktober 2010 von Bodenklappe Forens-SW hat Teil1 mit "wird freigeschaltet, nachdem ein Moderator draufgeschaut hat" zurückgehalten, Teil2 direkt angenomme Zitieren Link zu diesem Kommentar
Bodenklappe 10 Geschrieben 8. Oktober 2010 Autor Melden Teilen Geschrieben 8. Oktober 2010 Aber: [PS] C:\Windows\system32>set-mailpublicfolder -identity "\Alter Name" -alias "NeuerName" Set-MailPublicFolder : Fehler bei Active Directory-Vorgang mit SBS2008.abcd.loc al. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Inform ationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. Active Directory-Antwort: 00002098: SecErr: DSID-03150E8A, problem 4003 (INSUFF _ACCESS_RIGHTS), data 0 . Bei Zeile:1 Zeichen:21 + set-mailpublicfolder <<<< -identity "\Alter Name" -alias "NeuerName" + CategoryInfo : NotSpecified: (0:Int32) [set-MailPublicFolder], ADOperationException + FullyQualifiedErrorId : 9718229,Microsoft.Exchange.Management.MapiTasks. SetMailPublicFolder Gebe ich zweimal AllExtendedRights interaktiv in der Shell ein und danach Return, bringt er mir, daß das Argument "AllExtendedRights" nicht gültig ist sondern "AllExtendedRight" (ohne "s") heißt: [PS] C:\Windows\system32>add-publicfolderadministrativepermission Cmdlet Add-PublicFolderAdministrativePermission an der Befehlspipelineposition 1 Geben Sie Werte für die folgenden Parameter an: Identity: "Alter Name" User: karl AccessRights[0]: AllExtendedRights AccessRights[1]: AllExtendedRights AccessRights[2]: Das angegebene Zugriffsrechte ''AllExtendedRights', 'AllExtendedRights'' sind u ngültig. Gültige Zugriffsrechte sind unter anderem 'AllStoreRights', 'AllExtend edRight' und die Kombination aus acht spezifischen Administratorrechten für Öff entliche Ordner ohne Eintragsduplikate. Parametername: AccessRights Bei Zeile:1 Zeichen:1 + <<<< add-publicfolderadministrativepermission + CategoryInfo : InvalidArgument: (:) [], ArgumentException + FullyQualifiedErrorId : 77B44613 Gebe ich dann aber "AllExtendedRight" an, erzählt er mir, daß das Argument "AllExtendedRights" (mit "s"!) heißt! Allmählich komme ich mir verar***t vor! [PS] C:\Windows\system32>add-publicfolderadministrativepermission Cmdlet Add-PublicFolderAdministrativePermission an der Befehlspipelineposition 1 Geben Sie Werte für die folgenden Parameter an: Identity: "Alter Name" User: karl AccessRights[0]: AllExtendedRight AccessRights[1]: Add-PublicFolderAdministrativePermission : Der Parameter "AccessRights" kann ni cht gebunden werden. Der Wert "AllExtendedRight" kann aufgrund von ungültigen E numerationswerten nicht in den Typ "Microsoft.Exchange.Management.MapiTasks.Pub licFolderAdministrativePermission" konvertiert werden. Geben Sie einen der folg enden Enumerationswerte an, und versuchen Sie es erneut. Mögliche Enumerationsw erte sind "None, ModifyPublicFolderACL, ModifyPublicFolderAdminACL, ModifyPubli cFolderDeletedItemRetention, ModifyPublicFolderExpiry, ModifyPublicFolderQuotas , ModifyPublicFolderReplicaList, AdministerInformationStore, ViewInformationSto re, AllStoreRights, AllExtendedRights". Bei Zeile:1 Zeichen:41 + add-publicfolderadministrativepermission <<<< + CategoryInfo : InvalidArgument: (:) [Add-PublicFolderAdministra tivePermission], ParameterBindingException + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.Exchang e.Management.MapiTasks.AddPublicFolderAdministrativePermission Welcher Benutzer muß welche Rechte haben und welche nicht? Mit welcher Kommandozeile gewähre ich ihm die Rechte, damit ich den Alias korrigieren und die Mailbox nach Ex2007 konvertieren darf? Das kann doch alles nicht so kompliziert sein. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 9. Oktober 2010 Melden Teilen Geschrieben 9. Oktober 2010 Moin, die missverstehst die erste Fehlermeldung. Du darfst eine Berechtigung nur *einmal* eintragen. Du hast probiert "AllExtendedRights" zweimal einzutragen: AccessRights[0]: AllExtendedRights AccessRights[1]: AllExtendedRights In der Fehlermeldung steht ja im letzten Halbsatz auch: "ohne Eintragsduplikate.". Der Text in der Fehlermeldung ist aber falsch, es muss mit "s" geschrieben werden. Die zweite Fehlermeldung ist daher korrekt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.