locked
Exchange 2016 keine AD Rechte

    Frage

  • Liebe Exchange Gemeinde,

    ich habe vor ein paar Wochen eine neue AD aufgesetzt und alles gut. Letzte Woche habe ich auf einen Hyper V den Exchange 2016 in Netz installaiert und soweit auch alles ok.

    Wenn ich jetzt von der ECP Oberfläche einen Benutzer oder Gruppe oder öffentliche Ordner anlegen möchte bekomme ich diese Fehlermeldung:

    Fehler bei Active Directory-Vorgang mit DC01.XXXXX.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-03152857, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

    Ich habe mir die Sicherheits- und Rechteeinstellungen für den Admin Account (Erweiterte Sicherheitseinstellungen für XXX) in der AD angeschaut und auch die Vererbung aktiviert, bringt nix.

    Wer hat einen Tipp? Und wie finde ich den User zu der DSID-03152857?

    Im Vorraus schon mal Danke

    Andreas

    Montag, 19. März 2018 09:48

Alle Antworten

  • Moin,

    es geht nicht um das Admin-Konto, sondern um das Maschinenkonto des Exchangeservers. Mach mal die Domänenvorbereitung nochmal, direkt auf dem DC, an der CMD-Konsole (nicht PowerShell) mit erhöhten Rechten.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 19. März 2018 10:13
  • Du meinst bestimmt das hier.

    https://technet.microsoft.com/de-de/library/bb125224(v=exchg.160).aspx

    Spielt es eine Rolle, dass der Exchange schon installiert ist und läuft?

    Montag, 19. März 2018 10:52
  • Moin,

    ja, das meine ich

    nein, spielt keine Rolle

    Und kontrolliere nochmal, dass Dein User in einer Exchange-Rollengruppe (im Zwiefel, zum Testen: "Organization Management") ist, die das Gewünschte auch darf...


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 19. März 2018 11:12
  • Moin,

    ja, das mein Evgenij.

    Allerdings würde ich mich an Deiner Stelle lieber fragen, was Du in dem AD gemacht hast.

    In einem frischen AD mit einem frischen Exchange muss man schon ganz schon was verbasteln, um plötzlich keine Berechtigungen mehr zu haben.

    Entweder war das was von Anfang an verkehrt oder Du läufst Gefahr, dass Du aus Unwissenheit morgen das nächste Problem bekannst.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Montag, 19. März 2018 11:15
  • Moin,

    ja, das mein Evgenij.

    Allerdings würde ich mich an Deiner Stelle lieber fragen, was Du in dem AD gemacht hast.

    In einem frischen AD mit einem frischen Exchange muss man schon ganz schon was verbasteln, um plötzlich keine Berechtigungen mehr zu haben.

    Entweder war das was von Anfang an verkehrt oder Du läufst Gefahr, dass Du aus Unwissenheit morgen das nächste Problem bekannst.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Hallo Robert,von plötzlich kann keine Rede sein, nach der Exchange Installation hatte ich direkt keinen Zugriff.

    Montag, 19. März 2018 11:23
  • Das ist "plötzlich".

    Bei einem stinknormal installiertem AD funktioniert Exchange problemlos.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Montag, 19. März 2018 11:25
  • Ok, ich glaube den Fehler gefunden zu haben, es steht ein Neustart des DC an, was die Installationsroutine des Exchange nicht angemeckert hatte, ich fahre jetzt morgen zum Kunden raus und werde es Vorort klären.

    Ich melde mich morgen und ganz herzlichen Dank!

    Montag, 19. März 2018 12:09
  • Moin,

    ein reboot verweigert aber nicht den Zugriff.

    Was mich interessieren würde ist die genaue Exchange-Version.
    Du wärst nicht der erste, der aus Versehen mit RTM installiert hat statt mit dem aktuellen CU

    http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

    Weitere Frage - das OS ist in EN oder DE installiert?

    Hypervisor ist Hyper-V?

    Integrationsdienste aktuell?

    ;)


    Gruß Norbert

    Montag, 19. März 2018 13:12
    Moderator
  • Moin,

    ein reboot verweigert aber nicht den Zugriff.

    Was mich interessieren würde ist die genaue Exchange-Version.
    Du wärst nicht der erste, der aus Versehen mit RTM installiert hat statt mit dem aktuellen CU

    http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

    Weitere Frage - das OS ist in EN oder DE installiert?

