buddy117
Goto Top

Exchange 2013 CU17 Problem beim Anlegen eines Benutzers

Hallo zusammen,

ich habe folgendes Problem auf einem Exchange 2013 CU 17(Exchange läuft auf Server 2012R2).
Beim Anlegen eines neuen Benutzer bekomme ich folgende Fehlermeldung:

Fehler bei Active Directory-Vorgang mit xxxx. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-03152501, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Die Meldung bekomme ich beim Anlegen eines neuen Benutzers und auch wenn einem vorhandenem Benutzer ein Postfach zugeteilt wird. Nach dem Bestätigen der Fehlermeldung gibt es den Benutzer im AD. (Er ist aber deaktiviert).

Ereignisprotokoll liefert nur Fehler Cmdlet fehlgeschlagen. Cmdlet New-Mailbox Ereignis-ID 6.

Hat von euch einer einen Tipp?

Grüße
Buddy117

Content-ID: 342778

Url: https://administrator.de/forum/exchange-2013-cu17-problem-beim-anlegen-eines-benutzers-342778.html

Ausgedruckt am: 26.12.2024 um 02:12 Uhr

133417
133417 07.07.2017 aktualisiert um 17:01:59 Uhr
Goto Top
(INSUFF_ACCESS_RIGHTS)
Ereignisprotokoll liefert nur Fehler Cmdlet fehlgeschlagen. Cmdlet New-Mailbox Ereignis-ID 6.
Ist doch eindeutig was hier falsch läuft face-wink. Der User der es ausführt darf keine Mailboxen anlegen. Ihm fehlt also die entsprechende Rollenzuweisung.

Gruß
Buddy117
Buddy117 07.07.2017 um 17:23:46 Uhr
Goto Top
Hallo BibersBaum,

danke für deine Rückmeldung. Benutzer ist aber in der Gruppe Schema Admins/Organisations Admins/Domänen Admins.
Denke das sollte reichen um einen Benutzer anzulegen.

Oder geht dort dann tatsächlich noch etwas ab?

Gruß
emeriks
emeriks 07.07.2017 aktualisiert um 18:07:12 Uhr
Goto Top
danke für deine Rückmeldung. Benutzer ist aber in der Gruppe Schema Admins/Organisations Admins/Domänen Admins.
Denke das sollte reichen um einen Benutzer anzulegen.
Keine Mailbox anlegen! Mailbox und Benutzer sind zwei Paar Schuhe.
133417
133417 07.07.2017 aktualisiert um 18:14:23 Uhr
Goto Top
Zitat von @Buddy117:

Hallo BibersBaum,

danke für deine Rückmeldung. Benutzer ist aber in der Gruppe Schema Admins/Organisations Admins/Domänen Admins.
Denke das sollte reichen um einen Benutzer anzulegen.

Oder geht dort dann tatsächlich noch etwas ab?
AD Benutzer und Mailboxen sind zwei paar Schuhe, und die Gruppen sagen nicht aus das sie Mailboxen anlegen dürfen, Exchange hat seinen eigenen Gruppen und Rollen. Exchange Organization Management etc. schau also in die EX-Gruppen!
New-Mailbox z.B. erstellt einen neuen AD-User inkl. Mailbox, New-ADUser hingegen nur einen AD-Benutzer ohne Mailbox.
Buddy117
Buddy117 07.07.2017 um 18:19:55 Uhr
Goto Top
Mein Benutzer ist Mitglied in der Gruppe Organization Management. Sollte reichen um einen Benutzer mit Postfach anzulegen oder liege ich da falsch?
z.B. mit meinem Benutzer darf ich bei einem Postfach die Funktion "OWA für Geräte" ausschalten .
133417
133417 07.07.2017 aktualisiert um 18:37:31 Uhr
Goto Top
Jepp.Solltest du dir aber dringend mal
https://technet.microsoft.com/en-us/library/dd335087(v=exchg.150).aspx
durchlesen.
Beim Anlegen eines neuen Benutzer bekomme ich folgende Fehlermeldung:
Wie legst du Postfach/AD-User an ? Powershell /GUI? Bitte kompletten Befehl inkl. original Fehlermeldung posten.
Buddy117
Buddy117 07.07.2017 um 18:46:08 Uhr
Goto Top
Also Postfach wird über die Gui angelegt. Bin an der Gui als Administrator angemeldet.
Fehlermeldung erscheint folgende:

Fehler bei Active Directory-Vorgang mit Domäne.local. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-03152501, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Habe alle Exchange Gruppen bereits mit einem funktionierenden Exchange Server verglichen. Hat alles gepasst.
133417
133417 07.07.2017 aktualisiert um 21:34:35 Uhr
Goto Top
Dann stell doch bitte mal in der PowerShell nach ob dort der gleiche Fehler auftritt.

Ist dem eine Exchange Migration vorausgegangen?

Ich vermute in dem Fall das eine ACE für den Account Exchange Trusted Subsystem im AD fehlt, entweder wurde da gefummelt oder bei der Migration ist was schief gelaufen.
Buddy117
Buddy117 08.07.2017 um 07:53:10 Uhr
Goto Top
Guten Morgen zusammen,

habe gerade einen Benutzer in der Shell versucht anzulegen. Bekomme dort die gleiche Fehlermeldung wie in der Gui.

Migration ist vorausgegangen das ist richtig....diese lief aber ohne Problem durch. Basis AD ist halt leider ein SBS gewesen...
Denke auch das ein ACE fehlt...die Frage ist nur welches. Habe auch schon das Setup/ adprep nochmals ausgeführt. Läuft alles einwandfrei durch aber der Fehler bleibt leider.

Gruß
133417
133417 08.07.2017 aktualisiert um 10:29:59 Uhr
Goto Top
Mach einfach einen Vergleich der ACLs des oben genannten Accounts mit einem cleanen Exchange-System und du weißt sofort wo die Berechtigung fehlt. Die Powershell ist hier wie immer dein Freund, solltest du als Exchange Admin aber wissen, wenn nicht, ab zurück in die Berufsschule face-wink, ein Exchange administriert ein richtiger Admin nicht mehr über die GUI, das machen meist nur noch die minderbemittelten SBS-Futzies.
emeriks
emeriks 08.07.2017 um 13:40:21 Uhr
Goto Top
ein Exchange administriert ein richtiger Admin nicht mehr über die GUI, das machen meist nur noch die minderbemittelten SBS-Futzies.
Vorsichtig!
133417
133417 09.07.2017 aktualisiert um 10:14:05 Uhr
Goto Top
Zitat von @emeriks:
Vorsichtig!
Achtung. Gefahr!
Buddy117
Buddy117 10.07.2017 um 08:21:45 Uhr
Goto Top
Hallo zusammen,

also mein Problem ist gelöst. Wollte nochmal Danke sagen für die tolle Unterstützung....;)
Lösung war die Exchange Groups neu anzulegen und den Server neuzustarten und jetzt läuft alles wieder einwandfrei.

Gruß