hendrik2586
Goto Top

Exchange Zugriff auf Active Directory

Hallo @ all. face-smile

Kurze Frage.

Wir haben hier zwei Windows Server 2012 R2 VMs. (ich weiß, ich mach sie bald neu mit Server 2022)

Auf dem einen ist der Domain Controller (einziger in der Domäne) und auf der anderen der Exchange Server 2016 mit CU 22.

Wir haben heute versucht mit dem Admin eine neue UserMailbox anzulegen. Heißt das der Exchange auch gleich den Nutzer auf dem Exchange anlegen soll. Leider klappt das nicht, obwohl der Admin in der Security Group und allem drin ist.

Hier einmal die Fehlermeldung.


"Fehler bei Active Directory-Vorgang mit xx1.exchange.xx.net. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-031A1256, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 "

Woran könnte das noch liegen? Ich meine auch es hat mal funktioniert. Ich hatte einen Beitrag gelesen, das nach der Einspielung von CU17 bei ein paar Leute solche Probleme aufgetreten sind, aber ich hab keine Behebung gefunden.


Wer kann mir hier helfen?

Content-ID: 6379616418

Url: https://administrator.de/forum/exchange-zugriff-auf-active-directory-6379616418.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Coreknabe
Coreknabe 15.03.2023 aktualisiert um 15:08:02 Uhr
Goto Top
Mr-Gustav
Mr-Gustav 15.03.2023 aktualisiert um 18:19:02 Uhr
Goto Top
Was kommt den für eine Fehlermeldung wenn du den Benutzer über die Powershell versuchst anzulegen ?
Was sagt denn ein DCDIAG ? Habt Ihr irgendwas am AD gemacht was dem AD / DC nicht gepasst hat ?
Mach mal DCDIAG auf dem DC / Exchange und schau mal ins Sicherheitslog des EX und des DCß´s

Die Fehlermeldung sagt aber eigentlich aus das dir Berechtigungen fehlen. Passen die Gruppenmitgliedschaften des Users ?

Was passiert wenn du einen NEUEN Admin anlegst dann entspr. berechtigst und es dann noch mal versuchst ?
Irgendwelche Änderungen an der Firewall gemacht ? Hat sich das Netzwerkprofil ggf. von Domäne auf Privat gestellt ?
DCDIAG ausführen. Stehen da Fehler drinne ?
Stimmen die Zeiten auf beiden Systemen ? Zeitdiff. darf nicht zu groß sein sonst gibt´s Ärger mit Kerberos/ NTLM unc co.
Hendrik2586
Hendrik2586 16.03.2023 um 08:50:39 Uhr
Goto Top
Zitat von @Hendrik2586:

Hallo @ all. face-smile

Kurze Frage.

Wir haben hier zwei Windows Server 2012 R2 VMs. (ich weiß, ich mach sie bald neu mit Server 2022)

Auf dem einen ist der Domain Controller (einziger in der Domäne) und auf der anderen der Exchange Server 2016 mit CU 22.

Wir haben heute versucht mit dem Admin eine neue UserMailbox anzulegen. Heißt das der Exchange auch gleich den Nutzer auf dem Exchange anlegen soll. Leider klappt das nicht, obwohl der Admin in der Security Group und allem drin ist.

Hier einmal die Fehlermeldung.


"Fehler bei Active Directory-Vorgang mit xx1.exchange.xx.net. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-031A1256, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 "

Woran könnte das noch liegen? Ich meine auch es hat mal funktioniert. Ich hatte einen Beitrag gelesen, das nach der Einspielung von CU17 bei ein paar Leute solche Probleme aufgetreten sind, aber ich hab keine Behebung gefunden.


Wer kann mir hier helfen?

Zitat von @Mr-Gustav:

Was kommt den für eine Fehlermeldung wenn du den Benutzer über die Powershell versuchst anzulegen ?
Was sagt denn ein DCDIAG ? Habt Ihr irgendwas am AD gemacht was dem AD / DC nicht gepasst hat ?
Mach mal DCDIAG auf dem DC / Exchange und schau mal ins Sicherheitslog des EX und des DCß´s

Die Fehlermeldung sagt aber eigentlich aus das dir Berechtigungen fehlen. Passen die Gruppenmitgliedschaften des Users ?

