none
Exchange Server 2016 CU20 - Postfacherstellung führt zu Fehler "500 Unerwarteter Fehler" RRS feed

 > 

  • Frage

  • Question
    Anmelden
    1
    Anmelden

    Hallo zusammen,

    wir haben bei uns Exchange Server 2016 im Einsatz und auch zeitnah die Security Patche beim CU19 installiert. Auch nach mehreren Prüfungen mit den bekannten Skripten und manueller Kontrolle sind keine Befunde sichtbar geworden.

    Am Sonntagabend habe ich angefangen auf unseren Servern das CU20 zu installieren und war gestern fertig.

    Nun habe ich aus unserem First Level Meldungen erhalten, das beim Versuch des Erstellens eines Postfaches (EAC > Empfänger > Postfächer > + Symbol > Benutzerpostfach) ein 500 Fehler kommt. Der Fehler tritt bei der globalen Adresse auf (welche auf unseren Loadbalancer zeigt exchange.domain.de) und auch wenn die URL direkt von den Exchange Servern aufgerufen wird.

    In den Logs konnte ich erstmal nichts finden und es betrifft nur unser First Level alle Exchange Admins haben diese Meldung nicht.


    MfG Paul


    Hier die Rollen der First Level Kollegen bzw. welche in der entsprechenden AD-Gruppe enthalten ist.


    Update:

    Über die Exchange Management Shell können die Benutzer die Postfächer erstellen also liegt es nicht an den Rechten.

    Enable-Mailbox -DomainController DC01 -Identity 'Test' -Alias 'Test -Database 'DB-01' -AddressBookPolicy 'Adressbuchrichtlinie'
Set-CASMailbox -DomainController DC01 -Identity 'Test' -ActiveSyncEnabled $false -PopEnabled $false -ImapEnabled $false


    • Bearbeitet Lexxitus Dienstag, 23. März 2021 12:31
    Dienstag, 23. März 2021 09:40
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Ursache gefunden.


    Wir haben bei uns einige Kollegen die nur für bestimmte Kunden zuständig sind und somit auch unterschiedliche Exchange-ADM Rollen.
    Diesen Rollen ist bisher neben einen definierten Schreibbereich im AD auch die folgenden Exchange Rollen zugewiesen worden was bis zum CU20 ausgereicht hat.
    1. View-Only Recipients
    2. Distribution Groups
    3. Mail Recipient Creation
    4. Mail Recipients

    Nun nach dem CU20 kam ja der 500er Fehler und auch in meiner Testumgebung gab es diesen Fehler und die Lösung war eine Exchange Rolle die nun zusätzlich zugewiesen werden musste.
    5. View-Only Configuration

    Jetzt kommt auch kein Fehler mehr aber leider sehen jetzt die Kollegen viel mehr als vorher im EAC aber können zum Glück nichts verändern :-)

    Vielleicht hat jemand die Erklärung warum das ab dem CU20 sich geändert haben könnte.

    MfG Paul







    • Als Antwort markiert Lexxitus Dienstag, 23. März 2021 21:21
    • Bearbeitet Lexxitus Dienstag, 23. März 2021 21:46
    Dienstag, 23. März 2021 21:21
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo, Lexxitus

    Da ich nicht sicher bin, ob Du dies bereits überprüft hast, schlage ich Dir vor, die Bindungen und Berech-tigungen in IIS zu überprüfen. Du kannst auch auf diese KB verweisen: (Nach der Anmeldung von EAC oder OWA in Exchange 2013 oder Exchange 2016 wird eine leere Seite angezeigt).

    Eine weitere Ursache, die Exchange Server zu einem unerwarteten 500-Fehler führt, könnte sein, dass die First Level Mitglieder, in zu vielen Gruppen vorhanden sind, und den Fehler möglicherweise erhalten, da die generierte Token Größe möglicherweise größer sein kann als die ihnen zugewiesene maximale Größe. Um die maximale Token Größe zu bestimmen, die dem Benutzer zugewiesen wurde, verwende das von Microsoft bereitgestellte Tool: Tokensz.exe. Standardmäßig wurde die maximale Token Größe - 8.000 Bytes (für die älteren Versionen zugewiesen); für die späteren Versionen wurde die Token Größe jedoch auf 12.000 Byte erhöht.

