fly87 10 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 Hallo Zusammen, der Betreff ist etwas b***d gewählt aber mir fiel nichts passenderes ein. Eigentlich ist dieser Beitrag eine Mischung aus AD DS und Exchange. Ich schildere es einfach mal: Umgebung mit zwei DC's je auf 2K8R2, Funktionsebene 298R2. Installation eines Exchange Servers 2016 durch Benutzer ohne Kentnisse durchgeführt. Das klappte nicht, also das System gelöscht und neu aufgesetzt. Dann wurden geteilte Berechtigungen aktiviert und man erreichte wieder nicht was man wollte. Schlussletztlich sitzen wir jetzt an dem System. Leider ziemlich verbaut und vernarbt. Vieles konnten wir in Ordnung bringen. Wir haben uns entschlossen, weil es aus das angedachte Exchnage System nicht mehr gibt aber ein Exchange 2016 integriert werden soll, die AD DS Datenbank zu reinigen. Inkl. des Schemas. Zur Säuberung gehörte u.a. die Löschung alter Security Principals die mal auf Exchange verwiesen hatten. Einzelne Gruppen und Benutzer wie z.B. die Domänen-Admins wurden durch geteilte Berechtigungen verändert und die Übernahme übergordneter und vererbter Berechtigungen ausgeschaltet. Dies wurde wieder in den Standard zurückversetzt. Das war auch alles soweit erfolgreich. Auf beiden DC's stimmt das Schema, die Datenbank, alles identisch. Replikation wurde entsprechend manuell angestoßen Wir konnten anschließend den Stamm und das Schema sauber mittels der entsprechenden Befehle auf die Integration eines Exchange vorbereiten. Dieser Vorgang war ebenfalls erfolgreich. Wir hatten im Vorfeld die Replikation abgeschaltet. Nachdem nun Stamm und Schema auf MsExch vorbereitet waren haben wir die Replikation wieder eingeschaltet und einmal manuell angestoßen. DcDiag etc. alles sauber ohne Fehler. Jetzt der Hammer: Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da. Wir wissen aber nicht woher die repliziert werden. Es gibt nachweislich nur zwei DC's. Beide hatten vor der Schemaanpassung den selben Stand ohne diese unbekannten Konten. Nach Prüfung stellt man fest es handelt sich um alte Exchange Objekte. Habt ihr eine Idee was das sein kann? Freue mich auf eine Rückmeldung. Viele Grüße Fly87 Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 Ist das eine Test oder Prod Umgebung? Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 27. September 2017 Autor Melden Teilen Geschrieben 27. September 2017 (bearbeitet) Leider leider ist das eine Produktive Umgebung dort vor Ort. Es gibt natürlich Backups nach der Säuberung. Interessant ist aber eines: Solange kein Exchange den Weg in die Umgung findet bleiben die entsprechenden unbekannten Konten auch dem System fern. bearbeitet 27. September 2017 von fly87 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 (bearbeitet) Moin, gibt es wirklich noch Leute, die vor einem Schema-Update die Replikation abschalten? Das ist nicht nur gestrig, es ist auch unsupported. Was genau meinst du mit Folgendem? Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da. Und was meinst du mit "den Stamm vorbereiten"? Auch dies verstehe ich nicht: Solange kein Exchange den Weg in die Umgung findet bleiben die entsprechenden unbekannten Konten auch dem System fern. Bitte mal genau beschreiben, sonst kommen wir hier nicht weiter. Gruß, Nils bearbeitet 27. September 2017 von NilsK Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 27. September 2017 Autor Melden Teilen Geschrieben 27. September 2017 (bearbeitet) Hallo Nils, das wir die Replikation abgeschaltet haben nach der Säuberung hatte u.a. den Grund das wir herausfinden wollten wie sich das AD DS nach dem vorbereiten auf Exchange verhält. Vorher gab es u.a jede Menge Fehler die von dcdaig und weiteren Analyse Tools ausgeworfen wurden. In einer Umgebung, die nicht so verbaut ist käme uns das auch nicht in den Sinn. Was genau meinst du mit Folgendem?Die unbekannten Konten auf den Gruppen Domänen-Admins, Built In Administratoren etc. sind wieder da. Alle Objekte die Administrative Funktionen ausführen haben eine Reihe unbekannter Konten im Sicherheitsreiter des jeweiligen Objekts. Das kann der Account Administrator sein, das kann der Account IT_Admin sein völlig egal. Sobald diese Accounts die Gruppen Organisations-Admins, Domänen-Admins etc. zugewiesen haben tauchen