15
Exhange 2016 - Einige PS-Kommandos funktionieren nicht mehr
Hi,
wir haben hier ein AD mit mehreren Domains und On-Premise Exchange Server.
DC's und Exch sind Win2016, alle WSUS-Updates.
Exch Version ebenso 2016, aktuelles CU.
Seit letzter Woche Freitag (da ist es aufgefallen) funktionieren einige PS-Kommandos nicht mehr.
z.B.
liefert
Laut MS-Artikel könnte die Ursache sein:
Allerdings funktioniert mit selber Mailbox und selben DC das Kommando
Ohne Fehlermeldung und die Änderung kommt auch an. Damit kann es ja nicht am Zugriffstoken liegen?
Sobald man es anschließend wieder mit Parameter "-Type Shared" versucht, kommt der o.g. Fehler.
Die Mailbox ist z.Z.
Was letzte Woche geändert wurde ist folgendes:
Alles funktioniert. Die Exchange Hybrid Anbindung, der lokale Zugriff auf Echange (Postfächer mit Outlook), Mailversand und -emfang intern wie extren, usw.
Keine Probleme sonst.
Hat jemand ne Idee, woran das liegen könnte?
(Da sind jetzt noch andere Kommandos betroffen. Wenn Bedarf besteht, kann ich weitere Beispiele liefern.)
E.
wir haben hier ein AD mit mehreren Domains und On-Premise Exchange Server.
DC's und Exch sind Win2016, alle WSUS-Updates.
Exch Version ebenso 2016, aktuelles CU.
Seit letzter Woche Freitag (da ist es aufgefallen) funktionieren einige PS-Kommandos nicht mehr.
z.B.
Set-Mailbox -DomainController SUB-DC04.sub.domain.tld -Identity 'test_konto@sub.domain.de' -Type Shared Fehler bei Proxybefehl 'Set-Mailbox -DomainController:'SUB-DC04.sub.domain.tld' -Identity:'test_konto@sub.domain.de' -Type:'Shared' -Confirm:$False -Force:$True' an Server MAIN-EX02.domain.tld: Serverversion 15.01.2507.0000, Proxymethode RPS:
Der WinRM-Client kann die Anforderung nicht verarbeiten. Die Verbindungszeichenfolge sollte das Format [<Transport>://]<Host>[:<Port>][/<Suffix>] aufweisen,
wobei für den Transport "http" oder "https" angegeben werden kann. Transport, Port und Suffix sind optional. Der Host kann ein Hostname oder eine IP-Adresse sein.
Bei IPv6-Adressen muss die Adresse in Klammern gesetzt werden - z. B. "http://[1::2]:80/wsman". Ändern Sie die Verbindungszeichenfolge, und wiederholen Sie die Anforderung. Laut MS-Artikel könnte die Ursache sein:
Dieses Problem tritt auf, weil das Zugriffstoken des aktuellen Exchange-Administrators so groß ist, dass die Längenbeschränkung der Verbindungszeichenfolge in der Komponente Windows Remoteverwaltung (WinRM) überschritten wird. Die Längenbeschränkung der Verbindungszeichenfolge ist auf 2.048 Bytes hartcodiert.
Allerdings funktioniert mit selber Mailbox und selben DC das Kommando
Set-Mailbox -DomainController SUB-DC04.sub.domain.tld -Identity 'test_konto@sub.domain.de' -CustomAttribute15 "Test15" Sobald man es anschließend wieder mit Parameter "-Type Shared" versucht, kommt der o.g. Fehler.
Die Mailbox ist z.Z.
RecipientType : UserMailbox
RecipientTypeDetails : UserMailboxWas letzte Woche geändert wurde ist folgendes:
- Exchange HCW wurde ausgeführt und alles konfiguriert
- In diesem Zusammenhang wurde auch das SSL-Zertifikat an den Exchange Servern, Firewalls und KEMP Loadbalancer ausgetauscht
Alles funktioniert. Die Exchange Hybrid Anbindung, der lokale Zugriff auf Echange (Postfächer mit Outlook), Mailversand und -emfang intern wie extren, usw.
Keine Probleme sonst.
Hat jemand ne Idee, woran das liegen könnte?
(Da sind jetzt noch andere Kommandos betroffen. Wenn Bedarf besteht, kann ich weitere Beispiele liefern.)
