none
Exchange Server Authentisierung mit Kerberos Probleme bei Migration EX 2016 auf 2019 RRS feed

  • Frage

  • Hallo

    ich habe hier Probleme beim Umzug von Exchange 2016 auf einen Exchange 2019. Der Exchange 2019 Server ist installiert und kommuniziert mit dem Exchange 2016. Das Zertifikat vom 2016 ist auf dem 2019 übertragen, die virtuellen Verzeichnisse dementsprechend angepasst.

    Bevor ich nun die Postfächer umziehen teste ich die Verbindung von einem Outlook-Client zum Exchange 2019 (in host-Datei die ip-Adresse des 2019 auf den Namen des Exchange 2016 umgestellt). Dabei stellte ich fest, dass der Exchange 2016 und Outlook über Kerberos kommunizieren bzw. die Anmeldung, weshalb der Fehler auftrat, dass die Anmeldung Outlook an den 2019 Exchange nicht geht da der SPN nicht korrekt ist bzw. es ist keiner vorhanden.

    Aufgrund dessen versuche ich jetzt einen SPN zu konfigurieren. Ein ASA ist nicht vorhanden und wurde erstellt, ebenfalls die Verschlüsselung höher gesetzt. Dann habe ich den den ASA Account dem ersten Exchange Server zugeweisen. Als ersten Exchange Server habe ich jetzt den neuen 2019er genommen, da dieser vorhanden bleibt und der 2016er entfernt wird. Das hat über das Script RollAlternateServiceAccountPassword.ps1 funktioniert (Firewall in der Domäne ist ausgeschaltet und Remoteregistrierung aktiv).

    Bei dem Versuch den ASA Account dem zwieten Exchange 2016 zuzuweisen tritt aber eine Fehler im Script RollAlternateServiceAccountPassword.ps1 auf:

    Name      PSComputerName
    ----      --------------
    EX2016 ex2016.test.local


    Credentials that will be pushed to every server in the specified scope (recent first):
    Prior to pushing new credentials, all existing credentials will be removed from the destination servers.
    Pushing credentials to server EX2016
    Das Argument für den Parameter "AlternateServiceAccountCredential" kann nicht überprüft werden. Das Argument besitzt
    den Wert NULL, oder ein Element der Argumentauflistung enthält einen NULL-Wert. Geben Sie eine Auflistung an, die
    keine NULL-Werte enthält, und führen Sie den Befehl erneut aus.
        + CategoryInfo          : InvalidData: (:) [Set-ClientAccessService], ParameterBindingValidationException
        + FullyQualifiedErrorId : ParameterArgumentValidationError,Set-ClientAccessService
        + PSComputerName        : ex2016.test.local

    Die Zuwiesung wird natürlich nicht ausgeführt.

    Im Scirpt müsste nach der Mledung:"Credentials that will be pushed to every server in the specified scope (recent first):"

    Username und Passwort stehen, was aber nicht erfolgt.

    Hatte jemand schon mal dieses Problem?

    Oder habe ich einen Denkfehler und muss den vorhandenen 2016er Exchange als ersten Server nehmen und dann von diesem die Daten auf den neuen 2019er kopieren (ASA)? Wenn ja, was passiert dann wenn ich den 2016er Exchange Server entferne?

    Gruß

    Heiko

    Donnerstag, 17. November 2022 11:52

Alle Antworten

  • Hallo,

    welche Schritte hast Du befolgt für den ASA Account Zuweisung?

    Ich glaube es ist am besten die officielle Dokumentation von Microsoft zu folgen.

    Vielleicht dieser Link kann weiterhelfen:

    https://learn.microsoft.com/en-us/exchange/architecture/client-access/kerberos-auth-for-load-balanced-client-access?view=exchserver-2019

    Kannst Du mal die ganze Fehlermeldung mitteilen. 

    Ich kann empfehlen den Befehl mit | fl *  auszuführen. Auf diese Weise kann man die ganze Fehlermeldung zur Verfügung haben und dann vielleicht schneller eine Antwort zu finden.

    Beste Grüße


    Donnerstag, 17. November 2022 21:18
    Moderator
  • Die von dir vorgeschlagene Mircosoft-Seite und noch weitere drei Webseiten hatte ich zur Konfiguration durchgelesen. Auf allen Seite war es die gleiche Vorgehensweise.

    Um die Erweiterung | fl * zu verwenden, habe ich zuerst noch einmal den regulären Befehl ausgeführt um den Vergleich zu sehen. Dabei stellte ich fest, dass der Befehl, zu meiner Freude, jetzt ausgeführt wurde. Ich konnte jetzt also den ASA Account dem zweiten Exchange-Server zuweisen. Problem gelöst.

    Da in den vergangenen Tagen nichts diesbezüglich unternommen wurde, vermute ich, dass die Einstellungen erst im ADS repliziert werden mussten, damit dies auch beim zweiten Server funktioniert. Zeit hatten die Exchange-Server dann ja.

    Auf alle Fälle klappt es jetzt, ASA Account sind den Exchange-Server zugeordnet, SPN ist erstellt und dem ASA Account zugeordnet. Anmeldung der Outlook-Clients per Kerberos geht über beide Exchange-Server.

    Danke nochmal für die Antwort.


    • Bearbeitet Büschel Montag, 21. November 2022 11:11
    • Als Antwort vorgeschlagen tonibert Montag, 28. November 2022 13:22
    Montag, 21. November 2022 11:11