emeriks
Goto Top

Exhange 2016 - Einige PS-Kommandos funktionieren nicht mehr

Hi,
wir haben hier ein AD mit mehreren Domains und On-Premise Exchange Server.
DC's und Exch sind Win2016, alle WSUS-Updates.
Exch Version ebenso 2016, aktuelles CU.

Seit letzter Woche Freitag (da ist es aufgefallen) funktionieren einige PS-Kommandos nicht mehr.

z.B.
liefert

Laut MS-Artikel könnte die Ursache sein:
Dieses Problem tritt auf, weil das Zugriffstoken des aktuellen Exchange-Administrators so groß ist, dass die Längenbeschränkung der Verbindungszeichenfolge in der Komponente Windows Remoteverwaltung (WinRM) überschritten wird. Die Längenbeschränkung der Verbindungszeichenfolge ist auf 2.048 Bytes hartcodiert.

Allerdings funktioniert mit selber Mailbox und selben DC das Kommando
Ohne Fehlermeldung und die Änderung kommt auch an. Damit kann es ja nicht am Zugriffstoken liegen?

Sobald man es anschließend wieder mit Parameter "-Type Shared" versucht, kommt der o.g. Fehler.

Die Mailbox ist z.Z.

Was letzte Woche geändert wurde ist folgendes:
  • Exchange HCW wurde ausgeführt und alles konfiguriert
  • In diesem Zusammenhang wurde auch das SSL-Zertifikat an den Exchange Servern, Firewalls und KEMP Loadbalancer ausgetauscht

Alles funktioniert. Die Exchange Hybrid Anbindung, der lokale Zugriff auf Echange (Postfächer mit Outlook), Mailversand und -emfang intern wie extren, usw.
Keine Probleme sonst.

Hat jemand ne Idee, woran das liegen könnte?

(Da sind jetzt noch andere Kommandos betroffen. Wenn Bedarf besteht, kann ich weitere Beispiele liefern.)

E.

Content-Key: 3378643681

Url: https://administrator.de/contentid/3378643681

Ausgedruckt am: 26.09.2022 um 10:09 Uhr

Mitglied: Dani
Dani 19.07.2022 aktualisiert um 14:56:38 Uhr
Goto Top
Moin @emeriks,
könnte Some PowerShell cmdlet or parameter combinations are unsuccessful in Exchange Server für dich
zutreffen?!

In einem anderen Beitrag Error converting Office 365 user mailbox to shared hat sich herausgestellt, dass das Konto defekt war. Mit einem neuen Konto hat es dann funktioniert.



Gruß,
Dani
Mitglied: emeriks
emeriks 19.07.2022 um 15:28:25 Uhr
Goto Top
@Dani
Leider beides nein.
Erstes ist uns bekannt. Im o.g. Kommando ist doch auch der Paremeter -DomainController anthalten.
Und zweites, bei uns ist es eine On-Premise-Mailbox.
Mitglied: Dani
Dani 19.07.2022 aktualisiert um 15:38:03 Uhr
Goto Top
Moin,
Erstes ist uns bekannt. Im o.g. Kommando ist doch auch der Paremeter -DomainController anthalten.
Das heißt der angegebene Benutzer befindet sich auch auf dem angegebene DC?! Das ging für mich aus deiner Frage nicht klar hervor.

Und zweites, bei uns ist es eine On-Premise-Mailbox.
ich habe eher auf den letzten Kommentar im zweiten Link abgezielt. Unahängig davon ob O/M365 oder On-Premise.
Könnte es mit einem anderen bzw. neuen Admin-Benutzer getestet werden?


Gruß,
Dani
Mitglied: emeriks
emeriks 19.07.2022 um 15:44:43 Uhr
Goto Top
Zitat von @Dani:
Das heißt der angegebene Benutzer befindet sich auch auf dem angegebene DC?! Das ging für mich aus deiner Frage nicht klar hervor.
Das ist aber logisch. Diesen Parameter gibt man doch nur an, wenn sich Benutzerkonto und Postfachserver in verschiedenen Domänen befinden.

Könnte es mit einem anderen bzw. neuen Admin-Benutzer getestet werden?
Wir haben es mit mehreren Admin-Konten versucht, ja.
Mitglied: Mr.Molochos
Mr.Molochos 19.07.2022 um 19:05:53 Uhr
Goto Top
Hallo emeriks,

nutzt ihr WinRM über http oder https?
Habt ihr einen http/https Proxy?

Nur zur Info bitte mal weitere Kommandos die fehlschlagen.

Ist das ein neues Postfach oder sind da schon Daten drin, aktuelle Postfachgröße?

