NorbertFe 2.061 Geschrieben 15. Juli 2022 Melden Teilen Geschrieben 15. Juli 2022 vor 7 Minuten schrieb LukiHoer: Dann weißt du ganz Sicher ob der Exchange selbst daran schuld ist. Nicht, wenn weitere User Zugriff auf das Postfach haben. Dazu braucht man kein Kennwort des Postfachs. Zitieren Link zu diesem Kommentar
massaraksch 41 Geschrieben 16. Juli 2022 Melden Teilen Geschrieben 16. Juli 2022 (bearbeitet) Am 14.7.2022 um 16:34 schrieb Vinc211: Okay jetzt muss ich den Prozess finden der diese Mails direkt purged. hmm Ich zitiere mich: Falls das alles nichts bringt, könnte man evtl. mal das Audit-Logging für diese Mailbox aktivieren (Erlaubnis einholen!) und nach dem nächsten "Verschwinden" einer Mail das Postfach-Log anschauen. Aktivieren oder Deaktivieren der Überwachungsprotokollierung für ein Postfach | Microsoft Docs Im Audit-Log kann man sehen, wer (Owner, Delegate) wann was gemacht hat (Move, SoftDelete, HardDelete usw.). User, Aktion, Zugriffsprotokoll, Client-Version, ClientIP usw. sind darin ersichtlich. Search-MailboxAuditLog (ExchangePowerShell) | Microsoft Docs Natürlich wird erst ab dem Aktivierungszeitpunkt protokolliert. Man muß also das nächste "Vorkommnis" abwarten. Manchmal sind es amoklaufende Smartphones (ActiveSync). Mein letzter ähnlicher "Fall" war der private Mac eines "Cheffe" (Apple Mail, also EWS). bearbeitet 16. Juli 2022 von massaraksch 1 Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 18. Juli 2022 Autor Melden Teilen Geschrieben 18. Juli 2022 Im EAC ist kein Gerät unter "mobile Geräte" eingetragen. IMAP und POP3 sind deaktiviert. Nur Mapi ist aktiviert. Im Outlook des Users sind keine weiteren Regeln zu finden. Neue Erkenntnisse: Die Mails die ich am Donnerstag vom Scanner an das Postfach geschickt habe sind heute wieder nur unter "gelöschte Elemente wiederherstellen" zu finden. Neue Mails vom Scanner werden ebenfalls direkt wieder dorthin geleitet. Also als wenn eine Postfach-Regel das ganze Postfach durchsucht und die Mails wieder verschiebt. Audit-log werde ich nun testen. Zitieren Link zu diesem Kommentar
mikro 68 Geschrieben 19. Juli 2022 Melden Teilen Geschrieben 19. Juli 2022 Hast Du auch obwohl man vielleicht keine Regeln angezeigt bekommen Outlook mal mit den Schaltern outlook /cleanserverrules, cleanclientrules oder /cleanrules gestartet? mikro Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 22. Juli 2022 Autor Melden Teilen Geschrieben 22. Juli 2022 /cleanrules hatte keinen effekt. Problem besteht immernoch. Aktuell habe ich versucht das audit log zu aktivieren und bin dann darüber gestolpert das dies nicht auf Deutschen Servern funktioniert. Zitat http://cloudexchangers.com/search-mailboxauditlogs-issue-in-exchange-2019/ Ist dies korrekt oder mach ich etwas falsch. Get-Mailbox user@domain.de | Format-List Audit* sagt es ist aktiviert, aber mit search-mailboxauditlog bekomme ich keine ergebnisse. Zitieren Link zu diesem Kommentar
