none
Exchange 2010 und Gruppen im AD - Abgleich?? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    ich habe folgendes Problem bzw. vermute ich das es Architektur bedingt ist.
    Ich habe eine Globale Sicherheits-Gruppe im AD die Zugriff auf einen öffentlichen Ordner hat.
    Alle die bereits in der Gruppe sind haben Zugriff auf den öffentlichen Ordner.

    Wenn ich jetzt aber einen weiteren Benutzer in die Gruppe hinzufüge, dauert es meist 8 - 12 oder mehr Stunden bis dieser Benutzer dann endlich zugriff auf diesen öffentlichen Ordner hat.

    Ich vermute das hier die Synchronisation der Berechtigungen vom Exchange aus dem AD nur ein mal täglich abgerufen werden.

    Meine Frage ist jetzt, kann ich das irgendwie Beschleunigen? Wir haben oftmals die Situation das ein Benutzer umgehends bzw. in den nächsten 2 Stunden den Zugriff benötigt.

    Vielleicht gib es ja einen PowerShell Exchange Befehl um den Sync manuell zu starten?

    Freitag, 18. Januar 2013 10:46
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi Steven,

    das sollte eher bei zwei Stunden liegen und du musst dir mal das CacheLimit anschauen:
    !!! 2h Exchange cache !!!
    Änderungen im Active Directory wie SendAs oder FullMailboxAddress müssen
    erst im AD repliziert werden und dann von Exchange neu eingelesen werden. Per Default puffert Exchange frühere Antworten aber für bis zu 2 Stunden. Dies kann durch den Wert von "Mailbox cache Age Limit" (siehe KB 326252 Exchange 2000 mailbox size limits are not enforced in a reasonable period of time; fix requires Exchange 2000 SP2" verändert werden.
    Exchange 2003: http://support.microsoft.com/kb/326252
    Exchange 2007: http://technet.microsoft.com/en-us/library/bb684892.aspx

    Ist auch bei 2010 genauso...

    Viele Grüße
    Christian

    Freitag, 18. Januar 2013 11:42
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Wenn ich jetzt aber einen weiteren Benutzer in die Gruppe hinzufüge, dauert es meist 8 - 12 oder mehr Stunden bis dieser Benutzer dann endlich zugriff auf diesen öffentlichen Ordner hat.

    8 - 12 Stunden ist ungewöhnlich, aber ein Cache an der Stelle ist normal bis zu 2 Stunden.

    Hast Du das Problem auch, wenn Du die Gruppenmitglied mit der EMC verwaltest?

    Meine Frage ist jetzt, kann ich das irgendwie Beschleunigen? Wir haben oftmals die Situation das ein Benutzer umgehends bzw. in den nächsten 2 Stunden den Zugriff benötigt.

    Du kannst den Dienst Systemaufsicht neustarten, der ist für den Cache verantwortlich.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 18. Januar 2013 11:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Nachtrag: Und natürlich denkt ich daran, dass sich der User abmelden und neu anmelden muss, bevor die Änderung der Gruppenmitgliedschaft wirksam wird?

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 18. Januar 2013 11:45
    |
  • Question
    Anmelden
    0
    Anmelden

    über die EMC kann ich keinen Benutzer hinzufügen da es sich um eine nicht universelle Gruppe handelt

    leider hat der neustart mit dem Systemaufsichts-Dienst auch nichts gebracht

    allerdings funktioniert der reg key schonmal und die änderung wird innerhalb von 2 stunden übernommen

    • Bearbeitet Steven86 Freitag, 18. Januar 2013 13:41
    Freitag, 18. Januar 2013 12:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Und spricht etwas dagen, sie zu einer universellen zu konvertieren? Mag Exchange an der Stelle eh lieber.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 18. Januar 2013 13:03
    |
  • Question
    Anmelden
    0
    Anmelden

    beim umwandeln über die emc gibts einen fehler

    Error:- Active directory operation failed on FQDN. This error is not retriable. Additional information. A global group cannot have a universal group as a member. Active directory response:00002145: SvcErr: DSID-031a0fc0, problem 5003 (WILL_NOT_PERFORM), data 0 The Server can't handle directory requests. Can any one advise what would be the fix, What i need to do to convert these in universal group?

    kommt vermutlich aufgrund eines gruppen in gruppen konzeptes

    NACHTRAG: ja daher kam es, die gruppe in gruppe war schuld! man muss zuerst die gruppe in der die gruppe mitglied ist umwandeln.

    leider aber auch hier keinen direkten zugriff auf den pub folder! auch ein neustart hat hier nichts gebracht.


    • Bearbeitet Steven86 Freitag, 18. Januar 2013 14:20
    Freitag, 18. Januar 2013 14:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Meine Frage ist jetzt, kann ich das irgendwie Beschleunigen? Wir haben oftmals die Situation das ein Benutzer umgehends bzw. in den nächsten 2 Stunden den Zugriff benötigt.

    Du kannst den Dienst Systemaufsicht neustarten, der ist für den Cache verantwortlich.

    Hallo,

    soweit ich weiß ist nicht der SA-Dienst, sondern der Store selbst für den Cache verantwortlich - somit müsste der Informationsspeicherdienst neu gestartet werden.

    Grüße,

    Toni

    Montag, 21. Januar 2013 15:02
    |
  • Question
    Anmelden
    0
    Anmelden

    >soweit ich weiß ist nicht der SA-Dienst, sondern der Store selbst für den Cache verantwortlich - somit müsste der Informationsspeicherdienst neu gestartet werden.

    Wenn ich mir bei Ex 2010 durchlese, was die Systemaufsicht macht, steht da:

    "Leitet Verzeichnissuchvorgänge an einen globalen Katalogserver für Legacy-Outlook-Clients weiter, generiert E-Mail-Adressen und Offlineadressbücher, aktualisiert Frei/Gebucht-Informationen für Legacy-Clients und verwaltet Berechtigungen und Gruppenmitgliedschaften für den Server. Wenn dieser Dienst deaktiviert wird, können explizit von ihm abhängige Dienste nicht gestartet werden."

    IMHO hat sich daran nichts geändert. Der Store verwaltet den Cache der Quotas.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 21. Januar 2013 19:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    da der entsprechende Registry-Schlüssel zur Änderung des Mailbox Cache Limits in HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem liegt, denke ich, ist der Store dafür verantwortlich....

    http://technet.microsoft.com/en-us/library/bb684892.aspx

    Meine eigenen Beobachtungen bestätigen dies: füge ich einen User einer Gruppe zu, die z.B. Berechtigungen auf einen Kalender hat, hat der User sofort Zugriff, nachdem ich den Store durchstarte....

    Grüße,

    Toni

    Freitag, 1. Februar 2013 07:48
    |
  • Question
    Anmelden
    0
    Anmelden

    Interessant, aber dann nicht wirklich hilfreich.

    Neustart der SA merkt niemand, Neustart des IS trennt sämtliche User des Servers.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 1. Februar 2013 08:19
    |