Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010 - Sicherheitsgruppen fehlen teilweise - System trotzdem lauffähig?!

Mitglied: Troublemaker

Troublemaker (Level 1) - Jetzt verbinden

14.05.2012, aktualisiert 21:24 Uhr, 4076 Aufrufe, 6 Kommentare

Exchange 2003 -> 2010 - Migration auf CAS NLB und DAG Cluster

Hallo,

aktuell bin ich bei der Migration eines Exchange Server 2003 Stand Alone auf ein 2010er CAS NLB - DAG Cluster.

Soweit, so gut...

Jetzt tat sich bereits während der Installation ein Problem auf. Es fehlten offensichtlich Berechtigungen beim Zugriff auf das AD und auf einer Webseite fand ich die 1. Lösung.
Ich musste meine erstellte Gruppe der "Exchange Server" mit allen 4 Servern drin, zur Gruppe der "Exchange Enterprise Server" hinzufügen. Soweit so gut. Die Installation verlief problemlos,
die Migrationsschritte abgearbeitet. Die ersten Postfächer sind migriert, Zugriffe und Mailversand läuft, mit dem Server 2K3 als Koexistenz (bis alle User umgezogen sind).

Jetzt stelle ich fest, dass exakt alle 6 Stunden meine Gruppe Exchange Server aus der Gruppe "Exchange Enterprise Server" automatisch entfernt wird!
Das hatte zur Folge, dass beim Disaster Test am verbleibenden DAG-Server alle Datenbanken ausgehänht wurden. Katastrophe!

Bei der Prüfung fiel mir mit Erschrecken auf, dass ein Teil der Exchange Security Groups im AD fehlen!!! Unter anderem auch die Exchange Organization Administrators!
Wie geht das denn??? Ich hätte das doch so nie installieren können ohne diese Gruppen?!?!?

Also in Kürze:
Was zum Teufel passiert hier alle 6 Stunden?!?!?!
Wie können diese Gruppen fehlen und der Exchange komplett laufen?!?!?!

Steps done:
- GPO`s gecheckt, keine Ausffälligkeiten (alles Default)
- Scripte werden nicht ausgeführt
- Taskplaner ohne bezogene Auffälligkeiten
- setup.com /PrepareAD wiederholt -> ohne Ergebnis, Gruppen fehlen weiterhin...

Hatte jemand schonmal einen ähnlichen Fall, oder einen Tip?

Danke im Voraus!
Mitglied: DerWoWusste
14.05.2012 um 21:37 Uhr
Moin.
Was zum Teufel passiert hier alle 6 Stunden?!?!?!
Du solltest Auditing benutzen, um die Löschungen in dieser Gruppe zu monitoren, dann siehst Du, in wessen Namen das geschieht.
Bitte warten ..
Mitglied: filippg
14.05.2012 um 21:55 Uhr
Hallo,

die "Exchange Organization Administrators" nutzt Exchange (m.W.) nicht für interne Berechtigungen, sondern nur, um Admins zu berechtigen. Exchange sollte also ohne noch funktionieren. Administrieren wird unter Umständen kniffelig... (wobei man die entsprechenden Rollen aus RBAC auch direkt Nutzern zuweisen kann).
Über die "Exchange Enterprise Server" werden Berechtigungen, die Exchange im AD hat verwaltet (teils über den Zwischenschritt "Exchange Trusted Subsystem") - das ist bestimmt nicht gut, wenn die fehlt.

Aber generell hast du ernsthafte Probleme, wenn's dir Gruppen oder Gruppenmitgliedschaften aus dem AD wegpfeift.

Gruß

Filipp
Bitte warten ..
Mitglied: Troublemaker
14.05.2012 um 22:24 Uhr
Besten Dank erstmal, also die Exchange Enterprise Server gibts doch nur, wenn ich einen Exchange Server 2003 installiert hatte. Seit 2007 gibts die ja nicht mehr.
Mich wundert aber, dass nicht mal der BPA meckert! Der prüft doch zuerst die vorhandenen Gruppen und dann die Berechtigungen.
Kann es sein, dass bei einer Migration diese Gruppen erst erstellt werden, wenn er letzte 2003er aus der AD entfernt wird oder diese Gruppen durch Enterprise Server und Domain Server quasi ersetzt werden???
Bitte warten ..
Mitglied: filippg
14.05.2012 um 22:30 Uhr
Hallo,

die Exchange Enterprise Server gibts doch nur, wenn ich einen Exchange Server 2003 installiert hatte.
Richtig. War mir entgangen, bei Exchange 2010 gibt's stattdessen die Gruppe "Exchange Servers"

Kann es sein, dass bei einer Migration diese Gruppen erst erstellt werden, wenn er letzte 2003er aus der AD entfernt wird
Nein. Die brauchst du während der Koexistenz (um nämlich die Exchange-Server aufeinander zu berechtigen). Angelegt werden sollen sie vor der Installation des ersten Exchange mit "Setup /PrepareLegacyExchangePermissions", siehe http://technet.microsoft.com/en-us/library/bb125224.aspx

Gruß

Filipp
Bitte warten ..
Mitglied: Troublemaker
14.05.2012 um 23:46 Uhr
Ja hatte ich nicht erwähnt, ist natürlich bereits passiert... Ich orientiere mich morgen mal am Stichwort WriteDACL... Mal schauen...

Die Gruppen passen übrigens so, also Entwarnung, hab eben nochmal bei ner alten Migration geschaut...

Mir liegen nur noch die 6 Stunden im Magen...
Bitte warten ..
Mitglied: DerWoWusste
14.05.2012 um 23:54 Uhr
Mir liegen nur noch die 6 Stunden im Magen
Das Ratiopharm dagegen steht oben - schon bemerkt?
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange 2010 DAG funktioniert nur teilweise

Frage von apex.predator24Exchange Server2 Kommentare

Hallo Cummunity, Folgende Situation: Ein Kunde hat einen Exchange 2010 (SP3) im Einsatz. Nun will er einen HA eingerichtet ...

Exchange Server

Sicherheitsgruppe

gelöst Frage von auchich23Exchange Server1 Kommentar

Hallo, ich muss bestehenden Verteilergruppen neue Mitglieder zuordnen. Jede Verteilergruppe existiert auch als Sicherheitsgruppe. Das Löschen der Mitglieder in ...

Exchange Server

Exchange 2016 + Outlook 2010 - eMails verschieben schlägt teilweise fehl

Frage von DKowalkeExchange Server5 Kommentare

Hallo liebes Forum, wir haben eine neue Exchange 2016 Installation in einer neuen Domäne und wollten nun eMails aus ...

Exchange Server

Exchange 2010 OWA deaktivieren und ActiveSync trotzdem nutzen

Frage von platinExchange Server1 Kommentar

Hallo liebe Gemeinde, ich möchte das internet facing OWA gerne sperren - optimalerweise in der Firewall. Jedoch stellt sich ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 3 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement19 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...