none
Öffentliche Ordner empfangen keine Mails von Intern RRS feed

  • Frage

  • Seit Freitag haben wir folgendes Problem. Die PF empfangen keine Mail mehr von internen Mailadressen. Wenn ich eine Mail von außerhalb der Organisation schicke, dann landet die entsprechen Mail im PF.

    Folgende Fehlermeldung wird erzeugt:

     

    Diagnoseinformationen für Administratoren:

    Generierender Server: hubserver.fqdn

    Mailadrese des PF

    #554 5.2.0 STOREDRV.Deliver.Exception:AccessDeniedException.MapiExceptionNotAuthorized; Failed to process message due to a permanent exception with message Cannot complete delivery-time processing.

     

     

    Wir haben vor 2 Wochen den ersten 2003er Exchange aus der Organisation entfernt. Den entsprechenden Container haben wir mit ADSIEdit aber bisher noch nicht gelöscht. Einen weiteren 2003 Server gibt es in der Organisation noch. Dieser befindet sich aber in einer anderen administrativen Gruppe. Der noch vorhanden 2003 hält aber keine Postfächer oder PF mehr. Die Datenbanken sind aber noch vorhanden, nur eben leer.

    Gruß

    Jörg

    Sonntag, 3. Oktober 2010 15:11

Antworten

  • Kleines Statusupdate.

    Irgendwie scheint das Problem/Phänomen nur bei meinem normalen und Admin User aufzutreten. Bei meinem Testuser klappt alles soweit, auch bei anderen Kollegen sind keine Probleme vorhanden. 

    Denke mal das Problem ist dann eher "meins" als ein generelles und wir können den Thread schließen. 

    Dienstag, 5. Oktober 2010 11:01

Alle Antworten

  • Moin,

    Seit Freitag haben wir folgendes Problem. Die PF empfangen keine Mail mehr von internen Mailadressen. Wenn ich eine Mail von außerhalb der Organisation schicke, dann landet die entsprechen Mail im PF.

    Folgende Fehlermeldung wird erzeugt:

     

    Diagnoseinformationen für Administratoren:

    Generierender Server: hubserver.fqdn

    Mailadrese des PF

    #554 5.2.0 STOREDRV.Deliver.Exception:AccessDeniedException.MapiExceptionNotAuthorized; Failed to process message due to a permanent exception with message Cannot complete delivery-time processing.

    Und, wirklich mal die Berechtigungen geprüft? ;)

    Mails von außen, die in einen PF gesendet werden sollen, brauchen
    normalerweise ein Schreibrecht für "Anonyme Anmeldung".

    Mails von User intern dagegen brauchen mind. Stufe 4 für die betreffenden
    Benutzer oder Gruppen.

    Wir haben vor 2 Wochen den ersten 2003er Exchange aus der Organisation entfernt. Den entsprechenden Container haben wir mit ADSIEdit aber bisher noch nicht gelöscht. Einen weiteren 2003 Server gibt es in der Organisation noch. Dieser befindet sich aber in einer anderen administrativen Gruppe. Der noch vorhanden 2003 hält aber keine Postfächer oder PF mehr. Die Datenbanken sind aber noch vorhanden, nur eben leer.

    Bitte niemals was in ADSIEDIT löschen, von dem ihr nicht genau wisst, dass
    es gelöscht werden muss. In Exchange gibt es viele Verdrahtungen, die nicht
    auf den ersten Blick erkennbar sind.

    Bitte nicht die alte Admingruppe löschen, sonst gehen die öffentlichen
    Ordner eventuell nicht mehr. Nach der Deinstallation des letzten Ex2003
    einfach die Gruppe im AD in Ruhe lassen.

    Siehe auch hier:
    http://technet.microsoft.com/en-us/library/bb288905%28EXCHG.80%29.aspx

    "Microsoft recommends that you do not remove the original Administrative
    groups from an organization."


    Grüße aus Berlin schickt Robert MVP Exchange Server
    Sonntag, 3. Oktober 2010 18:06
  • Nee die Admingruppe wollte ich auch nicht löschen, nur den leeren Server Container unterhalb der Admingruppe.

    Und ja, Berechtigungen wurden geprüft, zwar nicht alle, aber zumindest stichpunktartig. Das merkwürdige ist ja auch das es bis Freitag eigentlich funktioniert hat. Das einzige was sich geändert hat, ist das wir einen PF löschen mußten und ihn dann später unter gleichem Namen wieder angelegt haben. 

