none
Eingeschränkte Konnektivität von WMI/DCOM nach Servermigration von Server 2012 R2/Exchange 2016 zu Server 2019/Exchange2019 RRS feed

  • Frage

  • Folgender Zustand:

    Ausgehend von einem Windows Server 2012 R2 mit Exchange 2016 Standard (Name Micky), beide up2date, erfolgte eine Migration auf Windows Server 2019 Standard mit Exchange 2019.

    Der 2012 R2 ist der DC. Er hatte per Hyper-V-Rolle einen weiteren 2012 R2 als Member Server (Donald) mit einer Stamm-CA drauf. Beide waren seit 2016 problemlos im Einsatz.

    Es kam dann vor zwei Wochen ein zweites Blech mit VMware vSphere 7 dazu. Auf dem ESXi-Host habe ich drei VM’s mit jeweils Windows Server 2019 Standard erstellt (Tick, Trick und Track).

    Tick wurde als zweiter DC in der Domain promotet, Trick wurde Member Server für Exchange 2019 und Track bekam den Fileserver. Hochstufen des zweiten DC’s erfolgte problemlos, DFS zeigte keine Auffälligkeiten.

    Die CA wurde von Donald auf Tick problemlos migriert und ich habe ein neues CA-Zertifikat generiert.

    Die Exchange-Migration erfolgte von Exchange 2016 CU20 mit dem Security Hotfix (KB5004779) vom 13.07.2021. Die Installation von Exchange 2019 CU 10 auf Track verlief ohne Probleme. Ich sah in der Exchange Management Console auf Micky den 2019’er und von Track umgekehrt den 2016’er sehen. Allerdings zeigte der Exchange 2016 im Bereich Zertifikate an, dass er die Revocation List des bis dahin gültigen und von der eigenen CA ausgestellten Zertifikats nicht überprüfen könne.

    Dann wollte ich die virtuellen URL’s vom Quell-Exchanger auslesen und auf dem Ziel-Exchanger angleichen. Dabei fiel mir auf, dass der alte 2016’er die URL’s des 2019’er nicht lesen kann und umgekehrt. Ich konnte jedoch manuell per ECP auf dem jeweiligen Server die URL’s von 2019 an die des 2016 angleichen (internal- + external URLs, Authentication etc.)

    Machte ich auf dem alten Exchange 2016 ein ‚Get-OutlookAnywhere‘ erhielt ich ein

    „Der Task konnte keine Verbindung mit dem IIS auf dem Server ‚Trick.domain.local‘ herstellen. Stellen Sie sicher, dass der Server vorhanden und von diesem Computer erreichbar ist. Der RPC-Server ist nicht verfügbar.“

    Auf dem neuen Exchange 2019 erhalte ich bei ‚Get-OutlookAnywhere‘ die Meldung:

    „Der Verzeichniseintrag für die Internetinformationsdienste (IIS) kann nicht erstellt werden. Fehlermeldung: Zugriff verweigert.“

    Daraufhin habe ich die Berechtigungen von DCOM überprüft (Komponentendienste è Computer è Arbeitsplatz è COM-Sicherheit). Hier fehlte unter Zugriffsberechtigungen  und Limits bearbeiten die Entitäten „Zertifikatsdienst-DCOM-Zugriff) als auch ANONYMOUS-ANMELDUNG). Diese habe ich hinzugefügt und Micky (erster DC) rebootet, jedoch ohne Erfolg.

    Der erste DC (Micky) hat aus mir ungekannten Gründen kein DomänenController Cert und kann – mangels RPC – auch kein neues beziehen.

    Ich habe jetzt in sechs Tagen zu ziemlich alles getestet:

    Sophos runter von allen Windows Server: ohne Erfolg.

    Windows-Firewall komplett aus: ohne Erfolg.

    DNSLint: voll funktional.

    Replikation AD: voll funktional (DFS, repadmin /syncall sowie AD Replication Status Tool)

    PortQuery: Ports erreichbar

    DCDIAG: bis auf den Punkt, dass der andere DC den Base-Test im DNS nicht besteht, alles funktional.

    Alle Zonen im DNS der beiden DC’s sind vollkommen identisch und werden gegenseitig repliziert.

    Firewall im ESXi-Host komplett aus

    Greife ich vom ersten DC (Micky) auf den zweiten mit Wbemtest zu, kommt RPC-Server nicht verfügbar. Zugriff verweigert. Das passiert übrigens auch beim Wbemtest vom ersten DC auf alle Workstations.

    Andersrum kommt beim Wbemtest beim Zugriffsversuch von DC2 (Tick) auf DC1 (Micky) Zugriff verweigert. Vom zweiten DC kann ich auf die beiden anderen Member Server sowie alle Win10-Workstations problemlos zugreifen.

    Ist das nun ein durch ein Exchange verursachtes Problem oder des Active Directory? Hat jemand noch Ansätze?

    Vielen Dank.

    Freitag, 23. Juli 2021 11:54