E.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3378643681
Url: https://administrator.de/contentid/3378643681
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
15 Kommentare
Neuester Kommentar
Moin @emeriks,
könnte Some PowerShell cmdlet or parameter combinations are unsuccessful in Exchange Server für dich
zutreffen?!
In einem anderen Beitrag Error converting Office 365 user mailbox to shared hat sich herausgestellt, dass das Konto defekt war. Mit einem neuen Konto hat es dann funktioniert.
Gruß,
Dani
könnte Some PowerShell cmdlet or parameter combinations are unsuccessful in Exchange Server für dich
zutreffen?!
In einem anderen Beitrag Error converting Office 365 user mailbox to shared hat sich herausgestellt, dass das Konto defekt war. Mit einem neuen Konto hat es dann funktioniert.
Gruß,
Dani
@Dani
Leider beides nein.
Erstes ist uns bekannt. Im o.g. Kommando ist doch auch der Paremeter -DomainController anthalten.
Und zweites, bei uns ist es eine On-Premise-Mailbox.
Leider beides nein.
Erstes ist uns bekannt. Im o.g. Kommando ist doch auch der Paremeter -DomainController anthalten.
Und zweites, bei uns ist es eine On-Premise-Mailbox.
Moin,
Könnte es mit einem anderen bzw. neuen Admin-Benutzer getestet werden?
Gruß,
Dani
Erstes ist uns bekannt. Im o.g. Kommando ist doch auch der Paremeter -DomainController anthalten.
Das heißt der angegebene Benutzer befindet sich auch auf dem angegebene DC?! Das ging für mich aus deiner Frage nicht klar hervor. Und zweites, bei uns ist es eine On-Premise-Mailbox.
ich habe eher auf den letzten Kommentar im zweiten Link abgezielt. Unahängig davon ob O/M365 oder On-Premise.I call Microsoft Support and find tha the Admin User are corrupted.
We create one new admin and everything works as it suppose to work.Gruß,
Dani
Zitat von @Dani:
Das heißt der angegebene Benutzer befindet sich auch auf dem angegebene DC?! Das ging für mich aus deiner Frage nicht klar hervor.
Das ist aber logisch. Diesen Parameter gibt man doch nur an, wenn sich Benutzerkonto und Postfachserver in verschiedenen Domänen befinden.Das heißt der angegebene Benutzer befindet sich auch auf dem angegebene DC?! Das ging für mich aus deiner Frage nicht klar hervor.
Könnte es mit einem anderen bzw. neuen Admin-Benutzer getestet werden?
Wir haben es mit mehreren Admin-Konten versucht, ja.
Hallo emeriks,
nutzt ihr WinRM über http oder https?
Habt ihr einen http/https Proxy?
Nur zur Info bitte mal weitere Kommandos die fehlschlagen.
Ist das ein neues Postfach oder sind da schon Daten drin, aktuelle Postfachgröße?
Wie ist die Exchange Hybridconfig? In beide Richtungen?
www.alitajran.com/convert-user-mailbox-to-shared-mailbox-exchange-hybrid/
www.alitajran.com/mailbox-type-difference/
Gruss
Mr.Molochos
nutzt ihr WinRM über http oder https?
Habt ihr einen http/https Proxy?
Nur zur Info bitte mal weitere Kommandos die fehlschlagen.
Ist das ein neues Postfach oder sind da schon Daten drin, aktuelle Postfachgröße?
Wie ist die Exchange Hybridconfig? In beide Richtungen?
www.alitajran.com/convert-user-mailbox-to-shared-mailbox-exchange-hybrid/
www.alitajran.com/mailbox-type-difference/
Gruss
Mr.Molochos
Hallo emeriks,
steht auf dem WinRM-Client wo es ausgeführt wird im Event Viewer > Microsoft > Windows > Windows Remote Management vielleicht noch ne Fehlernummer oder mehr Details.
Oder steht beim WinRM-Listener was im Log das er die Connection refused.
Gruss
Mr.Molochos
steht auf dem WinRM-Client wo es ausgeführt wird im Event Viewer > Microsoft > Windows > Windows Remote Management vielleicht noch ne Fehlernummer oder mehr Details.
Oder steht beim WinRM-Listener was im Log das er die Connection refused.
Gruss
Mr.Molochos
Hi,
danke für die Hinweise.
HTTP. HTTPS für WinRM habe ich dann mal aktiviert und eingerichtet. Nur weiß ich nicht, ob - und wenn ja wie - ich der PowerShell sagen muss, dass sie dann über HTTPS die Kommando senden soll.