    Gruß

    Jörg

    Edit: Hmm bei einem Kollegen funktioniert es anscheinend. Morgen nochmal weiter forschen.

    Sonntag, 3. Oktober 2010 18:14
  • Hi Joerg,

    betrifft es auch neue PFs?

    Und ja, Berechtigungen wurden geprüft, zwar nicht alle, aber zumindest stichpunktartig. Das merkwürdige ist ja auch das es bis Freitag eigentlich funktioniert hat. Das einzige was sich geändert hat, ist das wir einen PF löschen mußten und ihn dann später unter gleichem Namen wieder angelegt haben. 

    Dann lösch den leeren Server Container:
    "For these reasons, our recommended workaround for the public folder
    replication issue is to delete the empty Servers container using ADSI Edit."
    http://msexchangeteam.com/archive/2010/05/05/454821.aspx

    siehe auch:
    http://get-exchange.blogspot.com/2009/11/public-folder-mayhem-exchange-2010.html

    Viele Grüße
    Christian

    Sonntag, 3. Oktober 2010 19:34
    Moderator
  • @Christian: Wenn ich das richtig verstanden haben, gibt es noch andere
    Server mit 2003, dann darf natürlich der Server-Container noch nicht
    gelöscht werden (diese "Fehlbedinung" mit ADSIEDIT zeige ich sehr gerne
    meinen Kunden in der Textumgebung -> Exchange weg in 2 Sekunden).

    @Jörg: Ok, Dann vergleiche mal den User, bei dem es klappt mit anderen.
    Eventuell wurden Gruppenmitgliedschaften verändert?

    Und wenn das Problem bleibt, genau überlegen, was geändert wurde. Und wenn
    die Antwort "nichts" lautet, bitte überlegen, was genau "nicht" geändert
    wurde. ;) Jede Kleinigkeit kann wichtig sein (z.B. das Ende der Woche
    out-of-band-Updates für einen möglichen ASP.NET-Angriff veröffentlicht
    wurden!).


    Grüße aus Berlin schickt Robert MVP Exchange Server
    Sonntag, 3. Oktober 2010 19:57
  • Hi Robert,

    @Christian: Wenn ich das richtig verstanden haben, gibt es noch andere
    Server mit 2003, dann darf natürlich der Server-Container noch nicht
    gelöscht werden (diese "Fehlbedinung" mit ADSIEDIT zeige ich sehr gerne
    meinen Kunden in der Textumgebung -> Exchange weg in 2 Sekunden).

    Es ging doch nur um den leeren Servercontainer des nicht mehr vorhandenen
    Servers - nicht um den Container "CN=Servers" an sich...

    Viele Grüße
    Christian

    Montag, 4. Oktober 2010 06:42
    Moderator
  • Ah, wenn aber sogar ich Dich falschverstehe, dann ist die Gefahr bei
    jemanden, der nicht per Du mit ADSIEDIT ist, noch größer...

    Also, um das klarzustellen:
     - nicht den Container "CN=Servers" löschen -> wenn überhaupt erst nach
    Ende der Migration
     - löschen des Containers, der sich eine Ebene darunter befindet und so wie
    der alte Exchange-Server heißt


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 4. Oktober 2010 06:46
  • Hi Robert, > Ah, wenn aber sogar ich Dich falschverstehe, dann ist die Gefahr bei > jemanden, der nicht per Du mit ADSIEDIT ist, noch größer... > > Also, um das klarzustellen: >  - nicht den Container "CN=Servers" löschen -> wenn überhaupt erst nach > Ende der Migration >  - löschen des Containers, der sich eine Ebene darunter befindet und so wie > der alte Exchange-Server heißt Danke für die Klarstellung! Mal schauen was Joerg meinte - ich hatte folgendes so verstanden, dass er den leeren Container bereits lokalisiert hatte: >> Wir haben vor 2 Wochen den ersten 2003er Exchange aus der Organisation >> entfernt. Den entsprechenden Container haben wir mit ADSIEdit aber bisher >> noch nicht gelöscht. Einen weiteren 2003 Server gibt es in der Organisation >> noch. Was ist denn jetzt leer? Viele Grüße Christian
    Montag, 4. Oktober 2010 07:39
    Moderator
  • Oki, damit es keine Missverständnisse gibt ;>

    2 alte Administrative Gruppen. Der Server unter der 2ten administrativen Gruppe wurde normal deinstalliert. Der Server Container selbst ist leer, dort sieht man keinen Exchange Server mehr. In der "ersten" administrativen Gruppe ist noch ein 2003er Exchange Server vorhanden. Somit sieht  man unter dem Server Container natürlich noch den 2003er Server. Wenn man den letzten 2003er Server deinstalliert hat, dann soll/muss man ja per ADSIEdit die komplett leeren Server Container löschen. Kann/muss ich den Server Container auch unter den administrativen Gruppe löschen wo es schon keinen 2003er Server mehr gibt, aber ich trotzdem noch in einer anderen administrativen Gruppe einen 2003er habe.

