Exchange Initialisierugsfehler Zugriff verweigert nach Änderung von "Anmelden über Remotdesktopdienste verweigern" GPO
Hallo,
einer meiner Kollegen hat heute fälschlicherweise die GPO Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten - Anmelden über Remotedesktopdienste verweigern für "All Users" konfiguriert.
Danach haben die Outlook Clients angefangen nach dem Userpasswort zu fragen und dieses wurde immer als "falsch" bewertet. In der Exchange MMC bekommen wir die Fehlermeldung "Initialisierungsfehler Fehler beim Verbindungsversuch mit http://server.domäne.local/PowerShell mithilfe von "Kerberos"-Authentifizierung: Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Zugriff verweigert."
Folgende Lösungsversuche wurden unternommen:
- Anmelden über Remotdesktopdienste zulassen für "All Users"
- EMTshooter.ps1 Fehlermeldung: The user account that is attempting to connect is not Remote PowerShell enabled. To check if a user is enabled for Remote PowerShell, you need to open the Exchange Management Shell with an account that has been enabled,and run the following query:
(Get-User <username>).RemotePowershellEnabled
This will return a True or False. If the output shows False, the user is not enabled for Remote PowerShell. To enable the user, run the following command:
Set-User <username> -RemotePowerShellEnabled True
- Set-User <Benutzername> -RemotePowerShellEnabled $True - Fehlermeldung: Die Benennung "Set-User" wurde nicht als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern enthalten), und wiederholen Sie den Vorgang.
- winrm quickconfig - Fehlermeldung: Zugriff verweigert
Gibt es noch irgendeine Möglichkeit das wieder zurecht zu biegen, oder kommen wir um einen Restore von der Sicherung nicht rum?
Exchange 2010 auf SBS2011
Danke und VG
einer meiner Kollegen hat heute fälschlicherweise die GPO Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten - Anmelden über Remotedesktopdienste verweigern für "All Users" konfiguriert.
Danach haben die Outlook Clients angefangen nach dem Userpasswort zu fragen und dieses wurde immer als "falsch" bewertet. In der Exchange MMC bekommen wir die Fehlermeldung "Initialisierungsfehler Fehler beim Verbindungsversuch mit http://server.domäne.local/PowerShell mithilfe von "Kerberos"-Authentifizierung: Beim Verbinden mit dem Remoteserver ist folgender Fehler aufgetreten: Zugriff verweigert."
Folgende Lösungsversuche wurden unternommen:
- Anmelden über Remotdesktopdienste zulassen für "All Users"
- EMTshooter.ps1 Fehlermeldung: The user account that is attempting to connect is not Remote PowerShell enabled. To check if a user is enabled for Remote PowerShell, you need to open the Exchange Management Shell with an account that has been enabled,and run the following query:
(Get-User <username>).RemotePowershellEnabled
This will return a True or False. If the output shows False, the user is not enabled for Remote PowerShell. To enable the user, run the following command:
Set-User <username> -RemotePowerShellEnabled True
- Set-User <Benutzername> -RemotePowerShellEnabled $True - Fehlermeldung: Die Benennung "Set-User" wurde nicht als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern enthalten), und wiederholen Sie den Vorgang.
- winrm quickconfig - Fehlermeldung: Zugriff verweigert
Gibt es noch irgendeine Möglichkeit das wieder zurecht zu biegen, oder kommen wir um einen Restore von der Sicherung nicht rum?
Exchange 2010 auf SBS2011
Danke und VG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 321718
Url: https://administrator.de/contentid/321718
Ausgedruckt am: 16.11.2024 um 19:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
https://technet.microsoft.com/en-us/library/cc754760(v=ws.11).aspx
Gruß,
Peter
Zitat von @Hamsert:
GPO Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten - Anmelden über Remotedesktopdienste verweigern für "All Users" konfiguriert.
Und für welche Rechner bzw. Benutzer in deiner OU war das gedacht bzw. wird angewendet, Computer, Server, DCs, Benutzergruppe? Oder ist das gar in der Domain Default Policy geschehen?GPO Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten - Anmelden über Remotedesktopdienste verweigern für "All Users" konfiguriert.