    Das Skript, das unter dem folgenden Link bereitgestellt wird, zählt alle Benutzerkonten in einer Domäne auf, berechnet deren geschätzte Token Größe und erstellt einen Bericht im CSV-Format.

    Get-TokenSizeReport.ps1

    Grüße,

    Mihaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 23. März 2021 18:51
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Es ist definitiv nicht das Token denn in meiner Testumgebung kann ich das ebenfalls nachstellen. Hat ein Benutzer die oben genannten Exchange Rollen bekommt er den Fehler. Gebe ich dem Anwender aber das volle Exchange Paket an Rechten (siehe Bild) klappt der Zugriff ohne Fehler und der Anwender hat wirklich wenige Gruppen.


    • Bearbeitet Lexxitus Dienstag, 23. März 2021 20:29
    Dienstag, 23. März 2021 20:27
    |
  • Question
    Anmelden
    2
    Anmelden

    Ursache gefunden.


    Wir haben bei uns einige Kollegen die nur für bestimmte Kunden zuständig sind und somit auch unterschiedliche Exchange-ADM Rollen.
    Diesen Rollen ist bisher neben einen definierten Schreibbereich im AD auch die folgenden Exchange Rollen zugewiesen worden was bis zum CU20 ausgereicht hat.
    1. View-Only Recipients
    2. Distribution Groups
    3. Mail Recipient Creation
    4. Mail Recipients

    Nun nach dem CU20 kam ja der 500er Fehler und auch in meiner Testumgebung gab es diesen Fehler und die Lösung war eine Exchange Rolle die nun zusätzlich zugewiesen werden musste.
    5. View-Only Configuration

    Jetzt kommt auch kein Fehler mehr aber leider sehen jetzt die Kollegen viel mehr als vorher im EAC aber können zum Glück nichts verändern :-)

    Vielleicht hat jemand die Erklärung warum das ab dem CU20 sich geändert haben könnte.

    MfG Paul







    • Als Antwort markiert Lexxitus Dienstag, 23. März 2021 21:21
    • Bearbeitet Lexxitus Dienstag, 23. März 2021 21:46
    Dienstag, 23. März 2021 21:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Vielleicht hat jemand die Erklärung warum das ab dem CU20 sich geändert haben könnte.

    An einer solchen wären wir auch sehr interessiert - noch mehr allerdings, wie sich die Funktionalität ohne weitere Rollengruppen-Zuweisung wiederherstellen lässt.

    In unserem Fall Exchange 2019 CU9 - sonst aber identisch mit dem beschriebenen Verhalten.

    Freitag, 26. März 2021 16:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Ungünstig ist jetz auch das die Kollegen aus dem First-Level die Organistations Einstellungen einsehen können und das hatte ich damals bewusst unterbinden wollen. Sie sollen ja nur das sehen was Sie benötigen und dazu gehörigen bspw. nicht alle Org-Konfigurationen.

    Ps.: Wir haben bei uns das "Shared permission Model"

    Sonntag, 28. März 2021 14:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Ungünstig ist jetz auch das die Kollegen aus dem First-Level die Organistations Einstellungen einsehen können und das hatte ich damals bewusst unterbinden wollen. Sie sollen ja nur das sehen was Sie benötigen und dazu gehörigen bspw. nicht alle Org-Konfigurationen.

    Ps.: Wir haben bei uns das "Shared permission Model"

    Ist wohl inzwischen "under investigation":
    https://support.microsoft.com/en-us/topic/-500-unexpected-error-when-trying-to-create-a-user-mailbox-in-ecp-294a1203-5a83-4224-8728-b2bc364c0a30

    Der zweite dort vorgeschlagene Workaround, kommt unserer ursprünglichen Konfiguration am nächsten.

    - neue Management-Rolle mit lediglich der view only Berechtigung "Get-RemoteDomain" anlegen

    - die den vorhandenen Mailbox Admin Rollengruppen (oder Personen, oder Sec-Groups) zuweisen

    In der ECP ist dadurch gegenüber unserer ursprünglichen Konfig nicht mehr sichtbar als sein soll.


    Montag, 19. April 2021 16:35
    |