Wie ist die Exchange Hybridconfig? In beide Richtungen?

www.alitajran.com/convert-user-mailbox-to-shared-mailbox-exchange-hybrid/
www.alitajran.com/mailbox-type-difference/

Gruss
Mr.Molochos
Mitglied: Mr.Molochos
Mr.Molochos 19.07.2022 um 19:25:22 Uhr
Goto Top
Hallo emeriks,

steht auf dem WinRM-Client wo es ausgeführt wird im Event Viewer > Microsoft > Windows > Windows Remote Management vielleicht noch ne Fehlernummer oder mehr Details.

Oder steht beim WinRM-Listener was im Log das er die Connection refused.

Gruss
Mr.Molochos
Mitglied: emeriks
emeriks 20.07.2022 um 08:23:34 Uhr
Goto Top
Hi,
danke für die Hinweise.
HTTP. HTTPS für WinRM habe ich dann mal aktiviert und eingerichtet. Nur weiß ich nicht, ob - und wenn ja wie - ich der PowerShell sagen muss, dass sie dann über HTTPS die Kommando senden soll.

E.
Mitglied: emeriks
emeriks 20.07.2022 um 08:25:17 Uhr
Goto Top
Ich kann mich jetzt nicht erinnern, beim HCW irgendwas in Richtung Uni- oder Bidirektionalität gesehen zu haben. Hybrid muss doch bidirektional sein, oder?
Mitglied: emeriks
emeriks 20.07.2022 um 08:37:17 Uhr
Goto Top
Zitat von @Mr.Molochos:
steht auf dem WinRM-Client wo es ausgeführt wird im Event Viewer > Microsoft > Windows > Windows Remote Management vielleicht noch ne Fehlernummer oder mehr Details.
Nee, das ist auch das Seltsame. Man findet auf dem in der Fehlermeldung gemeldeten Exchange Server gar nichts in den Eventlogs, was irgendwie dazu passen würde. Weder im WinRM/Operational noch im Application oder System.
Mitglied: emeriks
emeriks 20.07.2022 um 09:00:37 Uhr
Goto Top
Zitat von @Mr.Molochos:
Oder steht beim WinRM-Listener was im Log das er die Connection refused.
Hat dieser ein extra Logfile?
Mitglied: Mr.Molochos
Mr.Molochos 20.07.2022 um 09:02:54 Uhr
Goto Top
Hallo emeriks,

Hybrid heisst nur das beides vorhanden ist, was wie gesynct wird legt man selber fest. Ist alles möglich auch nur eine Richtung z.B. das nur von onprem nach online gesynct wird, aber auch was kann man ja festlegen über OUs oder Attributeselection eingrenzen um nur etwas zu nennen, da gibt es soviele Einstellmöglichkeiten.

Nenn bitte mal weitere Kommandos die fehlschlagen.

Ist das ein neues Postfach oder sind da schon Daten drin, aktuelle Postfachgröße größer als 50GB?

Gruss
Mr.Molochos
Mitglied: emeriks
emeriks 20.07.2022 um 09:20:01 Uhr
Goto Top
Ach Du meinst jetzt AADC?
Mitglied: emeriks
emeriks 20.07.2022 aktualisiert um 10:54:08 Uhr
Goto Top
  1. Ich kann keine weiteren Kommando liefern. Hier gab es ein Missverständnis zwischen mir und unserem Exchange Admin. Er meinte es so, dass er das mit mehreren Mailboxen von Benutzern aus verschiedenen Domänen bekommt. Aber immer das gleiche Kommando. Sorry.
  2. Jetzt hat sich bei einem weiteren Test "plötzlich" ergeben, dass mit einem Admin-Konto, welches nur minimale Gruppenmitgliedschaften hat, dieser Fehler nicht auftritt. Sobald man diesem Admin-Konto die "volle" Mitgliedschaft gibt, tritt auch damit dieser Fehler auf. Also scheint es doch ziemlich eindeutig der von MS genannte Fall mit dem zu großen Zugriffstoken zu sein.
Mitglied: Mr.Molochos
Mr.Molochos 20.07.2022 um 11:08:26 Uhr
Goto Top
Hallo,

mich würde Interessieren ob mit Zugriffstoken ein KerberosToken gemeint ist und was letztendlich die Verbindungszeichenfolge ist und wo man die vielleicht einsehen kann.

Kannst doch jetzt schliessen und auf gelöst setzen.

Gruss
Mr.Molochos
Mitglied: emeriks
emeriks 20.07.2022 um 11:34:16 Uhr
Goto Top
Zitat von @Mr.Molochos:
mich würde Interessieren ob mit Zugriffstoken ein KerberosToken gemeint ist und was letztendlich die Verbindungszeichenfolge ist und wo man die vielleicht einsehen kann.
Ich schätze, das Token wird da irgendwie verschlüsselt in der URL als Parameter mitgegeben. Und je größer, desto länger die URL.