diese Konten nach einiger Zeit dort wieder auf. Selbst wenn sie entfernt wurden und der Account auf Standardwerte zurückgesetzt wurde. Bei genauerer Analyse stellt man fest das dies alles alte Exchange Objekte sind wie z.B. die Server oder Subsystem Gruppe... Mit Stamm vorbereitet meinte ich die Anpassung des Schemas, die Vorbereitung des AD DS für Exchange. Sprich sämtliche Vorab Vorbereitungen des AD DS für Exchange. Auch dies verstehe ich nicht:Solange kein Exchange den Weg in die Umgung findet bleiben die entsprechenden unbekannten Konten auch dem System fern. Ich leider auch nicht. Solange es keine Exchange Vorbereitung gibt im AD DS tauchen diese unbekannten Konten nach entfernen nicht wieder auf. Wird aber die Vorbereitung durchgeführt sind kurze Zeit später auf den genannten Konten die unbekannten Konten wieder da. Ein Vergleich in einer sauber aufgesetzten Testinstallation konnte dieses Verhalten nicht hervorrufen. Grüße Fly87 bearbeitet 27. September 2017 von fly87 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 (bearbeitet) Moin, also, für mich sprichst du immer noch in Rätseln. Solange es keine Exchange Vorbereitung gibt im AD DS tauchen diese unbekannten Konten nach entfernen nicht wieder auf. Wird aber die Vorbereitung durchgeführt sind kurze Zeit später auf den genannten Konten die unbekannten Konten wieder da. Ich verstehe nicht, was du damit meinst. Mit "Exchange-Vorbereitung" meinst du die ersten Schritte der Installation? Das macht man aber doch nur einmal, oder? Deine Formulierung klingt, als würdet ihr da irgendwas ein- und ausschalten und schauen, was passiert. Macht ihr da am Ende mit VM-Snapshots rum oder sowas? Was meinst du mit "unbekannte Konten"? Solche, bei denen nur ein SID angezeigt wird statt des Namens? Was meinst du in dem Zusammenhang mit Nach Prüfung stellt man fest es handelt sich um alte Exchange Objekte. ? Gruß, Nils bearbeitet 27. September 2017 von NilsK Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 @NilsK Ich verstehe auch nach mehrmaligem Lesen nicht was der TO uns sagen will. Ich gebe es auf bis für mich verständliche Erklärungen kommen. @fly87 Lies bitte deine Posts noch einmal aus der Sicht eines Menschen der eure Versuche und das System nicht kennt. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 27. September 2017 Melden Teilen Geschrieben 27. September 2017 Guten Abend, OK, auch wenn hier wirklich mehr Klarheit nutzen könnte, falls noch nicht bekannt, hilft möglicherweise der folgende Artikel: https://technet.microsoft.com/en-us/library/dd638146%28v=exchg.150%29.aspx?f=255&MSPPError=-2147217396 So würde man das machen, wenn mans vorher "nicht kaputt konfiguriert" hat. ;) Viel mehr Hilfe kann man meiner Meinung nach aus der Ferne und schon gar nicht mit obigen Infos leisten. Bye Norbert Zitieren Link zu diesem Kommentar
fly87 10 Geschrieben 28. September 2017 Autor Melden Teilen Geschrieben 28. September 2017 (bearbeitet) Hallo Zusammen, ich habe eigentlich gedacht ich hätte es schon so gut wie möglich erklärt. So kann man sich irren. :shock: Also zur Situation: Es gibt ein verbautes und verbasteltest AD DS auf der 2008 R2 Funktionsebene. Das Schema und der Forest selbst hatte teilweise verstellte Objekte die eine Installation von Exchnage z.B. unmöglich machten. Die Anpassung des Schemas durch die Setuproutine brach mit unbeklanntem Fehler ab. Daraufhin haben wir, weil die Möglichkeit der Neuinstallation vermieden werden musste, eine Säuberung des gesamten AD DS vorgenommen. Dazu gehörten auch Elemente aus dem Schema. Uralte Exchange Einträge zum Beispiel. Dies war auch erfolgreich. Entsprechend umsichtig wurde gerade in dem Zusammenhang gehandelt. Danach haben wir uns den Berechtigungen gewidmet. Auf dem höchsten Objekt des Domänenstamms waren im Reiter Sicherheit alte Sicherheitsgruppen eingetragen, die als unbekannte Konten aufgeführt werden, weil es die entsprechenden alten Sicherheitsgruppen bereits im Vorfeld schon nicht mehr gab. Diese haben wir entfernt. Für alle Objekte, die in irgendeinerweise die Domäne Administrativ beeinflussen können z.B. das Objekt des Domänenadministrators. Account Name: Administrator oder die Sicherheitsgruppen Schema-Admins, Domänen-Admins usw. wurden diese alten Sicherheitsgruppen