freili
Goto Top

Exchange 2016 kein OWA für Administrator möglich

Hallo zusammen!

Ich habe einen Exchange2010 nach 2016 migriert nach der Anleitung von Franky (https://www.frankysweb.de/howto-migration-von-exchange-2010-zu-exchange- ..).

Als Testpostfach hatte ich das vom Administrator verschoben. Outlook getestet -> ok. Mich wunderte allerdings, dass ich das Zertifikat vom alten 2010er presentiert bekam. OWA funktionierte zu diesem Zeitpunkt, allerdings mit der 2010er Version. Ich habe also den Batch für alle User gestartet. Nach erfolgreicher Beenendigung war der Outlookzugriff ebenfalls möglich und alle anderen User bekamen im OWA auch die 2016er Seite. Nach Deinstallation vom alten 2010er war OWA für den Administrator nicht mehr möglich (http 500 Error). Outlook funktioniert einwandfrei (auch ECP und Powersehll).

Hat jemand da ein Vorschlag, das zu reparieren?

Content-ID: 593756

Url: https://administrator.de/forum/exchange-2016-kein-owa-fuer-administrator-moeglich-593756.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr

145033
145033 05.08.2020 aktualisiert um 13:00:08 Uhr
Goto Top
Exchange Mailboxen für administrative Domain Konten => never ever !
Auch ein Grund warum das per Default für administrative Domain-Konten deaktiviert ist. Exchange Konten nur für niedrig privilegierte User. Und wenn der Admin eins braucht, legt man der sich einen Altags-Useraccount an und erstellt für den das EX Konto, alles andere ist ein hohes Risiko für die Sicherheit der Domain.
wiesi200
wiesi200 05.08.2020 um 12:56:54 Uhr
Goto Top
Hallo,
Ich stimm da @145033 zu.
Da gibt's nicht's zur reparieren, das gehört so.
freili
freili 05.08.2020 aktualisiert um 14:04:49 Uhr
Goto Top
Sorry, aber das ist nicht die Frage.
Exchange MUSS mit einem adminsitrativen Konto installiert werden und dieser Benutzer bekommt automatisch ein Postfach... Außerdem werden diverse Benachrichtigungen an das administrative Exchange Konto geschickt - beispielsweise Abschluss eines Migrationsbatches
und @wiesi200
NEIN das muss nicht so.
MysticFoxDE
MysticFoxDE 05.08.2020 aktualisiert um 14:40:47 Uhr
Goto Top
Moin Kleber,


Zitat von @145033:

Auch ein Grund warum das per Default für administrative Domain-Konten deaktiviert ist.

wie kommst du jetzt bitte auf diese Idee?
Ich habe aktuell einen Exchange 2019 vor meiner Nase und kann für jeden Benutzer, der in der gruppe "Domänen-Admin" ist ohne jegliche Warnung ein Postfach anlegen.

Soweit ich das weis, muss das Domänen-Administrator Konto beim Exchange sogar ein Postfach haben.

Grüsse aus BaWü

Alex
MysticFoxDE
MysticFoxDE 05.08.2020 aktualisiert um 14:41:42 Uhr
Goto Top
Moin freili,

dein Problem kann viele Gründe haben, ohne genauere Informationen ist es schwer dir den richtigen Tip zu geben.

Aber du kannst schon mal das folgende ausprobieren.
Gehe in die Active Directory Benutzer Verwaltung und öffne die Eigenschaften des entsprechenden administrativen Accounts.
Dann gehe auf den Reiter "Sicherheit" und klicke dort im unteren Bereich auf den Button "Erweitert".
In dem folgenden Dialog bitte auf den Button "Vererbung aktivieren" klicken und mit OK bestätigen.

temp_exch_owa_admin_01


Und die anderen beiden noch offenen Fenster auch mit OK bestätigen.

Anschliessend schauen, ob das Problem nicht schon behoben ist.

Grüsse aus BaWü

Alex
145033
145033 05.08.2020 aktualisiert um 15:13:43 Uhr
Goto Top
Zitat von @MysticFoxDE:
wie kommst du jetzt bitte auf diese Idee?
Ich habe aktuell einen Exchange 2019 vor meiner Nase und kann für jeden Benutzer, der in der gruppe "Domänen-Admin" ist ohne jegliche Warnung ein Postfach anlegen.
Anlegen schon daran hindert dich keiner, aber Zugreifen nicht ohne Einschränkungen und ohne Anpassung der Berechtigungen!
Soweit ich das weis, muss das Domänen-Administrator Konto beim Exchange sogar ein Postfach haben.
Nein.

Und das Anpassen der Berechtigungen wie du oben genannt hast sollte man tunlichst vermeiden.
Mit domänenadministrativen Konten sollte niemals auf den Exchange gearbeitet werden, das schwächt die Sicherheit der ganzen Domäne, die Einstellung hat seinen guten Grund!!

Jetzt machen es nur noch mehr Kiddies nach und denken nicht einmal drüber nach.
freili
freili 05.08.2020 um 15:09:28 Uhr
Goto Top
Hi Alex!

Das war die Ursache. Hatte ich inzwischen aus anderem Grund probiert (Handyzugriff ging nicht, Nach Aktivierung der Vererbung klappte es mit dem Handy. Und OWA)

Vielen Dank für Deinen Tipp
wiesi200
wiesi200 05.08.2020 um 15:09:56 Uhr
Goto Top
Es ist nun mal jetzt so "Default" aus Sicherheitsgründen.
Klar geh in das Admincenter und aktiviere OWA für den Admin.

Nur gehört das eigentlich deaktviert gelassen.
MysticFoxDE
MysticFoxDE 05.08.2020 um 15:51:51 Uhr
Goto Top
Moin freili,

Das war die Ursache. Hatte ich inzwischen aus anderem Grund probiert (Handyzugriff ging nicht, Nach Aktivierung der Vererbung klappte es mit dem Handy. Und OWA)

das Problem mit Owa und den Domänenadministratoren Accounts ist uralt. Die Vererbung hebt auch nicht lange, spätestens nach einer Stunde wird diese wieder rückgängig gemacht. OWA sollte danach immer noch funktionieren, und auch die bis dahin gekoppelte Geräte.

Sicherheitstechnisch gebe ich jedoch wiesi200 und auch kleiber vollständig recht. Man muss schon höllisch aufpassen, wo man dann OWA mit den Adminzugangsdaten aufruft und oder über welches Endgerät.

Ich schlimmsten Fall, verrätst du somit deine heiligsten Zugangsdaten an jemanden, der diese nicht haben sollte.

Grüsse aus BaWü

Alex