massaraksch 41 Geschrieben 22. Juli 2022 Melden Teilen Geschrieben 22. Juli 2022 (bearbeitet) Hi, ja, da kann es wohl Probleme geben. Hab ich hier schon mal geschrieben: Aber bevor du dich mit den Language-Settings rumschlägst, solltest du erstmal prüfen, ob die nötigen Dienste laufen: Get-Service *compliance* Status Name DisplayName ------ ---- ----------- Running MSComplianceAudit Microsoft Exchange Compliance Audit Running MSExchangeCompl... Microsoft Exchange Compliance Service Die waren bei mir mal aus, obwohl die auf "automatisch" stehen. bearbeitet 22. Juli 2022 von massaraksch Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 22. Juli 2022 Autor Melden Teilen Geschrieben 22. Juli 2022 [PS] C:\Windows\system32>Search-MailboxAuditLog -Identity user@domain.de -LogonTypes Admin,Delegate -StartDate "07/20/2022" -EndDate $Today -ResultSize 2000 RunspaceId : 3affaba8-176c-4121-85c1-7111d0c8bf5b MailboxGuid : a9741d88-d112-4861-b112-ce71a054aa0f MailboxResolvedOwnerName : username LastAccessed : 22.07.2022 12:04:08 Identity : domain/MyBusiness/Users/business/username IsValid : True ObjectState : New okay. soweit bin ich gekommen. ich sehe auch unter Get-Mailbox user@domain.de | Get-MailboxFolderStatistics -FolderScope RecoverableItems | fl name,foldersize das ein Ordner mit Audtis hinzugefügt wurde und jetzt 35Kb hat. Es sieht einfach noch nicht korrekt aus. Wirklich sehr ungeil von MS aber was hab ich erwartet. Zitieren Link zu diesem Kommentar
massaraksch 41 Geschrieben 22. Juli 2022 Melden Teilen Geschrieben 22. Juli 2022 Laß bei deinem Search-Befehl die unnötigen Einschränkungen weg und verwende den (wichtigsten) Parameter -ShowDetails Mit -LogonTypes Admin,Delegate schließt du den angemeldeten User (Owner) selbst aus. Also laß den -logontypes am besten weg (bedeutet: alle). Also grundsätzlich sowas: Search-MailboxAuditLog mustermann -ShowDetails | ogv (mit | ogv wirfst du das in ein GridView, da hat man eine schöne Tabelle zum filtern/suchen) Mit | select kannst du die Masse der Details einschränken. Ich lasse mir immer folgende Details ausgeben (hab ich bei mir in einer Function verpackt, weil ich das ab und zu brauche). Search-MailboxAuditLog POSTFACH -ShowDetails -startdate XXX -enddate YYY | select LastAccessed,MailboxOwnerUPN,LogonUserDisplayName,LogonType,Operation,OperationResult,FolderPathName,SourceItemFolderPathNamesList,SourceFolderPathNamesList,SourceItemSubjectsList,ItemSubject,DestFolderPathName,FolderName,ClientInfoString,ClientIPAddress,ClientProcessName,ClientVersion,CrossMailboxOperation,DestMailboxOwnerUPN,DestMailboxOwnerSid,DestMailboxGuid,ObjectState | ogv 1 1 Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 26. Juli 2022 Autor Melden Teilen Geschrieben 26. Juli 2022 Ich habe nun Exchange 2019 auf CU12 geupdated da ich gelesen habe das dies die MailboxAudit Probleme beheben soll. Den Befehl den @massaraksch vorgeschlagen hat konnte ich auch nun erfolgreich ausführen und bekomme folgende Ausgabe: Leider ist dort nicht mit HardDelete in zusammenhang mit Emails zu sehen. Ich habe meine Testmail um 10:11 geschickt und diese wird dort nicht aufgeführt. Ich habe mir das Postfach wie gesagt verbunden und kann sehen wie die Mail ankommt und direkt wieder verschwindet. Noch eine Idee? Generell dachte ich man sieht mehr im Auditlog, bzw. alle aktionen. Hab ich wieder was falsch eingestellt? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 26. Juli 2022 Melden Teilen Geschrieben 26. Juli 2022 Wird auf das PF mit Exchange Web Services zugegriffen? Mobile Geräte kommen nicht in Frage für den Fehler? Zitieren Link zu diesem Kommentar