    Gruß

    Jörg

    Montag, 4. Oktober 2010 09:48
  • Kleines Statusupdate.

    Irgendwie scheint das Problem/Phänomen nur bei meinem normalen und Admin User aufzutreten. Bei meinem Testuser klappt alles soweit, auch bei anderen Kollegen sind keine Probleme vorhanden. 

    Denke mal das Problem ist dann eher "meins" als ein generelles und wir können den Thread schließen. 

    Dienstag, 5. Oktober 2010 11:01
  • Hi Joerg,

    also dann prüf die ACL nochmal und gibt dir sonst mal explizite Rechte:
    http://exchangeserverpro.com/causes-of-mapiexceptionnotauthorized-error-sending-to-public-folders

    Kannst du auch mit PFDavAdmin (2007) oder Exfolders (2010). Da der Exchange
    Rechte cached, kann es zwei Stunden dauern, bis diese umgesetzt werden. Mit
    einem Neustart der PFDB sollte es schneller gehen... 
    Viele Grüße
    Christian

    Dienstag, 5. Oktober 2010 11:16
    Moderator
  • Den Artikel hatte ich schon gesehen, ich bin auch Member eine Gruppe die genügend Rechte auf den PF hat. Der eine Kollege der verschicken kann ist halt ebenfalls Mitglied dieser Gruppe. Habe mich auch schon aus der Gruppe rausgenommen, erneut angemeldet, wieder in die Gruppe rein, nochmals neu angemeldet und es hilft alles nix ;>. Das Caching der Rechte haben wir schon runtergesetzt, da es bei uns öfter vorkommt das die Benutzer temporär ein höheres Sendelimit brauchen.

    Naja ich schaue auf jeden Fall mal weiter. Da es nur mich betrifft ist das Problem jetzt nicht mehr so kritisch ;>

    Gruß

    Jörg

    Dienstag, 5. Oktober 2010 12:49
  • Hi Joerg,

    betrifft es denn alle oder nur einige Ordner? Vielleicht ist die ACL
    beschädigt...

    Viele Grüße
    Christian

    Dienstag, 5. Oktober 2010 13:19
    Moderator
  • Soweit ich das Überblicke betrifft es  alle PF.
    Dienstag, 5. Oktober 2010 13:58
  • Hallo,

    Ich tippe auf fehlende Permissions für User Annonymous bei "Mail Enabled Public Folders". Dieser muss das Recht "Objekte Erstellen" haben. Siehe dazu einen Beitrag von uns. Wir das Security Technisch dann aussieht begreife ich immer noch nicht. Ein Virus könnte an sich den PF füllen? Richtig? Würde dieser an das Offline Adressbuch rankommen?

    http://www.butsch.ch/post/Exchange-2010-Public-Folder-Mail-activated-Permissions-needed.aspx

     

     Gruss aus der Schweiz


    Montag, 12. Dezember 2011 11:35
  • Hallo zusammen,

    Jörg und ich sind gestern (!) hinter dieses Phänomen gekommen und ich dachte, vielleicht stößt jemand beim googeln darauf:

    In unserer Organisation gibt es ein paar Gruppen, die Berechtigungen auf die PKI haben. Damit niemand damit herumspielt, sind sie in einer speziellen OU mit sehr restriktiven Berechtigungen, u.a. haben die Exchange Server keinen Zugriff darauf. Sobald wir einen User in eine dieser Gruppen stecken, kann er keine Mails mehr an öffentliche Ordner senden mit obiger Fehlermeldung. Offenbar durchsucht Exchange bei einer solchen Aktion das gesamte AD auf Gruppen, um den User zu authentifizieren und wenn er dabei auf ein Objekt stößt, das er nicht lesen darf, bricht er einfach ab und verbietet die Zustellung.

    Ich hoffe, das hilft irgendjemandem weiter.

    Freitag, 20. Juli 2012 06:13