none
Exchange Server 2003 , Exchange Server 2010 transition ; ADObjectWithNoSecurityDescriptor_Mbx : server_fqdn RRS feed

  • Genel Tartışma

  • Merhaba ,

    Bir transition projemde şöyle bir problem başıma geldi. 2003’den 2010’a transition yapılmaktaydı . Haliyle mailbox taşıma süreci mailbox boyutlarına göre ve mailbox sayısına göre zaman alıyor. Bu süre zamanında kullanıcıların bir kısmının doğal olarak mailbox’ı exchange server 2003’teydi , bir kısmı ise exchange server 2010’daydı. Mailbox’ı taşınanlar activesync ile exchange server 2010 client access server üzerinde bağlanamıyorlardı.

    Sorunun Özeti :Mailbox’ı Exchange Server 2003’ten Exchange Server 2010’a taşınanlar ActiveSync ile bağlanamıyor. Problemin çözümüne dair : İlk olarak exchange server 2003 ve exchange server 2010 arasında birlikte çalışma sürecinde, exchange server 2003 front-end’leri ile Exchange server 2010 cas’ları arasında iletişim sorunu olabileceğini düşünmüştüm. Bu durumda çözüm bir hotfix ve aşikar. http://blogs.technet.com/b/exchange/archive/2009/12/08/3408985.aspx

    Fakat durum bu şekilde değildi. Birkaç tablet cihaz üzerinden (ipad,android ve windows denedim) denemeler yaptım. Hepsinde sonuç aynıydı. ActiveSync; cas server’ı buluyordu. Authentication gerçekleşiyordu. Ama son aşamada activesync cihazından “failed to create…” , “can not create….” tarzı hatalar alıyordum. Firewall’u kontrol ettim. HTTPS session’ı olması gerektiği gibiydi.

    Exchange Server 2010 Client Access Server üzerinde çalışan IIS’in o devasa log’larını incelemekten başka bir alternatif bulamadım Smile

    Default web site’in log’unda şu şekilde bir hataya rastladım.imageBu error benim başlangıcım oldu.

    bing ve technet ikilisinden elde ettiğim neticede problemin kaynağı :

    Exchange Trusted Subsystem grubunun ( exchange server 2010’un yapıya eklediği gruplardan bir tanesi) domain seviyesinden itibaren

    image

    msExchangeActiveSyncDevice objesi üzerinde  ve

    image

    msExchangeActiveSyncDevices objesi üzerinde izne sahip olmamasıymış.

    Bu iki obje için Exchange Windows Permission grubunun da izinleri yokmuş. ( iki obje birbirinin aynısı değil, biri tekil biri çoğul dikkat!!! ) Domain seviyesinden Exchange trusted subsystem ve Exchange windows permissions gruplarına msExchangeActiveSyncDevice ve msExchangeActiveSyncDevices objeleri üzerinde izin verdim. ( gereken minimum izinler read/write/delete , read all info ) AD hiyerarşisinde aşağılara geçmesini sağladım , böylece AD objesinde/objelerinde bir security descriptor olmuş oldu ve active sync sorunu düzeldi.(Active Directory hiyerarşinizin ve yapılandırmanızın farklılık göstermesine bağlı olarak izinleri hangi seviyeden uygulayacağınız belki farklılık gösterebilir.)

    Bu iki grubun ve bu objelere dair espirisi ise şu şekilde.

    Exchange server 2010 , kullanıcının birden fazla mobile cihaz ile hesaplarını senkronize etmesi halinde , bu objeler üzerindeki izinleri yardımıyla yazma işlemlerini gerçekleştiriyor. (Exchange Server 2003’te durum bu şekilde değil.) Haliyle iki gurubun iki obje üzerinde izni olmayınca, kullanıcı authentication safhasını geçtikten sonra senkronizasyonun başlaması aşamasında exchange server’ın objelere erişimi olmadığından hata döndürüyor.

    Not : Exchange server 2010 bilgisayar hesapları Exchange trusted subsystem grubuna üyedir.Exchange trusted subsystem grubu ise Exchange windows permissions grubuna üyedir.

    herkese neşeli ve sorunsuz günler….

    Kaynak:TechNet

    6 Nisan 2012 Cuma 22:54

Tüm Yanıtlar

  • Hocam çok sürükleyici bir yazı olmuş :) güzel olan tarafı ise, benzer problemi bu şekilde çözebilirsiniz demek yerine, o aşamalarda neler yaşandı, neler düşündünüz, nasıl bir aksiyon aldınız, bu bilgileri paylaşmanız çok değerli.

    Aslında yaptığınız şey, balık vermek yerine , balık tutmayı öğretmektir. Ama burada siz her ikisini de yapmışsınız :))

    Problem çözme tekniği açıkçası para ile satılabilecek bir şey değil.

    Bu değerli bilgileri, paylaştığınız için çok teşekkür ederim gerçekten de.


    Microsoft bu servisi kullanıcılarına yardım etme, Microsoft ürünleri ve teknolojileriyle ilgili bilgi bankasını genişletme amacıyla ücretsiz sunmaktadır.
    Bu içerik olduğu gibi benim tarafımdan hazırlanmış olup Microsoft tarafından herhangi gibi bir sorumluluk üstlenildiği anlamına gelmez.
    Facebook Üzerinden Takip Et!
    Twitter'da Takip Et!

    9 Nisan 2012 Pazartesi 08:46
  • Teşekkürler efendim bu güzel cümleleriniz için... iyi çalışmalar

    12 Nisan 2012 Perşembe 08:32