OWA Exchange 2007 - "Problem beim Versuch, Ihr Postfach zu verwenden"

[andibu 10]

Hiho Zusammen,

 

bei einem User kommt bei nach dem anmelden am OWA folgende Meldung:

 

 

----------------------------------------------------------------------------

Problem beim Versuch, Ihr Postfach zu verwenden. Wenden Sie sich an den technischen Support für Ihre Organisation.

________________________________________

Fehlerdetails in Zwischenablage kopieren

 

 

Request

Url: https://mailserver01.domain.local:443/owa/lang.owa

User host address: 192.168.100.153

 

Exception

Exception type: Microsoft.Exchange.Data.Storage.StoragePermanentException

Exception message: There was a problem accessing Active Directory.

 

Call stack

bei Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save() bei Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostLocally(OwaContext owaContext, OwaIdentity logonIdentity, CultureInfo culture, String timeZoneKeyName, Boolean isOptimized) bei Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchLanguagePostRequest(OwaContext owaContext) bei Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.PrepareRequestWithoutSession(OwaContext owaContext, UserContextCookie userContextCookie) bei Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.InternalDispatchRequest(OwaContext owaContext) bei Microsoft.Exchange.Clients.Owa.Core.RequestDispatcher.DispatchRequest(OwaContext owaContext) bei System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() bei System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

 

Inner Exception

Exception type: Microsoft.Exchange.Data.Directory.ADOperationException

Exception message: Active Directory operation failed on DC04.domain.local. This error is not retriable. Additional information: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

 

Call stack

bei Microsoft.Exchange.Data.Directory.ADSession.AnalyzeDirectoryError(PooledLdapConnection connection, DirectoryRequest request, DirectoryException de, Int32 totalRetries, Int32 retriesOnServer) bei Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId) bei Microsoft.Exchange.Data.Directory.ADSession.Save(ADObject instanceToSave, IEnumerable`1 properties) bei Microsoft.Exchange.Data.Storage.ExchangePrincipal.Save()

 

Inner Exception

Exception type: System.DirectoryServices.Protocols.DirectoryOperationException

Exception message: Der Benutzer verfügt nicht über die erforderlichen Zugriffsrechte.

 

Call stack

bei System.DirectoryServices.Protocols.LdapConnection.ConstructResponse(Int32 messageId, LdapOperation operation, ResultAll resultType, TimeSpan requestTimeOut, Boolean exceptionOnTimeOut) bei System.DirectoryServices.Protocols.LdapConnection.SendRequest(DirectoryRequest request, TimeSpan requestTimeout) bei Microsoft.Exchange.Data.Directory.PooledLdapConnection.SendRequest(DirectoryRequest request, LdapOperation ldapOperation) bei Microsoft.Exchange.Data.Directory.ADSession.ExecuteModificationRequest(ADRawEntry entry, DirectoryRequest request, ADObjectId originalId)

 

----------------------------------------------------------------------------

 

Bei allen anderen Usern funktioniert es Problemlos. Ansonsten hat der User mit Exchange keine Probleme. Wo kann ich zur Analyse am besten ansetzen?

 

Gruß

 

Andi

bearbeitet 26. Januar 2011 von andibu

[NorbertFe 2.045]

Ist oder war dieser User Mitglied in einer vom AdminSDHolder geschützten Gruppe? Falls ja, ist das wahrscheinlich das Problem.

 

Bye

Norbert

[andibu 10]

hi Norbert,

erstmal vielen Dank für deine schnelle Antwort.

habe zu dem Thema mal das hier gefunden:

MSXFAQ.DE - AdminSDHolder

 

anschließend setzte ich unter den Eigenschaften des User unter "AD Benutzer und Computer" im Attribut-Editor das Attribut "admincount" von 1 auf <nichtfesgelegt>.

Aber leider hat das keinen Erfolg erzielt.

