none
Exchange-Server 2013: MsExchange BackEndRehydration-Fehler RRS feed

  • Frage

  • Guten Morgen,

    ich bekomme bei jedem Start meines Exchange-Servers (Ex 2013 CU 6 auf Win Server 2012 R2) etliche MsExchange BackEndRehydration-Fehler und komme mit der Lösung nicht weiter. Hier einer der Fehler exemplarisch:

    Protocol /mapi/emsmdb failed to process request from identity NT-AUTORITÄT\SYSTEM. Exception: Microsoft.Exchange.Security.Authentication.BackendRehydrationException: Fehler bei Aktivierung. Grund: Der Quellserver 'NT-AUTORITÄT\SYSTEM' besitzt keine Berechtigung für die Tokenserialisierung.
       bei Microsoft.Exchange.Security.Authentication.BackendRehydrationModule.TryGetCommonAccessToken(HttpContext httpContext, Stopwatch stopwatch, CommonAccessToken& token)
       bei Microsoft.Exchange.Security.Authentication.BackendRehydrationModule.ProcessRequest(HttpContext httpContext)
       bei Microsoft.Exchange.Security.Authentication.BackendRehydrationModule.OnAuthenticateRequest(Object source, EventArgs args).

    Im Internet finde ich leider nichts zu dem Problem. Offenbar gibt es hier ein Berechtigungsproblem; aber was ist zu ändern? Ist es richtig, dass das Konto NT-AUTORITÄT\SYSTEM die Tokenserialisierung durchführt? Wenn nein, wo kann ich das einstellen? Und an welcher Stelle werden Rechte benötigt für die Tokenserialisierung?

    Kann es sein, dass hier ein AD-integriertes Konto verwendet werden sollte wegen dem Zugriff auf die AD-Topologie?

    Daniel

    Donnerstag, 5. Februar 2015 06:47

Antworten

  • Moin,

    grundsätzlich: Fehlermeldung, die beim Start eines Exchange-Servers auftauchen und die sich nach einer gewissen Zeit (15 Minuten) nicht wiederholen, kann man normalerweise ignorieren.

    Die Exchange-Dienste haben sehr viele Abhängigkeiten und während des Starts sind die oft noch nicht erfüllt. Besonders tritt das immer auf, wenn Exchange auf einem DC läuft.

    > Das mit der Koexistenz stimmt tatsächlich, in der Domäne befindet sich (noch) ein Exchange 2007 SP 3 Server. Gibt es da noch etwas Spezielles zu beachten?

    Exchange 2013 hat einen geänderten/neuen Mechanismus der "Identitätsübernahme", wenn Exchange als eine andere Identität auftreten muss.  Exchange Server brauchen die Berechtigung "ms-Exch-EPI-Token-Serialization" und die sind eventuell bei den alten Exchange nicht vergeben.

    Das tritt besonders bei OWA zu Tage, ist dann aber offen zu sehen. Könnte hier bei Dir in die Richtung gehen.

    > Das Computer-Konto ist der Rolle Domänencomputer zugewiesen sowie 4 Exchange-Verwaltungsrollen. Muss da noch ein Domain- oder Schema-Admin-Konto hinzugefügt werden?

    Nein, eben NICHT. Domain- oder Schema-Admin haben explizites "Verweigern" auf ms-Exch-EPI-Token-Serialization, d.h. diese Funktion wäre dann gar nicht möglich. Auch die alten Server dürfen nicht in dieserm Gruppen stecken (das habe ich öfter gesehen, bedingt meist durch komische Dritt-Anbieter).

    Hier kannst Du dazu was lesen:
    http://support.microsoft.com/kb/2898571/en


    Klingt vielleicht blöd, aber im Augenblick würde ich zu "Beobachten, aber nichts tun" neigen. Begründet durch "tritt vorallem beim Start auf" und "gibt später keine Probleme". Ich würde das aber nicht aus den Augen verlieren, falls doch irgendwo Komplikationen erscheinen.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 5. Februar 2015 10:57

Alle Antworten

  • Moin,

    tauchen die Fehlermeldungen nur beim Start auf, danach nicht mehr?

    Gibt es später irgendwelche Funktionseinschränkungen?

    Ist der Windows Server auch DC?

    Probleme mit Tokeserialisierung habe ich eigentlich nur in Ko-Existenz-Szenarien erlebt - ist da bei Euch noch 2010/2007 mit im Spiel?

    Ist das Computer-Konto des Exchange irgendwelchen besonderen Gruppen zugeordnet, insbesondere Domain Admins, Schema Admins, Enterprise Admins oder Organization Management?


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 5. Februar 2015 09:16
  • Moin,

    die Fehler tauchen vorwiegend beim Start auf, danach nur sporadisch mal hier und da. Ein System ist da nicht erkennbar... Funktionseinschränkungen stelle ich nicht fest.

    Der Server ist ausschließlich für Exchange da, die beiden DC sind separat.

    Das mit der Koexistenz stimmt tatsächlich, in der Domäne befindet sich (noch) ein Exchange 2007 SP 3 Server. Gibt es da noch etwas Spezielles zu beachten?

    Das Computer-Konto ist der Rolle Domänencomputer zugewiesen sowie 4 Exchange-Verwaltungsrollen. Muss da noch ein Domain- oder Schema-Admin-Konto hinzugefügt werden?

    Danke schonmal!

    Donnerstag, 5. Februar 2015 10:13
  • Moin,

    grundsätzlich: Fehlermeldung, die beim Start eines Exchange-Servers auftauchen und die sich nach einer gewissen Zeit (15 Minuten) nicht wiederholen, kann man normalerweise ignorieren.

    Die Exchange-Dienste haben sehr viele Abhängigkeiten und während des Starts sind die oft noch nicht erfüllt. Besonders tritt das immer auf, wenn Exchange auf einem DC läuft.

    > Das mit der Koexistenz stimmt tatsächlich, in der Domäne befindet sich (noch) ein Exchange 2007 SP 3 Server. Gibt es da noch etwas Spezielles zu beachten?

    Exchange 2013 hat einen geänderten/neuen Mechanismus der "Identitätsübernahme", wenn Exchange als eine andere Identität auftreten muss.  Exchange Server brauchen die Berechtigung "ms-Exch-EPI-Token-Serialization" und die sind eventuell bei den alten Exchange nicht vergeben.

    Das tritt besonders bei OWA zu Tage, ist dann aber offen zu sehen. Könnte hier bei Dir in die Richtung gehen.

    > Das Computer-Konto ist der Rolle Domänencomputer zugewiesen sowie 4 Exchange-Verwaltungsrollen. Muss da noch ein Domain- oder Schema-Admin-Konto hinzugefügt werden?

    Nein, eben NICHT. Domain- oder Schema-Admin haben explizites "Verweigern" auf ms-Exch-EPI-Token-Serialization, d.h. diese Funktion wäre dann gar nicht möglich. Auch die alten Server dürfen nicht in dieserm Gruppen stecken (das habe ich öfter gesehen, bedingt meist durch komische Dritt-Anbieter).

    Hier kannst Du dazu was lesen:
    http://support.microsoft.com/kb/2898571/en


    Klingt vielleicht blöd, aber im Augenblick würde ich zu "Beobachten, aber nichts tun" neigen. Begründet durch "tritt vorallem beim Start auf" und "gibt später keine Probleme". Ich würde das aber nicht aus den Augen verlieren, falls doch irgendwo Komplikationen erscheinen.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 5. Februar 2015 10:57