none
Exchange 2016 CU 14 в EAC (ECP) не отображаются права на почтовые ящики (delegation) RRS feed

  • Общие обсуждения

  • Добрый день коллеги.



    Столкнулся с проблемой, в Exchange 2016 CU 14 в EAC (ECP) не отображаются права на почтовые ящики (delegation). Получаю вот такое сообщение:

    error
    Your request couldn't be completed. Please try again in a few minutes.
     



    На серверах Exchange регистрируется сообщение с event id 4127

    Process powershell.exe (PID=15220). Component: Microsoft.Exchange.Data.Directory.ConfigurationSettingsADNotificationException: Error running AD operation. ---> Microsoft.Exchange.Data.Directory.ADTopologyUnexpectedException: Unexpected error when calling the Microsoft Exchange Active Directory Topology service on server 'TopologyClientTcpEndpoint (localhost)'. Error details: Access is denied.. ---> System.ServiceModel.Security.SecurityAccessDeniedException: Access is denied.
    пробовал пересоздавать виртуальные директори Powershell - не помогло 

    На контроллере домена, куда смотрят сервера Exchange регистрируется в журнале Security событие 4673

    A privileged service was called.

    Subject:
    Security ID: domain\POST-01$
    Account Name: POST-01$
    Account Domain: domain
    Logon ID: 0x3636BF5C

    Service:
    Server: Security
    Service Name: -

    Process:
    Process ID: 0x4
    Process Name:

    Service Request Information:
    Privileges: SeBackupPrivilege

    Сервера Exchange состоят в группах Exchange Servers, Exchange Trusted Subsystem, Managed Availability Servers, Компьютеры домена

    Также пробовал добавлять права на "ms-exch-epi-token-serialization" по статье (не дает вставить ссылку) - не помогло

    Если это важно, то конфигурация домена следующая - есть корневой домен со служебными объектами и объектами безопасности и несколько продуктивных поддоменов.



    Прошу помощи, мне кажется, я уже перечитал весь интернет на эту тему, сам уже начал теряться в таком количестве информации.

    Дополнение. Нельзя посмотреть членство в почтовых группах в EAC. Ошибка:

    500
    Unexpected Error :(
    An error occurred and your request couldn't be completed. Please try again.


    23 марта 2020 г. 12:11

Все ответы

  • Коллеги, прошу помощи.
    24 марта 2020 г. 6:58
  •   Здравствуйте,

     После того как пересоздали виртуальные директории Powershell, перезапустили службу Microsoft Exchange Active Directory Topology ? Exchange 2016 Event Error 4127. Посмотрите какoe событие и с каким кодом зарегистрировалось, когда пытаетесь посмотреть членство в почтовых группах в ЕАС ?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    24 марта 2020 г. 7:33
    Модератор
  • Добрый день! Спасибо за ответ.

    Да службу Exchange Active Directory Topology перезапускал, она тянет за собой перезапуск почти всех или даже всех остальных служб Exchange. Даже перезагружал сервера целиком. На данный момент в журнале Application на серверах Exchange 2016 регистрируются события 6027 FIPPS, 4127 MSExchange ADAccess, 4999 MSExchange Common, 4002 MSExchange Availability (Здесь не получается получить доступ к EWS на сервера Exchange 2010 с которых миграция идет).

    На контролерах домена в журнале Security регистрируется:

    4673

    A privileged service was called.

    Subject:
    Security ID:  domain\POST-01$
    Account Name:  POST-01$
    Account Domain: domain
    Logon ID:  0x3636BF5C

    Service:
    Server:  Security
    Service Name:  -

    Process:
    Process ID:  0x4
    Process Name:

    Service Request Information:
    Privileges:  SeBackupPrivilege

    вот это очень смущает. Можно ли эти привилегии как-то дораздать.

    Может ли это быть следствием неправильно отработавшего PrepareAD или PrepareDomain? Можно ли эти команды запустить повторно (не поломается ли что-то окончательно, сервера в продакшене)?

    Дополнение, на все сервера Exchange (2010 и 2016) на предприятии было установлено февральское обновление безопасности (для Exch 2016 - KB4536987)

    Спасибо за помощь.

    24 марта 2020 г. 8:09
  • Попробуйте перенести учетную запись пользователя в другую OU на которую не навешано много кастомных атрибутов безопасности и проверьте на ней. Есть предположение, что из-за большого количества отваливается по таймауту.
    24 марта 2020 г. 9:20
  • Не совсем понял, какую учетную запись попробовать перенести в другую OU, УЗ которой принадлежит почтовый ящик, права на который хочу посмотреть?

    Дополню еще немного, с серверов Exchange 2010 просматривать членство в группах и права на почтовые ящики получается, эти сервера в том же лесу и домене что и сервера с Exchange 2016.

    24 марта 2020 г. 11:15
  • Попробовать перенести УЗ которой принадлежит почтовый ящик, права на который хочется посмотреть.

    У нас была аналогичная проблема из-за огромного количества кастомных разрешений безопасности на общих почтовых ящиках. Решилось минимилизацией прав безопасности конкретно для OU этих ящиков.

    25 марта 2020 г. 2:36
  • Не помогло, к сожалению.
    25 марта 2020 г. 10:15
  • В итоге, я перечитал следующие темы и перепробовал все что в них предлагается:

    https_://social.technet.microsoft.com/wiki/contents/articles/51374.exchange-2016-troubleshooting-event-id-4127.aspx

    https_://social.technet.microsoft.com/Forums/ru-RU/c582b81c-a2b0-4db1-92aa-84da0390b528/event-4127-msexchange-adaccess?forum=ExchangeServer2016

    https_://social.technet.microsoft.com/Forums/azure/en-US/cacf7b98-50a9-4c3f-ba01-f061b7d9442c/exchange-2016-event-error-4127-msexchange-adaccess?forum=Exch2016GD

    Попадались еще темы, но все сводятся к одному и тому же - пересозданию виртуальной директории PowerShell, мне это не помогает к сожалению.

    Пока проблема не решена. Продолжаю биться, но как я понял, с этой проблемой столкнулся не только я, и по некоторым темам видно, что проблема у людей сохраняется. 

    26 марта 2020 г. 6:18
  • UP. Может кто-то что-то еще подскажет. Проблема сохраняется.
    6 апреля 2020 г. 10:05