chrismue 96 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 Hallo zusammen, heute morgen bat mich ein Kollege um Hilfe. Er hatte einen User im Kunden-AD (Server2012R2) angelegt und wollte anschließend ein Postfach (Exchange 2013 CU23) erstellen. Hierbei kam dann die Meldung Fehler bei Active Directory-Vorgang mit Firma-DC-02.cevec.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus. Active Directory-Antwort: 00002098: SecErr: DSID-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Während ich zu diesem Fehler recherchierte rief eine Mitarbeiterin des Kunden an und bat darum, ihr Postfach zu vergrößern. Gleiche Fehlermeldung. Dann bin ich auf dieser Seite gelandet. Meine Recherchen haben ergeben, das dies etwas mit der Vererbung zu tun hat, wenn der User in geschützen Gruppen war (AdminSD Holder) Schließlich bin ich dann auf dieser Seite gelandet, und habe mit get-aduser <username> -properties ntsecuritydescriptor | select -expand ntsecuritydescriptor | select areaccessrulesprotected AreAccessRulesProtected ----------------------- False geprüft, ob die user die Vererbung deaktiviert haben. Dies wird bei beiden Usern mit false quittiert, d.h für mich das sie nicht das AdminSD Holder Attribut haben. Ich habe weiter recherchiert und bin bei Frankys Web gelandet. Hier ist der Fehlercode etwas anders, aber ich habe versucht die gepostete Lösung umzusetzen. Anbei die Fehlermeldung. [PS] C:\Windows\system32>New-ManagementRoleAssignment -Name OrgMgmtFix -Role "Mail Recipient Creation" -SecurityGroup " rganization Management" |clip Fehler bei Active Directory-Vorgang mit firma-DC-02.firma.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-03152612, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 + CategoryInfo : NotSpecified: (:) [New-ManagementRoleAssignment], ADOperationException + FullyQualifiedErrorId : [Server=firma-EXCH-SRV,RequestId=6ae6067b-676f-462d-af69-db9d33308b66,TimeStamp=25.03.20 21 15:55:05] [FailureCategory=Cmdlet-ADOperationException] 34B924E8,Microsoft.Exchange.Management.RbacTasks.NewMan agementRoleAssignment + PSComputerName : firma-exch-srv.firma.local Jetzt bin ich echt ratlos, und ich bin über jede Hilfe dankbar. Zu Schluss noch als Info, der Exchange Server war auch vom HAFNIUM Exploit betroffen, und wurde aus einem Backup von vor dem Vorfall wiederhergestellt. Das AD & der Befallene Exchange wurden von einem Drittunternehmen forensisch untersucht, und die Wiederherstellung aus dem Backup wurde empfohlen, Gruß chrismue Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 vor 1 Minute schrieb chrismue: geprüft, ob die user die Vererbung deaktiviert haben. Gehts nicht einfacher, wenn man den User in dsa.msc einfach mal öffnet und nachschaut? Aber ok. Stehen die User die das betrifft evtl. in einer OU, in der der Exchangeserver nicht die korrekten Permissions besitzt? Ansonsten den User im dsa.msc öffnen und auf dem Security Reiter einfach mal auf "Standard wiederherstellen" klicken. Danach etwas warten, und später nochmal versuchen. Zitieren Link zu diesem Kommentar
chrismue 96 Geschrieben 25. März 2021 Autor Melden Teilen Geschrieben 25. März 2021 vor 41 Minuten schrieb NorbertFe: Stehen die User die das betrifft evtl. in einer OU, in der der Exchangeserver nicht die korrekten Permissions besitzt? Wie prüfe ich das ? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 Man verschiebt den Benutzer mal woanders hin? Alternativ hast du dich evtl. schonmal gefragt, wozu es den Reiter "Sicherheit" in einem BEnutzerkonto gibt. Vergleich doch mal einen funktionierenden mit einem nicht funktionierendem Nutzer. Zitieren Link zu diesem Kommentar
