6
Exchange 2010 - Sicherheitsgruppen fehlen teilweise - System trotzdem lauffähig?!
Exchange 2003 -> 2010 - Migration auf CAS NLB und DAG Cluster
Hallo,
aktuell bin ich bei der Migration eines Exchange Server 2003 Stand Alone auf ein 2010er CAS NLB - DAG Cluster.
Soweit, so gut...
Jetzt tat sich bereits während der Installation ein Problem auf. Es fehlten offensichtlich Berechtigungen beim Zugriff auf das AD und auf einer Webseite fand ich die 1. Lösung.
Ich musste meine erstellte Gruppe der "Exchange Server" mit allen 4 Servern drin, zur Gruppe der "Exchange Enterprise Server" hinzufügen. Soweit so gut. Die Installation verlief problemlos,
die Migrationsschritte abgearbeitet. Die ersten Postfächer sind migriert, Zugriffe und Mailversand läuft, mit dem Server 2K3 als Koexistenz (bis alle User umgezogen sind).
Jetzt stelle ich fest, dass exakt alle 6 Stunden meine Gruppe Exchange Server aus der Gruppe "Exchange Enterprise Server" automatisch entfernt wird!
Das hatte zur Folge, dass beim Disaster Test am verbleibenden DAG-Server alle Datenbanken ausgehänht wurden. Katastrophe!
Bei der Prüfung fiel mir mit Erschrecken auf, dass ein Teil der Exchange Security Groups im AD fehlen!!! Unter anderem auch die Exchange Organization Administrators!
Wie geht das denn??? Ich hätte das doch so nie installieren können ohne diese Gruppen?!?!?
Also in Kürze:
Was zum Teufel passiert hier alle 6 Stunden?!?!?!
Wie können diese Gruppen fehlen und der Exchange komplett laufen?!?!?!
Steps done:
- GPO`s gecheckt, keine Ausffälligkeiten (alles Default)
- Scripte werden nicht ausgeführt
- Taskplaner ohne bezogene Auffälligkeiten
- setup.com /PrepareAD wiederholt -> ohne Ergebnis, Gruppen fehlen weiterhin...
Hatte jemand schonmal einen ähnlichen Fall, oder einen Tip?
Danke im Voraus!
Hallo,
aktuell bin ich bei der Migration eines Exchange Server 2003 Stand Alone auf ein 2010er CAS NLB - DAG Cluster.
Soweit, so gut...
Jetzt tat sich bereits während der Installation ein Problem auf. Es fehlten offensichtlich Berechtigungen beim Zugriff auf das AD und auf einer Webseite fand ich die 1. Lösung.
Ich musste meine erstellte Gruppe der "Exchange Server" mit allen 4 Servern drin, zur Gruppe der "Exchange Enterprise Server" hinzufügen. Soweit so gut. Die Installation verlief problemlos,
die Migrationsschritte abgearbeitet. Die ersten Postfächer sind migriert, Zugriffe und Mailversand läuft, mit dem Server 2K3 als Koexistenz (bis alle User umgezogen sind).
Jetzt stelle ich fest, dass exakt alle 6 Stunden meine Gruppe Exchange Server aus der Gruppe "Exchange Enterprise Server" automatisch entfernt wird!
Das hatte zur Folge, dass beim Disaster Test am verbleibenden DAG-Server alle Datenbanken ausgehänht wurden. Katastrophe!
Bei der Prüfung fiel mir mit Erschrecken auf, dass ein Teil der Exchange Security Groups im AD fehlen!!! Unter anderem auch die Exchange Organization Administrators!
Wie geht das denn??? Ich hätte das doch so nie installieren können ohne diese Gruppen?!?!?
Also in Kürze:
Was zum Teufel passiert hier alle 6 Stunden?!?!?!
Wie können diese Gruppen fehlen und der Exchange komplett laufen?!?!?!
Steps done:
- GPO`s gecheckt, keine Ausffälligkeiten (alles Default)
- Scripte werden nicht ausgeführt
- Taskplaner ohne bezogene Auffälligkeiten
- setup.com /PrepareAD wiederholt -> ohne Ergebnis, Gruppen fehlen weiterhin...
Hatte jemand schonmal einen ähnlichen Fall, oder einen Tip?