    Hypervisor ist Hyper-V?

    Integrationsdienste aktuell?

    ;)


    Gruß Norbert

    Hallo Norbert,

    Der Hyper-V Host ist ein 2016 mit allen Updates und Patchs, der Exchange ist auch auf einen 2016 mit allen Updates und Patchs. Alle Systeme laufen auf deutsch.

    EXCH01 Standard Version 15.1 (Build 669.32)

    Major                     : 15
    Minor                     : 1
    Build                     : 669
    Revision                  : 32
    FilePatchLevelDescription :

    15.01.0669.032   15.01.0669.032   C:\Program Files\Microsoft\Exchange Server\V15\bin\ExSetup.exe

    Ich hoffe die Infos helfen dir.

    Montag, 19. März 2018 16:39
  • Moin,

    der Exchange hat CU4 und ist damit nicht supportet.

    Bitte ASAP auf das CU8 gehen, nächste Woche kommt schon das CU9 - in dem Zusammenhang auch gleich .NET 4.7.1 installieren.

    ;)


    Gruß Norbert

    Dienstag, 20. März 2018 07:07
    Moderator
  • der Exchange hat CU4 und ist damit nicht supportet.
    Ich finde es immer wieder interessant, wo die Leute so alte Exchange Versionen ausgraben. Die meisten beschweren sich darüber, dass sie bei Microsoft nicht mehr herunterladen kann und hier wird mal wieder einem Kunden so eine Schlamperei verkauft. :(

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 20. März 2018 07:40
  • der Exchange hat CU4 und ist damit nicht supportet.

    Ich finde es immer wieder interessant, wo die Leute so alte Exchange Versionen ausgraben. Die meisten beschweren sich darüber, dass sie bei Microsoft nicht mehr herunterladen kann und hier wird mal wieder einem Kunden so eine Schlamperei verkauft. :(

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)


    Vieleicht kurz erläutert wo her ich das Image habe, ich Ihr könnt es euch bestimmt schon denken. Die Lizenz wird beim Volume Licensing Service Center aktiviert und da gibt es die ISO´s zum Download. :-]
    Dienstag, 20. März 2018 12:36
  • Moin,

    der Exchange hat CU4 und ist damit nicht supportet.

    Bitte ASAP auf das CU8 gehen, nächste Woche kommt schon das CU9 - in dem Zusammenhang auch gleich .NET 4.7.1 installieren.

    ;)


    Gruß Norbert

    Hallo Norbert,

    empfiehlst du erst die AD Vorbereitung vorher noch mal zu machen und dann erst die CUs zu installieren oder direkt die CUs?

    LG

    Andreas

    Dienstag, 20. März 2018 12:38
  • Moin,

    in diesem speziellen Fall würde ich das über eine CMD machen.

    setup /pad

    Dann sieht man Fehler besser.

    Das übrigens mit dem CU8 aus dem gemounteten ISO, da der Server in DE ist , würde ich den Inhalt in einen temporären Ordner kopieren.

    Dann alle gleich das .NET und sofort nach dem reboot das CU8, start auch von einem CMD

    ;)

    PS: cmd immer ausführen als Administartor, und bitte mit dem Dom-Admin.
    Achtung, der boot nach dem .NET dauert.


    Gruß Norbert

    Dienstag, 20. März 2018 12:53
    Moderator
  • Vieleicht kurz erläutert wo her ich das Image habe, ich Ihr könnt es euch bestimmt schon denken. Die Lizenz wird beim Volume Licensing Service Center aktiviert und da gibt es die ISO´s zum Download. :-]

    Aber Du bist der Fachmann, den der Kunde bezahlt.

    Der Fachmann weiß beim VLSC zwei Dinge:

     - die Software dort ist immer veraltet und muss sofort gepatcht werden

     - die Software dort ist immer veraltet und von diversen Produkten gibt es im freien Download gleiche aktuelle Versionen und es braucht nur die Lizenz aus dem VLSC


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 20. März 2018 13:01
  • Vieleicht kurz erläutert wo her ich das Image habe, ich Ihr könnt es euch bestimmt schon denken. Die Lizenz wird beim Volume Licensing Service Center aktiviert und da gibt es die ISO´s zum Download. :-]

    Aber Du bist der Fachmann, den der Kunde bezahlt.

