Exchange 2013 Event ID 1053

[Homer1976 10]

Hallo Zusammen,

 

ich bekomme in letzter Zeit mehrfach am Tag diese Fehlermeldung:

 

Event description: Exchange ActiveSync doesn't have sufficient permissions to create the "CN=***Domain-Admin",CN=Users,DC=***,DC=***,DC=de" container under Active Directory user "Fehler bei Active Directory-Vorgang mit ***Server***. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.

Active Directory-Antwort: 00000005: SecErr: DSID-03152612, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 ".

Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.

 

 

Ich habe schon herausgefunden das einen User die Rechte Exchange Server Rechte für Active Sync fehlen :

 

http://blog.nick.mackechnie.co.nz/post/2009/11/20/Exchange-2010-Active-Sync-Issue.aspx

 

Aber bei diesem User handelt es sich um den Dom Admin....der hat kein Mobile Device.

 

Hat jemand das auch schon so in der Form gehabt?

 

VG Homer

 

 

[Nobbyaushb 1.471]

Wenn der Admin kein Mobile Device hat würde ich mir jetzt aber Gedanken machen.

 

Ggf. ein MA, der mal Member der Dom-Admin war, Stichwort SD-Holder?

 

;)

[Homer1976 10]

Der Dom Admin sind wir!! Der User benötigt kein Mobile Device :-)

 

Ne im ernst, da gibt es keinen User der sonst in Frage kommt.....

 

Der User ist ja der Domadmin selber.....

[magheinz 110]

deswegen hat man persönliche Adminuser um dann sagen zu können welcher Schuld ist. "Der Dom Admin" ist Einzahl und "sind wir" ist Mehrzahl. das passt nicht.

Soviel erst mal zum Grundsätzlichen.

 

Irgendjemand scheint da mit dem User einen sync starten zu wollen und er hat wohl auch das richtige Passwort!

[NorbertFe 2.035]

Abgesehen davon einen Dom Admin und mobile device schließen sich für mich sowieso aus.

[massaraksch 41]

Hi,

 

das muß kein "Mobile Device" im strengeren Sinne sein.

 

Windows 8/10 Mailapp oder irgendein anderes Dingens, was EAS versucht?

 

PS: Vielleicht mal im IIS-Logs schauen... Da sollten doch die Zugriffe mit Username und Device-Strings stehen.

bearbeitet 21. September 2016 von massaraksch

[NorbertFe 2.035]

Auch das ist für domänenadmins keine Anwendung die man nutzen sollte. ;)

[Homer1976 10]

Hallo,

 

leider war ich jetzt länger Krank. Hab jetzt mal den IIS geprüft, leider ohne einen Hinweis zu dem Ereignis. Wir sind zu 2, also recht übersichtlich was wer irgenwo macht.

Leider sind wir ratlos warum uns MonitorMagic dauernd die Mail sendet mit dem Event.

 

VG

[NorbertFe 2.035]

Na dann ist ja alles gut. :) Oder war noch irgendwas?

[Homer1976 10]

Ja, die Meldung kommt am Tag ca. 15 mal

[NorbertFe 2.035]

Schön.

 

Ums nochmal deutlich zu sagen, solange du dieses "Device" oder diese App mit den Domänencredentials nicht findest, wirst du die Meldung nicht los. Ändere doch mal das Adminkennwort, dann sollte diese Fehlermeldung verschwinden und im Security Log sollten dann Fehler auftauchen, dass ein Gerät sich mit falschen Anmeldedaten versucht anzumelden. Natürlich nur, wenn dein Logging entsprechend konfiguriert ist.

bearbeitet 19. Oktober 2016 von NorbertFe