Danach haben die Outlook Clients angefangen nach dem Userpasswort zu fragen und dieses wurde immer als "falsch" bewertet.
So ganz verstehe ich nicht wie die Verweigerung von RDP jetzt mit Outlook zusammenhängt?In der Exchange MMC bekommen
Die luft also nicht auf dein SBS, oder?- Anmelden über Remotdesktopdienste zulassen für "All Users"
Und, wurde die GPO auf erfolgreich angewendet an den betreffenden Maschinen / Benutzern? Das war doch das einzige was verstellt wurde, oder?Gibt es noch irgendeine Möglichkeit das wieder zurecht zu biegen, oder kommen wir um einen Restore von der Sicherung nicht rum?
https://www.petri.com/back-up-restore-group-policy-objects-using-powersh ...https://technet.microsoft.com/en-us/library/cc754760(v=ws.11).aspx
Exchange 2010 auf SBS2011
Der einzige DC bei euch? An die Konsole kommt ihr aber dran?Gruß,
Peter
Hallo,
Aber zum schauen ob wirklich nichts anderes geändert wurde schon. Hier steht wo die Dateien liegen und was einiges dort bedeutet. http://www.windowsnetworking.com/articles-tutorials/common/Group-Policy ...
Schliesse aus was nicht der Fehler ist, übrig bleibt der Fehler.
Gruß,
Peter
Aber zum schauen ob wirklich nichts anderes geändert wurde schon. Hier steht wo die Dateien liegen und was einiges dort bedeutet. http://www.windowsnetworking.com/articles-tutorials/common/Group-Policy ...
Die eine Änderung ließ sich ja recht einfach rückgängig machen, allerdings sind die Probleme damit nicht verschwunden.
Wenns nicht an der DDP und deren RDP Einstellungen war, dann entweder an andere GPOs oder gar ganz woanders.Schliesse aus was nicht der Fehler ist, übrig bleibt der Fehler.
Gruß,
Peter
keine Möglichkeit die Mails erneut zustellen zu lassen, oder?
Die Mails sind weg. Einzige Option wäre die über die Mailarchivierung die ihr verwendet zurückzuspielen.Wenn die Outlooks cachen, kann man darüber ggf auch die Mails einpflegen oder zumindest lesen.
Ansonsten hätte man den aktuellenzustand vom Netz trennen, Exchange stippen (vor allem die DB) das dann wegkopieren, das Backup einspielen und vor dem Booten die Verzeichnsisse mit DB und Logfiles über die aus dem Backupschieben und dan den Server starten.
Nicht schön, aber hätte vermutlich funktioniert und wenn nicht, dann nochmal restore
Aber jetzt ist zu spät.
Gruß
Chonta
Hallo,
Und das hat dein Ursprungsproblem (weshalb du hier bist) gelöst? dann bitte den grünen Balken drangepappt. Wie kann ich einen Beitrag als gelöst markieren?
Archivlösung im Hause? Dann dort schauen....
Outlook Clients im Cache Mode aber noch nicht neu gestartet bevor die Sicherung.....
Ist demjenigen der ein Restore anstösst nicht klar was bei ein Überschreiben der Daten mit eben älteren gleichlautende Dateinamen im dateisystem passiert? Egal ob Image (Festplattensektor basierend) oder wie beim NTBackup dateibasierend passiert? Bei NTBackup konntest du zumindest bestimmte Dateien weglassen um eben ein datenverlust zu vermeiden. Selbt der Exchange Store (EDB Files) konnte ausgesparrt werden. Bei Fesplattenabbilder eher schwierig ausser du nutzt Exchange aware Datensicherungen....
Gruß,
Peter
Und das hat dein Ursprungsproblem (weshalb du hier bist) gelöst? dann bitte den grünen Balken drangepappt. Wie kann ich einen Beitrag als gelöst markieren?
Da die Mails aber gestern an den Exchange zugestellt wurden gibt es wahrscheinlich keine Möglichkeit die Mails erneut zustellen zu lassen, oder?
Kennste alle Absender? Dann diese Fragen ob die dir ....Archivlösung im Hause? Dann dort schauen....
