4
Exchange Zugriff auf Active Directory
Hallo @ all. 
Kurze Frage.
Wir haben hier zwei Windows Server 2012 R2 VMs. (ich weiß, ich mach sie bald neu mit Server 2022)
Auf dem einen ist der Domain Controller (einziger in der Domäne) und auf der anderen der Exchange Server 2016 mit CU 22.
Wir haben heute versucht mit dem Admin eine neue UserMailbox anzulegen. Heißt das der Exchange auch gleich den Nutzer auf dem Exchange anlegen soll. Leider klappt das nicht, obwohl der Admin in der Security Group und allem drin ist.
Hier einmal die Fehlermeldung.
"Fehler bei Active Directory-Vorgang mit xx1.exchange.xx.net. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-031A1256, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 "
Woran könnte das noch liegen? Ich meine auch es hat mal funktioniert. Ich hatte einen Beitrag gelesen, das nach der Einspielung von CU17 bei ein paar Leute solche Probleme aufgetreten sind, aber ich hab keine Behebung gefunden.
Wer kann mir hier helfen?
Kurze Frage.
Wir haben hier zwei Windows Server 2012 R2 VMs. (ich weiß, ich mach sie bald neu mit Server 2022)
Auf dem einen ist der Domain Controller (einziger in der Domäne) und auf der anderen der Exchange Server 2016 mit CU 22.
Wir haben heute versucht mit dem Admin eine neue UserMailbox anzulegen. Heißt das der Exchange auch gleich den Nutzer auf dem Exchange anlegen soll. Leider klappt das nicht, obwohl der Admin in der Security Group und allem drin ist.
Hier einmal die Fehlermeldung.
"Fehler bei Active Directory-Vorgang mit xx1.exchange.xx.net. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-031A1256, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 "
Woran könnte das noch liegen? Ich meine auch es hat mal funktioniert. Ich hatte einen Beitrag gelesen, das nach der Einspielung von CU17 bei ein paar Leute solche Probleme aufgetreten sind, aber ich hab keine Behebung gefunden.
Wer kann mir hier helfen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6379616418
Url: https://administrator.de/contentid/6379616418
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
evtl. das hier?
https://exchangemaster.wordpress.com/2017/12/06/missing-recipient-creati ...
EDIT:
Oder das?
https://www.mcseboard.de/topic/221464-fehler-4003-insuff_access_rights/
Gruß
evtl. das hier?
https://exchangemaster.wordpress.com/2017/12/06/missing-recipient-creati ...
EDIT:
Oder das?
https://www.mcseboard.de/topic/221464-fehler-4003-insuff_access_rights/
Gruß
Was kommt den für eine Fehlermeldung wenn du den Benutzer über die Powershell versuchst anzulegen ?
Was sagt denn ein DCDIAG ? Habt Ihr irgendwas am AD gemacht was dem AD / DC nicht gepasst hat ?
Mach mal DCDIAG auf dem DC / Exchange und schau mal ins Sicherheitslog des EX und des DCß´s
Die Fehlermeldung sagt aber eigentlich aus das dir Berechtigungen fehlen. Passen die Gruppenmitgliedschaften des Users ?
Was passiert wenn du einen NEUEN Admin anlegst dann entspr. berechtigst und es dann noch mal versuchst ?
Irgendwelche Änderungen an der Firewall gemacht ? Hat sich das Netzwerkprofil ggf. von Domäne auf Privat gestellt ?
DCDIAG ausführen. Stehen da Fehler drinne ?
Stimmen die Zeiten auf beiden Systemen ? Zeitdiff. darf nicht zu groß sein sonst gibt´s Ärger mit Kerberos/ NTLM unc co.
Was sagt denn ein DCDIAG ? Habt Ihr irgendwas am AD gemacht was dem AD / DC nicht gepasst hat ?
Mach mal DCDIAG auf dem DC / Exchange und schau mal ins Sicherheitslog des EX und des DCß´s
Die Fehlermeldung sagt aber eigentlich aus das dir Berechtigungen fehlen. Passen die Gruppenmitgliedschaften des Users ?
Was passiert wenn du einen NEUEN Admin anlegst dann entspr. berechtigst und es dann noch mal versuchst ?
Irgendwelche Änderungen an der Firewall gemacht ? Hat sich das Netzwerkprofil ggf. von Domäne auf Privat gestellt ?
DCDIAG ausführen. Stehen da Fehler drinne ?
Stimmen die Zeiten auf beiden Systemen ? Zeitdiff. darf nicht zu groß sein sonst gibt´s Ärger mit Kerberos/ NTLM unc co.
Zitat von @Hendrik2586:
Hallo @ all.
Kurze Frage.
Wir haben hier zwei Windows Server 2012 R2 VMs. (ich weiß, ich mach sie bald neu mit Server 2022)
Auf dem einen ist der Domain Controller (einziger in der Domäne) und auf der anderen der Exchange Server 2016 mit CU 22.
Wir haben heute versucht mit dem Admin eine neue UserMailbox anzulegen. Heißt das der Exchange auch gleich den Nutzer auf dem Exchange anlegen soll. Leider klappt das nicht, obwohl der Admin in der Security Group und allem drin ist.
Hier einmal die Fehlermeldung.