Was passiert wenn du einen NEUEN Admin anlegst dann entspr. berechtigst und es dann noch mal versuchst ?
Irgendwelche Änderungen an der Firewall gemacht ? Hat sich das Netzwerkprofil ggf. von Domäne auf Privat gestellt ?
DCDIAG ausführen. Stehen da Fehler drinne ?
Stimmen die Zeiten auf beiden Systemen ? Zeitdiff. darf nicht zu groß sein sonst gibt´s Ärger mit Kerberos/ NTLM unc co.

DCDIAG auf Exchange

PS C:\Users\Administrator> dcdiag

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = dc1
        • Identifizierte AD-Gesamtstruktur.
        Sammeln der Ausgangsinformationen abgeschlossen.

        Erforderliche Anfangstests werden ausgeführt.

        Server wird getestet: Default-First-Site-Name\DC1
        Starting test: Connectivity
        ......................... DC1 hat den Test Connectivity bestanden.

        Primärtests werden ausgeführt.

        Server wird getestet: Default-First-Site-Name\DC1
        Starting test: Advertising
        ......................... DC1 hat den Test Advertising bestanden.
        Starting test: FrsEvent
        ......................... DC1 hat den Test FrsEvent bestanden.
        Starting test: DFSREvent
        ......................... DC1 hat den Test DFSREvent bestanden.
        Starting test: SysVolCheck
        ......................... DC1 hat den Test SysVolCheck bestanden.
        Starting test: KccEvent
        ......................... DC1 hat den Test KccEvent bestanden.
        Starting test: KnowsOfRoleHolders
        ......................... DC1 hat den Test KnowsOfRoleHolders bestanden.
        Starting test: MachineAccount
        ......................... DC1 hat den Test MachineAccount bestanden.
        Starting test: NCSecDesc
        ......................... DC1 hat den Test NCSecDesc bestanden.
        Starting test: NetLogons
        ......................... DC1 hat den Test NetLogons bestanden.
        Starting test: ObjectsReplicated
        ......................... DC1 hat den Test ObjectsReplicated bestanden.
        Starting test: Replications
        ......................... DC1 hat den Test Replications bestanden.
        Starting test: RidManager
        ......................... DC1 hat den Test RidManager bestanden.
        Starting test: Services
        ......................... DC1 hat den Test Services bestanden.
        Starting test: SystemLog
        ......................... DC1 hat den Test SystemLog bestanden.
        Starting test: VerifyReferences
        ......................... DC1 hat den Test VerifyReferences bestanden.


        Partitionstests werden ausgeführt auf: ForestDnsZones
        Starting test: CheckSDRefDom
        ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: DomainDnsZones
        Starting test: CheckSDRefDom
        ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: Schema
        Starting test: CheckSDRefDom
        ......................... Schema hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... Schema hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: Configuration
        Starting test: CheckSDRefDom
        ......................... Configuration hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... Configuration hat den Test CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: exchange
        Starting test: CheckSDRefDom
        ......................... exchange hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... exchange hat den Test CrossRefValidation bestanden.

        Unternehmenstests werden ausgeführt auf: exchange.p4.net
        Starting test: LocatorCheck
        ......................... exchange.p4.net hat den Test LocatorCheck bestanden.
        Starting test: Intersite
        ......................... exchange.p4.net hat den Test Intersite bestanden.

        Wenn ich das so sehe würde ich sagen sieh die Konnektivität zum DC i.o aus. Kann also nur eine Berechtigungssache sein.
Hendrik2586
Hendrik2586 16.03.2023 um 13:31:33 Uhr
Goto Top
Hab jetzt auch nochmal nen neuen Admin erstellt, also einen der Fast alle Berechtigungen für Exchange hat. Leider kann auch dieser keinen User im AD anlegen. Sehr komisch das Ganze.