Outlook Clients im Cache Mode aber noch nicht neu gestartet bevor die Sicherung.....
Ist demjenigen der ein Restore anstösst nicht klar was bei ein Überschreiben der Daten mit eben älteren gleichlautende Dateinamen im dateisystem passiert? Egal ob Image (Festplattensektor basierend) oder wie beim NTBackup dateibasierend passiert? Bei NTBackup konntest du zumindest bestimmte Dateien weglassen um eben ein datenverlust zu vermeiden. Selbt der Exchange Store (EDB Files) konnte ausgesparrt werden. Bei Fesplattenabbilder eher schwierig ausser du nutzt Exchange aware Datensicherungen....
Gruß,
Peter
Archivlösung im Hause? Dann dort schauen....
Dummerweise auf dem selben Server am laufen, wir haben nur diesen Server der dafür in Frage kommt.Dann habt ihr ablso keine Mailarchivieruung welche euch Rechtssicherheit gewährt oder in einem Falle wie diesem euch die Mails wiederbringt....
Wenn man keinen Server dafür im eigenen Netzwerk hat, kann man das ganze auch über einen externen Anbieter regeln, über den dann alle Mails versendet und empfangen werden.
Kostet Geld, aber ihr seid auf der sicheren Seite.
Gruß
Chonta
Hallo,
Warum habt ihr das dann dort so gemacht. Sicher das nur eurem Exchange ein paar Daten Fehlen? Und wie viele (Admin) Kollegen hast du denn die an deinen SBS 2011 (einziger DC, gleichzeitig Exchange Archiv Server....) dran kommen können / dürfen und dort Experimente mit GPOs (gar der DDP) anstellt? Vielleicht mal überdenken wer was wo darf und sogenannte (Admin) Kollegen den Zutritt verwehren (Rechte).
Bei Datenrestores in lebende Objekte lasse ich mich nicht drängeln damit ich genau überlegen kann was das Ergebnis sein wird - inklusive der zu erwartende Datenverlust hervorgerufen durch einer durchgeführten Zeitreise. Aber wie heisst es: Wer noch nie bei einer Wiederherstellung Daten vernichtet hat - hat noch nie eine datenrücksicherung machen müssen Umso wichtiger ist das Nachdenken hierbei gerade wenn die Resourcen extrem knapp sind und ein GF den Ernst der lage nicht erkennt.
Auch bei einen SBS kannst du beliebig viele (75 Deices ) weitere DCs haben. Ein kleine Celeron mit 2 GB reicht da schon aus. Das kann gar ein Server 2016 sein. Auf ein Intel NUC i3 mit kleiner 128 GB SSD (M.2) braucht nur ca. 30 Watt.
Gruß,
Peter
Warum habt ihr das dann dort so gemacht. Sicher das nur eurem Exchange ein paar Daten Fehlen? Und wie viele (Admin) Kollegen hast du denn die an deinen SBS 2011 (einziger DC, gleichzeitig Exchange Archiv Server....) dran kommen können / dürfen und dort Experimente mit GPOs (gar der DDP) anstellt? Vielleicht mal überdenken wer was wo darf und sogenannte (Admin) Kollegen den Zutritt verwehren (Rechte).
Bei Datenrestores in lebende Objekte lasse ich mich nicht drängeln damit ich genau überlegen kann was das Ergebnis sein wird - inklusive der zu erwartende Datenverlust hervorgerufen durch einer durchgeführten Zeitreise. Aber wie heisst es: Wer noch nie bei einer Wiederherstellung Daten vernichtet hat - hat noch nie eine datenrücksicherung machen müssen Umso wichtiger ist das Nachdenken hierbei gerade wenn die Resourcen extrem knapp sind und ein GF den Ernst der lage nicht erkennt.
Auch bei einen SBS kannst du beliebig viele (75 Deices ) weitere DCs haben. Ein kleine Celeron mit 2 GB reicht da schon aus. Das kann gar ein Server 2016 sein. Auf ein Intel NUC i3 mit kleiner 128 GB SSD (M.2) braucht nur ca. 30 Watt.
Gruß,
Peter