"Fehler bei Active Directory-Vorgang mit xx1.exchange.xx.net. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-031A1256, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 "
Woran könnte das noch liegen? Ich meine auch es hat mal funktioniert. Ich hatte einen Beitrag gelesen, das nach der Einspielung von CU17 bei ein paar Leute solche Probleme aufgetreten sind, aber ich hab keine Behebung gefunden.
Wer kann mir hier helfen?
Hallo @ all.
Kurze Frage.
Wir haben hier zwei Windows Server 2012 R2 VMs. (ich weiß, ich mach sie bald neu mit Server 2022)
Auf dem einen ist der Domain Controller (einziger in der Domäne) und auf der anderen der Exchange Server 2016 mit CU 22.
Wir haben heute versucht mit dem Admin eine neue UserMailbox anzulegen. Heißt das der Exchange auch gleich den Nutzer auf dem Exchange anlegen soll. Leider klappt das nicht, obwohl der Admin in der Security Group und allem drin ist.
Hier einmal die Fehlermeldung.
"Fehler bei Active Directory-Vorgang mit xx1.exchange.xx.net. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert. Active Directory-Antwort: 00000005: SecErr: DSID-031A1256, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 "
Woran könnte das noch liegen? Ich meine auch es hat mal funktioniert. Ich hatte einen Beitrag gelesen, das nach der Einspielung von CU17 bei ein paar Leute solche Probleme aufgetreten sind, aber ich hab keine Behebung gefunden.
Wer kann mir hier helfen?
Zitat von @Mr-Gustav:
Was kommt den für eine Fehlermeldung wenn du den Benutzer über die Powershell versuchst anzulegen ?
Was sagt denn ein DCDIAG ? Habt Ihr irgendwas am AD gemacht was dem AD / DC nicht gepasst hat ?
Mach mal DCDIAG auf dem DC / Exchange und schau mal ins Sicherheitslog des EX und des DCß´s
Die Fehlermeldung sagt aber eigentlich aus das dir Berechtigungen fehlen. Passen die Gruppenmitgliedschaften des Users ?
Was passiert wenn du einen NEUEN Admin anlegst dann entspr. berechtigst und es dann noch mal versuchst ?
Irgendwelche Änderungen an der Firewall gemacht ? Hat sich das Netzwerkprofil ggf. von Domäne auf Privat gestellt ?
DCDIAG ausführen. Stehen da Fehler drinne ?
Stimmen die Zeiten auf beiden Systemen ? Zeitdiff. darf nicht zu groß sein sonst gibt´s Ärger mit Kerberos/ NTLM unc co.
Was kommt den für eine Fehlermeldung wenn du den Benutzer über die Powershell versuchst anzulegen ?
Was sagt denn ein DCDIAG ? Habt Ihr irgendwas am AD gemacht was dem AD / DC nicht gepasst hat ?
Mach mal DCDIAG auf dem DC / Exchange und schau mal ins Sicherheitslog des EX und des DCß´s
Die Fehlermeldung sagt aber eigentlich aus das dir Berechtigungen fehlen. Passen die Gruppenmitgliedschaften des Users ?
Was passiert wenn du einen NEUEN Admin anlegst dann entspr. berechtigst und es dann noch mal versuchst ?
Irgendwelche Änderungen an der Firewall gemacht ? Hat sich das Netzwerkprofil ggf. von Domäne auf Privat gestellt ?
DCDIAG ausführen. Stehen da Fehler drinne ?
Stimmen die Zeiten auf beiden Systemen ? Zeitdiff. darf nicht zu groß sein sonst gibt´s Ärger mit Kerberos/ NTLM unc co.
DCDIAG auf Exchange
PS C:\Users\Administrator> dcdiag
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = dc1
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\DC1
Starting test: Connectivity
......................... DC1 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\DC1
Starting test: Advertising
......................... DC1 hat den Test Advertising bestanden.
Starting test: FrsEvent
......................... DC1 hat den Test FrsEvent bestanden.
Starting test: DFSREvent
......................... DC1 hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... DC1 hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... DC1 hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... DC1 hat den Test KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
......................... DC1 hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... DC1 hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... DC1 hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... DC1 hat den Test ObjectsReplicated bestanden.
Starting test: Replications
......................... DC1 hat den Test Replications bestanden.
Starting test: RidManager
......................... DC1 hat den Test RidManager bestanden.
Starting test: Services
......................... DC1 hat den Test Services bestanden.
Starting test: SystemLog
......................... DC1 hat den Test SystemLog bestanden.
Starting test: VerifyReferences
......................... DC1 hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: exchange
Starting test: CheckSDRefDom
......................... exchange hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... exchange hat den Test CrossRefValidation bestanden.
Unternehmenstests werden ausgeführt auf: exchange.p4.net
Starting test: LocatorCheck
......................... exchange.p4.net hat den Test LocatorCheck bestanden.
Starting test: Intersite
......................... exchange.p4.net hat den Test Intersite bestanden.
Wenn ich das so sehe würde ich sagen sieh die Konnektivität zum DC i.o aus. Kann also nur eine Berechtigungssache sein.
Hab jetzt auch nochmal nen neuen Admin erstellt, also einen der Fast alle Berechtigungen für Exchange hat. Leider kann auch dieser keinen User im AD anlegen. Sehr komisch das Ganze.
