Exchange 201x – ACE doesn’t exist

Ich hatte gerade ein sehr unschönes Szenario:

Exchange 2016, steht in Ressource-Domain und die Mailboxen werden auf LinkedMailbox zur Userdomain umgestellt. Die Skripte hierfür mit set-user (nicht offiziell unterstützt) sind etwas buggy und die Umgebung historisch gewachsen, weswegen einige Mailboxen wohl nicht mehr ganz saubere Berechtigungen haben.

Versuchte man dann auf einer Mailbox die FullAccess Berechtigung, die in get-mailboxpermission mit RESDOMAIN\User angezeigt wird, zu entfernen kam es zu einem „ACE doesn’t exist“ und der User wurde fälschlich in die Userdomain aufgelöst:

[PS] C:\Windows\system32>Remove-MailboxPermission -Identity "sharedmailbox" -User RESDOMAIN\user -AccessRights FullAccess

WARNING: Can't remove the access control entry on the object "CN=sharedmailbox,OU=ou,DC=dc,DC=local" for account "USERDOMAIN\user" because the ACE doesn't exist on the object.

Auch wenn ich die SID der RESDOMAIN genommen hab, kam es nicht zu einem erfolgreichen entfernen. Hier wurde der User zwar in die richtige Domäne aufgelöst, der Fehler blieb allerdings der selbe.

In dem MS Foren gibt es Tipps von -deny:$true bis zur Installation der Exchange 2003 Management Tools, aber in meinem Fall hat geholfen:

Get-MailboxPermission -Identity "sharedmailbox" -user user | Remove-MailboxPermission

Vielleicht klappt es bei noch jemanden, der das Problem auch hat.

Exchange 2013 DAG – Fehlermeldungen

Beim Einrichten der Exchange 2013 DAG sind mir ein paar Fehlermeldungen entgegen gesprungen:

– DNS Name / FQDN kann nicht aufgelöst werden:
An Active Manager operation failed with a transient error. Please retry the operation. Error: The fully qualified domain name for node '' could not be found.

– Computerkonto ist aktiv:
A computer account named 'Exchange-DAG01' already exists and is enabled. The account must be disabled in order to be used by the database availability group.

– Zugriff verweigert:
A server-side database availability group administrative operation failed. Error The operation failed. CreateCluster errors may result from incorrectly configured static addresses. Error: An error occurred while attempting a cluster operation. Error: Cluster API ‘”CreateCluster() failed with 0×5. Error: Access is denied”‘ failed..

Exchange 2013 DAG – Fehlermeldungen weiterlesen

Exchange 2013 – Die auffälligsten Änderungen

Nach meinem ersten Entsetzen über das neue Exchange Management – Begeistert bin ich noch immer nicht – habe ich mich mit dem Server weiter auseinander setzen können.

Als eine, wie ich finde sehr gute, Neuerung gibt es jetzt diverse Möglichkeiten Mails nach Regeln zu bearbeiten, mehr als noch im 2010er, inklusive vordefinierten Templates wie Finanzdaten. Hiermit lassen sich umfangreiche Regelwerke bauen um Informationen innerhab des Unternehmens zu halten oder beispielsweise bestimmte Verbindungen, wie TLS verschlüsselte, für bestimmte Informationen zu nutzen, Benachrichtigungen für Admins und Co. inklusive :-). All dies wird im Bereich „Compliance Management“ zusammen gefasst.

Public Folders sind Tod – Public Folders sind nicht Tod. In etwa so kommt es mit jedem Exchange Release, auch dieses Mal, das Handling hat sich allerdings geändert: Es gibt keine Public Folder Database mehr, statt dessen werden diese in einem eigenen Benutzerobjekt abgelegt. Damit ist auch die Replikation in einer DAG gewährleistet.

Dies sind einige deutliche Steigerung gegenüber den Vorgängern, bisher waren hier für einiges weitere Hersteller gefragt dies umzusetzen. Ich bin gespannt wie er sich im Alltag schlagen wird.

Microsoft Exchange 2013 – Erster Eindruck

Neben dem Test von Server 2012 habe ich natürlich auch entsprechend einen Exchange 2013 in der aktuellen Preview-Version installiert. Hier meine ersten Eindrücke:

Wo bitte ist die Management-Konsole? – So lautete meine erste Frage. Im „Startmenü“ vom Server 2012 (Vollständige Installation) habe ich nichts außer der Shell gefunden. Nach kurzer Suche stellte sich heraus: Es ist Web-Basierend. Das schon in den Vorgänger vorhandene ECP ist jetzt zur vollständigen Serververwaltung angewachsen, die Adresse entsprechend https://servername/ecp .

Der erste Zugriff auf die Web-Konsole ging aber ins nichts, eine Fehlerseite hat mich begrüßt. Diese ließ sich erst mit der Installation der „Windows Identity Foundation 3.5“ Features beheben, obwohl Exchange bei der Installation alle erforderlichen Rollen und Features installieren sollte.

Nach der Installation lief die Konsole zwar, zumindest im Internet Explorer 10 auf dem Server bekomme ich noch in regelmäßigen abständen Abstürze…

Auch finde ich die Farbgestaltung mit Blau-Grau auf Weiß nicht gerade gelungen, gut erkennbar ist etwas anderes. Mal schaun wie sich das Management in den nächsten Tagen schlägt.

Exchange 2010 SP2 Installation – AuthorizationManager Fehler

Bei der Installation von Exchange 2010 SP2 kann es vorkommeen das das Exchange Setup – natürlich nachdem die Exchange Daten entfernt wurden – einen Fehler auswirft wonach der „AutorizationManager Check“ fehlgeschlagen ist: „$error.Clear(); & $RoleBinPath\ServiceControl.ps1 EnableServices Critical “ was run: „AuthorizationManager check failed.“. Hier ist ein vor der Installation durchgeführter Snapshot oder ähnliches hilfreich, an sonsten geht es mit dem Desaster Recovery weiter.

Um das Problem zu beheben müssen alle PowerShell Execution Policys die per GPO verteilt werden (MachinePolicy und UserPolicy) auf „undefined“ stehen, in diesem Beispiel ist es nicht der Fall:

PS H:\> Get-ExecutionPolicy -list

Scope ExecutionPolicy
----- ---------------
MachinePolicy Unrestricted
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine RemoteSigned

Ist dies nicht der Fall den Exchange entweder in eine OU verschieben in welcher die GPO nicht angewendet wird oder die Einstellung in der GPO (Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – Windows PowerShell) deaktivieren und per „gpupdate /force“ angewendet. Daraufhin folgenden Befehl ausführen:

PS H:\> Set-ExecutionPolicy undefined

Hiermit werden die Policys entsprechend zurückgesetzt und sollten wie folgt aussehen:

PS H:\> Get-ExecutionPolicy -list

Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine Undefined

Nun lässt sich das Setup problemlos durchführen.

Sollte jetzt ein Fehler auftauchen wonach Skripte garnicht mehr ausgeführt werden können lassen sich diese wie folgt genehmigen:

PS H:\> Set-ExecutionPolicy Unrestricted
PS H:\> Get-ExecutionPolicy -list

Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine Unrestricted

Damit sollte die Installation letztendlich gelingen. Hintergrund scheint hierbei das beenden der WMI Dienste während der Installation zu sein. Sind diese deaktiviert lassen sich GPO Einstellungen nicht mehr anwenden und das Setup fällt bei der bestimmung der anzuwendenden Policy auf die Nase.

Bei dem Upgrade einer DAG ist außerdem dieser Microsoft Artikel zu beachten.