LukiHoer 2 Geschrieben 26. Juli 2022 Melden Teilen Geschrieben 26. Juli 2022 Sunny61... das hatte ich auch schonmal geschrieben... wurde aber überlesen oder so. Benutzerkennwort ändern, per Shell nach Berechtigungen (Postfach UND Ordnerberechtigung) schauen und löschen (auch deine auf das Postfach) Und dann mal per OWA schauen. Dann weißt du ob es ein Client ist oder am Server etwas schief geht. So wie ich das verstehe ist das Problem ja einfach reproduzierbar. Wenn es ein Client ist wovon auszugehen ist, dann per Ausschlussverfahren die Clients wieder ans Postfach lassen. Das alles ist höchstwahrscheinlich 10x weniger Arbeit als mit den Audit-Logs. Sofern man damit noch keine Erfahrung gemacht hat. Zitieren Link zu diesem Kommentar
massaraksch 41 Geschrieben 26. Juli 2022 Melden Teilen Geschrieben 26. Juli 2022 (bearbeitet) Wie hast du denn die Audit-Einstellungen bei dem Postfach konfiguriert? Standardmäßig wird da nicht alles protokolliert (speziell für den Owner nicht). Get-Mailbox POSTFACH | select *audit* SoftDelete, HardDelete, Move sind da IMHO erstmal gar nicht drin. Die zu überwachenden Vorgänge muß man dann erstmal selbst aktivieren, z.B. Set-Mailbox POSTFACH -AuditOwner Move,MoveToDeletedItems,SoftDelete,HardDelete usw. Die Konfig für Auditing ist halt nicht ganz trivial, deshalb hatte ich auch die Doku verlinkt. Also: https://docs.microsoft.com/de-de/exchange/policy-and-compliance/mailbox-audit-logging/enable-or-disable?view=exchserver-2019#configure-mailbox-audit-logging-settings-for-administrator-delegate-and-owner-access bearbeitet 26. Juli 2022 von massaraksch Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 28. Juli 2022 Autor Melden Teilen Geschrieben 28. Juli 2022 Am 26.7.2022 um 13:20 schrieb Sunny61: Wird auf das PF mit Exchange Web Services zugegriffen? Mobile Geräte kommen nicht in Frage für den Fehler? Exchange Web Services nein und Mobile Geräte werden im EAC auch nicht angezeigt. Kein Firmenhandy etc vorhanden. Nur ein Laptop. Wenn der Laptop aus und ist Outlook nicht angemeldet bleibt die Mail im Postfach. Also muss es ein Client ereigniss sein. Outlook mit /cleanrules /cleanserverrules und /cleanclientrules zu starten hatte nur keinen Erfolg (Es sind keine Regeln vorhanden gewesen nach Neustart) Das Auditlog habe ich mit der Anleitung korrekt eingestellt. Trotzdem nur die Erkenntnisse die ich gezeigt habe. AuditEnabled : True AuditLogAgeLimit : 90.00:00:00 AuditAdmin : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendOnBehalf, Create, UpdateFolderPermissions, UpdateInboxRules, UpdateCalendarDelegation} AuditDelegate : {Update, SoftDelete, HardDelete, SendAs, Create, UpdateFolderPermissions, UpdateInboxRules} AuditOwner : {Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, UpdateFolderPermissions, UpdateInboxRules, UpdateCalendarDelegation} Ich werd Outlook jetzt neu installieren. Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 29. Juli 2022 Autor Melden Teilen Geschrieben 29. Juli 2022 Habe erstmal eine Reparatur von Office 2019 versucht und alle Datein aus den Appdata/Local und Roaming Ordnern zu Outlook gelöscht ohne erfolg. Die Mails sind so lange im Postfach und auch in OWA zu sehen, bis die Person sich am Outlook 2019 Client anmeldet. Also muss eine Regel die nicht sichtbar ist für das löschen verantwortlich sein. Server Seite ist auszuschließen. Im nächsten Schritt wird Office 2019 deinstalliert und Office2021 installiert. Zitieren Link zu diesem Kommentar
massaraksch 41 Geschrieben 30. Juli 2022 Melden Teilen Geschrieben 30. Juli 2022 Evtl. noch die Junk-E-Mail Konfig? -> Junk-E-Mail endgültig löschen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.