E.
danke für die Hinweise.
HTTP. HTTPS für WinRM habe ich dann mal aktiviert und eingerichtet. Nur weiß ich nicht, ob - und wenn ja wie - ich der PowerShell sagen muss, dass sie dann über HTTPS die Kommando senden soll.
E.
Ich kann mich jetzt nicht erinnern, beim HCW irgendwas in Richtung Uni- oder Bidirektionalität gesehen zu haben. Hybrid muss doch bidirektional sein, oder?
Zitat von @Mr.Molochos:
steht auf dem WinRM-Client wo es ausgeführt wird im Event Viewer > Microsoft > Windows > Windows Remote Management vielleicht noch ne Fehlernummer oder mehr Details.
Nee, das ist auch das Seltsame. Man findet auf dem in der Fehlermeldung gemeldeten Exchange Server gar nichts in den Eventlogs, was irgendwie dazu passen würde. Weder im WinRM/Operational noch im Application oder System.steht auf dem WinRM-Client wo es ausgeführt wird im Event Viewer > Microsoft > Windows > Windows Remote Management vielleicht noch ne Fehlernummer oder mehr Details.
Hat dieser ein extra Logfile?
Hallo emeriks,
Hybrid heisst nur das beides vorhanden ist, was wie gesynct wird legt man selber fest. Ist alles möglich auch nur eine Richtung z.B. das nur von onprem nach online gesynct wird, aber auch was kann man ja festlegen über OUs oder Attributeselection eingrenzen um nur etwas zu nennen, da gibt es soviele Einstellmöglichkeiten.
Nenn bitte mal weitere Kommandos die fehlschlagen.
Ist das ein neues Postfach oder sind da schon Daten drin, aktuelle Postfachgröße größer als 50GB?
Gruss
Mr.Molochos
Hybrid heisst nur das beides vorhanden ist, was wie gesynct wird legt man selber fest. Ist alles möglich auch nur eine Richtung z.B. das nur von onprem nach online gesynct wird, aber auch was kann man ja festlegen über OUs oder Attributeselection eingrenzen um nur etwas zu nennen, da gibt es soviele Einstellmöglichkeiten.
Nenn bitte mal weitere Kommandos die fehlschlagen.
Ist das ein neues Postfach oder sind da schon Daten drin, aktuelle Postfachgröße größer als 50GB?
Gruss
Mr.Molochos
Ach Du meinst jetzt AADC?
- Ich kann keine weiteren Kommando liefern. Hier gab es ein Missverständnis zwischen mir und unserem Exchange Admin. Er meinte es so, dass er das mit mehreren Mailboxen von Benutzern aus verschiedenen Domänen bekommt. Aber immer das gleiche Kommando. Sorry.
- Jetzt hat sich bei einem weiteren Test "plötzlich" ergeben, dass mit einem Admin-Konto, welches nur minimale Gruppenmitgliedschaften hat, dieser Fehler nicht auftritt. Sobald man diesem Admin-Konto die "volle" Mitgliedschaft gibt, tritt auch damit dieser Fehler auf. Also scheint es doch ziemlich eindeutig der von MS genannte Fall mit dem zu großen Zugriffstoken zu sein.
Hallo,
mich würde Interessieren ob mit Zugriffstoken ein KerberosToken gemeint ist und was letztendlich die Verbindungszeichenfolge ist und wo man die vielleicht einsehen kann.
Kannst doch jetzt schliessen und auf gelöst setzen.
Gruss
Mr.Molochos
mich würde Interessieren ob mit Zugriffstoken ein KerberosToken gemeint ist und was letztendlich die Verbindungszeichenfolge ist und wo man die vielleicht einsehen kann.
Kannst doch jetzt schliessen und auf gelöst setzen.
Gruss
Mr.Molochos
Zitat von @Mr.Molochos:
mich würde Interessieren ob mit Zugriffstoken ein KerberosToken gemeint ist und was letztendlich die Verbindungszeichenfolge ist und wo man die vielleicht einsehen kann.
Ich schätze, das Token wird da irgendwie verschlüsselt in der URL als Parameter mitgegeben. Und je größer, desto länger die URL.mich würde Interessieren ob mit Zugriffstoken ein KerberosToken gemeint ist und was letztendlich die Verbindungszeichenfolge ist und wo man die vielleicht einsehen kann.