 

Gruß

Andi

[NorbertFe 2.045]

Das ist falsch. Du öffnest den User und schaust erstmal nach, ob der Haken zur Vererbungsübernahme im Userobjekt gesetzt ist. Falls nein, dann Haken setzen und warten. Die Änderung kann bis zu 2h dauern.

 

Bye

Norbert

[andibu 10]

perfekt hat sofort gegriffen. Vielen Dank.

[NorbertFe 2.045]

Na also. ;) In welchen Gruppen ist oder war denn der User?

 

Bye

Norbert

[andibu 10]

mit dsacls müsste es funktionieren... aber ich übe noch mit dem syntax ...

[NorbertFe 2.045]

Natürlich funktioniert es mit dsacls. Aber wozu bei einem User?

 

Bye

Norbert

[andibu 10]

um die ACL des Userobjektes anzuzeigen, die du wie ich verstanden haben möchtest.

Da ich ja dort die "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" aktviert hatte. Was ja die Lösung war. Die eigentliche Gruppenmitgeliedschaft hat sich ja nicht verändert.

[NorbertFe 2.045]

OK, ich will nicht die ACL angezeigt bekomen, ich wollte wissen, in welchen Gruppen er Mitglied ist. Denn irgendwie muß der Haken ja verschwunden sein. Entweder war er mal Mitglied, oder er ist immer noch Mitglied, dann ist der Haken spätestens in zwei STunden wieder weg. ;)

 

Bye

Norbert

[andibu 10]

User ist nur in versch. von uns erstellten Gruppen und in "Domain Users". Aber bis jetzt geht noch alles.

[NorbertFe 2.045]

OK, dann ist ja alles gut. ;)

 

Bye

Norbert

[BREOS 10]

OK, ich will nicht die ACL angezeigt bekomen, ich wollte wissen, in welchen Gruppen er Mitglied ist. Denn irgendwie muß der Haken ja verschwunden sein. Entweder war er mal Mitglied, oder er ist immer noch Mitglied, dann ist der Haken spätestens in zwei STunden wieder weg. ;)

 

Bye

Norbert

Hi NorbertFe,

 

was mach ich, wenn der Haken bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" alle zwei Stunden verschwindet?

Der User ist in der AD Builtin Gruppe "Administratoren".

 

Habe das Problem, dass der User alle zwei Stunden keine E-Mails mehr empfangen und senden kann, da ihm die Berechtigungen "Empfangen als" und "Senden als" etc. "geklaut" werden.

 

Ist oder war dieser User Mitglied in einer vom AdminSDHolder geschützten Gruppe? Falls ja, ist das wahrscheinlich das Problem.

 

Bye

Norbert

Ich gehe davon aus, dass der User Mitglied in einer vom AdminSDHolder geschützten Gruppe war/ist.

Der Ordner "AdminSDHolder" im AD unter "System" ist leer.

 

Wie gehe ich jetzt weiter vor? Ziemliches Neuland für mich...

 

DC: Windows Server 2008 R2

Exchange: Exchange Server 2010 Enterprise SP1

 

Mir ist nicht ganz klar, was ich jetzt laut Artikel genau machen muss um mein Problem zu beheben: http://www.msxfaq.de/konzepte/adminsdholder.htm

bearbeitet 23. November 2011 von BREOS

[NorbertFe 2.045]

Hi NorbertFe,

 

was mach ich, wenn der Haken bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" alle zwei Stunden verschwindet?

Der User ist in der AD Builtin Gruppe "Administratoren".

 

Nimm ihn aus der Gruppe der Administratoren. Wieso ist er da denn überhaupt Mitglied?

 

 

Habe das Problem, dass der User alle zwei Stunden keine E-Mails mehr empfangen und senden kann, da ihm die Berechtigungen "Empfangen als" und "Senden als" etc. "geklaut" werden.

 

Ich gehe davon aus, dass der User Mitglied in einer vom AdminSDHolder geschützten Gruppe war/ist.

 

Wieso war? Du schreibst doch oben wohl selbst, in welcher Gruppe er steckt. ;)

 

Bye

Norbert