    Der Fachmann weiß beim VLSC zwei Dinge:

     - die Software dort ist immer veraltet und muss sofort gepatcht werden

     - die Software dort ist immer veraltet und von diversen Produkten gibt es im freien Download gleiche aktuelle Versionen und es braucht nur die Lizenz aus dem VLSC


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Ja ich bin der Fachmann. :-]

    Zugegeben ich habe bis jetzt nur Excahnges in Verbindung mit SBS betreut und dass ist erst meine zweite Lizenz über VLSC und die erste standalone Installation.

    Dienstag, 20. März 2018 13:08
  • Moin,

    in diesem speziellen Fall würde ich das über eine CMD machen.

    setup /pad

    Dann sieht man Fehler besser.

    Das übrigens mit dem CU8 aus dem gemounteten ISO, da der Server in DE ist , würde ich den Inhalt in einen temporären Ordner kopieren.

    Dann alle gleich das .NET und sofort nach dem reboot das CU8, start auch von einem CMD

    ;)

    PS: cmd immer ausführen als Administartor, und bitte mit dem Dom-Admin.
    Achtung, der boot nach dem .NET dauert.


    Gruß Norbert

    Ok Norbert, Termin ist auf Donnerstag verschoben worden, ich werde berichten wie es gelaufen ist.
    Dienstag, 20. März 2018 13:13
  • Am 20.03.2018 um 14:08 schrieb IT-LAS:
    Hi,

    Ja ich bin der Fachmann. :-]

    Zugegeben ich habe bis jetzt nur Excahnges in Verbindung mit SBS betreut und dass ist erst meine zweite Lizenz über VLSC und die erste standalone Installation.

    Und bei den bisherigen Installationen hast du auch nie aktualisiert? Oder wie soll man das verstehen? ;)

    Bye
    Norbert

    Dienstag, 20. März 2018 13:48
  • Am 20.03.2018 um 14:08 schrieb IT-LAS:
    Hi,

    Ja ich bin der Fachmann. :-]

    Zugegeben ich habe bis jetzt nur Excahnges in Verbindung mit SBS betreut und dass ist erst meine zweite Lizenz über VLSC und die erste standalone Installation.

    Und bei den bisherigen Installationen hast du auch nie aktualisiert? Oder wie soll man das verstehen? ;)

    Bye
    Norbert

    Die Server- und Netzwerkland wurde und wird von mir betreut und aktualisiert.

    Ich hatte mir das Buch "Microsoft Exchange Server 2016 - Das Handbuch ISBN: 978-3-96009-013-7" geholt und eingelesen, hatte aber nicht an den Stolperstein der Software Version gedacht. Wie das so ist beim ersten mal, da tut es noch weh.

    Dienstag, 20. März 2018 14:24
  • Hallo zusammen, ich hoffe ihr habt die Ostertage zur Entspannung genutzt.

    Update:

    Ich bin beim Kunden vor Ostern nicht wirklich weitergekommen, weil DATEV Probleme macht und der Datev Dienstleister der Meinung war, er müsste die Serverinstallation auf einen Client installieren. Bei der Installation hatte er Probleme mit einem Benutzerprofile, was ihn dazu veranlasst hat, in der AD den Benutzer zu löschen :-[, einen neuen mit anderen Namen zu erstellen und als der dann auf dem Client mit Datev lief, wurde der auch in der AD gelöscht und der als erstes gelöschte Benutzer, sprich der alte User, wieder mit identischen Informationen in der AD angelegt. Das war alles am Gründonnerstag als ich in den Urlaub fuhr.

    Wie steht ihr zum Standpunkt User in der AD zu löschen und wieder identisch anzulegen? Damals wurde beim MCSE 2003 auf den SID Konflikt hingewiesen und man sollte das auf keinen Fall machen.

    Ich werde jetzt erst mal nächste Woche mir die Trümmer beim Kunden anschauen und euch berichten.

    bis dann

    Andreas

     

    Mittwoch, 4. April 2018 11:24
  • Wie steht ihr zum Standpunkt User in der AD zu löschen und wieder identisch anzulegen? Damals wurde beim MCSE 2003 auf den SID Konflikt hingewiesen und man sollte das auf keinen Fall machen.

    Einen "SID-Konflikt" gibt es nicht, aber das neue AD-Konto hat halt auch eine neue SID, d.h. alle Berechtigungen für diesen User sind nicht mehr wirksam.