chrismue 96 Geschrieben 26. März 2021 Autor Melden Teilen Geschrieben 26. März 2021 Hallo Norbert, verschieben des Users - gleicher Fehler Neuanlegen eines Testusers in anderer OU - gleicher Fehler. Standard wiederherstellen eines Users - gleicher Fehler 5 User zum Test mal versucht die Postfachgröße zu ändern - alle gleicher Fehler. Ich habe keinen User, bei dem es funktioniert. Wenn ich in die Eigenschaften des Postfachs des Administrators gehe, bekomme ich die Meldung das die OU nicht gefunden wurde. Der Administrator befindet sich aber in der Standard Users OU, welche vom System angelegt wird. Verschiebe ich ihn in eine neu angelegte TestOU, kann ich die Postfach Eigenschaften öffnen, bei Änderungen bekomme ich den bekannten Fehler. Gruß chrismue Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 26. März 2021 Melden Teilen Geschrieben 26. März 2021 Dann stimmen aus "unbekannten" Grund die Berechtigungen im AD nicht. Du kannst mal versuchen /prepareAD erneut durchzuführen. Zitieren Link zu diesem Kommentar
chrismue 96 Geschrieben 26. März 2021 Autor Melden Teilen Geschrieben 26. März 2021 Hallo Norbert, ein /prepareAD hat nichts geändert. Gruß chrismue Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 26. März 2021 Melden Teilen Geschrieben 26. März 2021 Ja, da hilft nur rausfummeln, an welcher Stelle deine Berechtigungen "fehlerhaft" sind. Das wird sich im Forum aber nicht sinnvoll lösen lassen, vermute ich. Du könntest dir mal eine Neuinstallation von AD mit Exchange in einer VM hochziehen und anfangen zu vergleichen. Zitieren Link zu diesem Kommentar
chrismue 96 Geschrieben 26. März 2021 Autor Melden Teilen Geschrieben 26. März 2021 Hallo @NorbertFe Ich habe eine andere Kundenlandschaft, mit dem gleichen Setup, deshalb vergleiche ich grade da. Ich bin jetzt bei den Erweiterten Sicherheitseinstellungen für "Exchange Trusted Subsystem" Hier ist auf dem Funktionierenden System die Vererbung aktiviert, auf dem defekten System die Vererbung deaktiviert. So wie ich es verstanden habe, sollte diese aber auch deaktiviert sein. Oder sehe ich das Falsch Gruß chrismue Zitieren Link zu diesem Kommentar
Beste Lösung NorbertFe 2.034 Geschrieben 26. März 2021 Beste Lösung Melden Teilen Geschrieben 26. März 2021 Sie sollte aktiviert sein meinst du? Sag ich ja, der Exchange hat keine Rechte auf die Objekte im ad und deswegen geht das dann nicht. Du musst also die korrekten Berechtigungen wiederherstellen. Zitieren Link zu diesem Kommentar
chrismue 96 Geschrieben 26. März 2021 Autor Melden Teilen Geschrieben 26. März 2021 Ich habe jetzt die Berechtigungen mit einem anderen System verglichen, und korrigiert. Jetzt gehts wieder. Danke @NorbertFe Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 26. März 2021 Melden Teilen Geschrieben 26. März 2021 vor 18 Minuten schrieb chrismue: Ich habe jetzt die Berechtigungen mit einem anderen System verglichen, und korrigiert. Jetzt gehts wieder. Danke @NorbertFe Wäre noch festzustellen, warum sich da was geändert hat. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 26. März 2021 Melden Teilen Geschrieben 26. März 2021 Ich tippe auf adminsdholder. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 26. März 2021 Melden Teilen Geschrieben 26. März 2021 Nope, das ist sehr unwahrscheinlich, dass das auf der Ebene fehlkonfiguriert ist. Da muss irgendwas anderes schief hängen. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 26. März 2021 Melden Teilen Geschrieben 26. März 2021 Sonst kenne ich noch misslungene Versuche das AD zu härten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.