Danke im Voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 184994
Url: https://administrator.de/contentid/184994
Ausgedruckt am: 26.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Moin.
Was zum Teufel passiert hier alle 6 Stunden?!?!?!
Du solltest Auditing benutzen, um die Löschungen in dieser Gruppe zu monitoren, dann siehst Du, in wessen Namen das geschieht.
Hallo,
die "Exchange Organization Administrators" nutzt Exchange (m.W.) nicht für interne Berechtigungen, sondern nur, um Admins zu berechtigen. Exchange sollte also ohne noch funktionieren. Administrieren wird unter Umständen kniffelig... (wobei man die entsprechenden Rollen aus RBAC auch direkt Nutzern zuweisen kann).
Über die "Exchange Enterprise Server" werden Berechtigungen, die Exchange im AD hat verwaltet (teils über den Zwischenschritt "Exchange Trusted Subsystem") - das ist bestimmt nicht gut, wenn die fehlt.
Aber generell hast du ernsthafte Probleme, wenn's dir Gruppen oder Gruppenmitgliedschaften aus dem AD wegpfeift.
Gruß
Filipp
die "Exchange Organization Administrators" nutzt Exchange (m.W.) nicht für interne Berechtigungen, sondern nur, um Admins zu berechtigen. Exchange sollte also ohne noch funktionieren. Administrieren wird unter Umständen kniffelig... (wobei man die entsprechenden Rollen aus RBAC auch direkt Nutzern zuweisen kann).
Über die "Exchange Enterprise Server" werden Berechtigungen, die Exchange im AD hat verwaltet (teils über den Zwischenschritt "Exchange Trusted Subsystem") - das ist bestimmt nicht gut, wenn die fehlt.
Aber generell hast du ernsthafte Probleme, wenn's dir Gruppen oder Gruppenmitgliedschaften aus dem AD wegpfeift.
Gruß
Filipp
Besten Dank erstmal, also die Exchange Enterprise Server gibts doch nur, wenn ich einen Exchange Server 2003 installiert hatte. Seit 2007 gibts die ja nicht mehr.
Mich wundert aber, dass nicht mal der BPA meckert! Der prüft doch zuerst die vorhandenen Gruppen und dann die Berechtigungen.
Kann es sein, dass bei einer Migration diese Gruppen erst erstellt werden, wenn er letzte 2003er aus der AD entfernt wird oder diese Gruppen durch Enterprise Server und Domain Server quasi ersetzt werden???
Mich wundert aber, dass nicht mal der BPA meckert! Der prüft doch zuerst die vorhandenen Gruppen und dann die Berechtigungen.
Kann es sein, dass bei einer Migration diese Gruppen erst erstellt werden, wenn er letzte 2003er aus der AD entfernt wird oder diese Gruppen durch Enterprise Server und Domain Server quasi ersetzt werden???
Hallo,
Gruß
Filipp
die Exchange Enterprise Server gibts doch nur, wenn ich einen Exchange Server 2003 installiert hatte.
Richtig. War mir entgangen, bei Exchange 2010 gibt's stattdessen die Gruppe "Exchange Servers"Kann es sein, dass bei einer Migration diese Gruppen erst erstellt werden, wenn er letzte 2003er aus der AD entfernt wird
Nein. Die brauchst du während der Koexistenz (um nämlich die Exchange-Server aufeinander zu berechtigen). Angelegt werden sollen sie vor der Installation des ersten Exchange mit "Setup /PrepareLegacyExchangePermissions", siehe http://technet.microsoft.com/en-us/library/bb125224.aspxGruß
Filipp
Ja hatte ich nicht erwähnt, ist natürlich bereits passiert... Ich orientiere mich morgen mal am Stichwort WriteDACL... Mal schauen...
Die Gruppen passen übrigens so, also Entwarnung, hab eben nochmal bei ner alten Migration geschaut...
Mir liegen nur noch die 6 Stunden im Magen...
Die Gruppen passen übrigens so, also Entwarnung, hab eben nochmal bei ner alten Migration geschaut...
Mir liegen nur noch die 6 Stunden im Magen...
Mir liegen nur noch die 6 Stunden im Magen
Das Ratiopharm dagegen steht oben - schon bemerkt?