    In Bezug auf Exchange ist das relativ problemlos, da man ein getrennten Postfach auch an beliebige neue AD-Konten verbinden kann.

    Es sind nur alle Mailbox-spezifischen Einstellungen weg, die im AD-Objekt gespeichert werden.

    Aber natürlich muss man keinen AD-User löschen, wenn man Probleme mit einem Benutzerprofil hat. Es reicht, das Profil zu löschen.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Mittwoch, 4. April 2018 12:42
  • So, der Kunde ist Geschichte. Der unkontrollierte Umgang des DATEV "Spezialisten" mit AD und wie sich im Nachhinein herausgestellt hat, auch mit der GPO, machte die Netzwerkkommunikation instabil. Anmeldeproblem, keine Zugriffe auf Netzfreigaben.

    Der Kunde will das jetzt mit DATEV & Co klären.

    Schade das ich das mit der Exchange Aufgabe nicht zu ende führen konnte. Danke für die Unterstützung und werde es bei der nächsten Installation berücksichtigen.

    LG @ALL Andreas

     

     

     

    Donnerstag, 12. April 2018 12:11
  • Hallo,

    das ist schade für dich, aber auch ein Stück weit selbst verschuldet, wenn du ehrlich bist.

    Naja, das passiert dir auf keinen Fall nochmal :)

    Tipp - es gibt Leute (wie mich oder Robert..) die man für solche Aufgaben buchen kann - und du lerst was.

    Welchen Beitrag soll ich als Antwort nehmen, oder wollen wir das Thema offen lassen?

    ;)


    Gruß Norbert

    Donnerstag, 12. April 2018 21:20
    Moderator
  • Wichtiger finde ich die Erkenntnis, dass man Kunden nicht um jeden Preis bedienen muss.

    Wenn zu viel schiefläuft und der Kunde besonders eigensinnig ist, hat man meist nur kurzfristig einen Erfolg, aber langfristig oftmals mehr Ärger und verdient dann auch nichts mehr.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 13. April 2018 06:30
  • @Norbert: Ich sehe die Schuld nicht bei mir, bis auf dem Punkt, dass ich ein veraltetes Setup genommen habe.

    @Robert: Zum Schluss die Geschichte wie ich zu dem Kunden gekommen bin: Im Nov. 2017 rief der Kunde an und bat um Hilfe, die Kripo wäre im Haus gewesen und hätte PCs mitgenommen. Wie sich herausgestellt hat, war in dem P2P Netzwerk ein Computer der aus der Ferne gekapert war und zum PayPal Betrug genutzt wurde. Der Kunde bekam von mir eine 2016 AD mit allem was dazu gehört, (DNS, DHCP, GPO, Hyper-V, Eset, Acronis usw.). Alles lief super. Der Kunde hatte noch einen Datev standalone Client der mit seiner DB auf dem Server sollte. Ich teilte dem Kunden mit, dass ich keine Datev Spezi bin und mit der Hotline von Datev die Installation machen würde. Kurzum Datev war die absolute Katastrophe, der Hotline Support ist was für den Ars…, Datev lief nach 8 Tagen immer noch nicht, und erst wieder richtig seit grün Donnerstag wo alles wieder auf den Client als standalone installiert wurde. Ich bin auch der Meinung von Robert, dass man nicht jeden Kunden haben muss.

     LG Andreas

    Dienstag, 17. April 2018 12:44
  • Hallo Andreas,

    ich wollte auch keine Schuld in dem Sinne zuweisen, falls das so rübergekommen ist, sorry!

    Danke für die ausführliche Erklärung, und ich auch bei Robert.

    Frage ist jetzt noch, was wir mit dem Thread machen.

    Eine Antwort, die zur Lösung führte gibt es jetzt ja leider so nicht.

    Ich kann den Typ ändern oder schließen, was tun?

    ;)


    Gruß Norbert

    Mittwoch, 18. April 2018 05:08
    Moderator
  • Hallo Norbert, alles gut. Ich wollte den Fall bei mir im Netz nachstellen, komme aber zeitlich nicht dazu.

    Sei so lieb und schliesse den Fall.

    LG

    Andreas

    Mittwoch, 18. April 2018 15:23
  • Hallo Andreas,

    so machen wir das - danke.

    Exchange Installation mit altem CU passiert dir bestimmt nie wieder.... :-)

    - closed -


    Gruß Norbert

    Donnerstag, 19. April 2018 05:13
    Moderator