nicht entfernt, weil die Vererbung deaktivert wurde. Das zog sich durch alle Sicherheitsgruppen und Objekte, die Administrativ die Domäne beeinflussen können. Auch das wurde bereinigt und über beide DC's repliziert. Die Folge war: Benutzer können sich wieder anmelden, die Replikation funktioniert wieder usw. Danach haben wir begonnen einen Exchange 2016 sauber in das Schema und den Forest zu integrieren. Eine Demo Umgebung durfte und konnte zu unserem Leidwesen nicht erstellt werden. Also wurde das gesamte AD DS per Backup gesichert. Dieser Vorgang war erfolgreich. Auch die Installation und die Inbetriebnahme des Exchange hat ohne erkennbare Probleme funktioniert. Man könnte meinen alles gut gegangen. System läuft. Wäre da nicht folgender Umstand: Die Gruppen Domänen-Admins, Schema-Admins, das Objekt Administrator usw. haben plötzlich wieder die unbekannten Objekte in ihrer ACL. Beim ersten mal hält man das für einen sontigen Fehler. Es wurde wieder angepasst. Beide DC's haben den selben Stand ohne diese unbekannten in ihrer ACL. Einige Stunden später sind diese Objekte wieder da. Und ich weiß ehrlich gesagt nicht warum. Ich weiß nicht woher die repliziert werden. Untersucht man diese unbekannten Konto ACL Einträge genauer, stellt man fest das diese z.B. die Berechtigung "Exchange Personal Information" lesen haben. Oder andere Exchange Elemente. Ich hänge mal ein Bild zur Visualisierung an. Ich frage mich: Woher stammen diese offenbar alten unbekannten Konten. Woher werden die repliziert oder wiederhergestellt? Es gibt nur nachweislich zwei DC's die aber korrekt replizieren. Das heißt enfernt man diese Gruppen sind sie auf beiden DC's auch weg. Nach Stunden sind sie plötzlich wieder da. Ich hoffe mich jetzt verständlicher ausgedrückt zu haben. LG, Fly87 bearbeitet 28. September 2017 von fly87 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 28. September 2017 Melden Teilen Geschrieben 28. September 2017 Moin, Daraufhin haben wir, weil die Möglichkeit der Neuinstallation vermieden werden musste, eine Säuberung des gesamten AD DS vorgenommen. Dazu gehörten auch Elemente aus dem Schema. Uralte Exchange Einträge zum Beispiel. Dies war auch erfolgreich. Entsprechend umsichtig wurde gerade in dem Zusammenhang gehandelt. das kann so nicht sein. Im Schema kann man keine Löschungen vornehmen. Hier wäre also wichtig zu wissen, was ihr tatsächlich wo gemacht habt. Danach haben wir uns den Berechtigungen gewidmet. Auf dem höchsten Objekt des Domänenstamms waren im Reiter Sicherheit alte Sicherheitsgruppen eingetragen, die als unbekannte Konten Wäre da nicht folgender Umstand: Die Gruppen Domänen-Admins, Schema-Admins, das Objekt Administrator usw. haben plötzlich wieder die unbekannten Objekte in ihrer ACL. Hier wird es interessant. Dass diese Objekte durch eine Replikation ins System kommen, kann man ausschließen. Zwei spekulative Theorien: Theorie 1: Es gab nach eurer Bereinigung doch noch Berechtigungseinträge für diese verwaisten Objekte im AD. Bei der Neuinstallation erkennt Exchange diese und wendet sie auf die neuen AD-Objekte an. Theorie 2: Exchange versucht, die zugehörigen Objekte (User und/oder Gruppen) neu zu erzeugen und die passenden Berechtigungen zu setzen. Aus irgendeinem Grund geschieht hierbei ein Fehler, und Exchange setzt die falschen Berechtigungen. Kern des Problems dürfte sein, dass ihr hier einen nicht supporteten manuellen Weg zur "Bereinigung" beschritten habt. Ich vermute, dass ihr von Microsoft hier keinen Support kriegen werdet - einen Versuch wäre es aber vielleicht wert. Alternativ würde ich jetzt sehen, ob ich einen Exchange-Spezi finde, der sich die Sache mal ansieht. Je nach Ergebnis würde ich dann, wenn eine Reparatur nicht möglich erscheint, einen Neuaufbau erwägen. Gruß, Nils Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 28. September 2017 Melden Teilen Geschrieben 28. September 2017 Hallo fly87, ich kam leider erst jetzt dazu deinen Beitrag zu lesen. Nils hat schon geantwortet. Ich bin exakt gleicher Meinung. Die Erklärung kann so nicht stimmen. Holt euch jemanden der sich auskennt und das Dilemma anschaut. Allerdings fürchte ich auch fast, das eine Reparatur sehr aufwendig bis unmöglich wird. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.