Bei den betroffenen Usern sind zwei Sicherheitskonten enthalten, welche nicht aufgelöst werden können. Diese wiederum kommen von gaaaanz oben. Das entfernen dieser ungültigen Konten hat aber kein Erfolg gebracht.
Ich vergleiche noch die sonstigen Unterschiede zwischen dem funktionierenden und den restlichen Usern.
Vielleicht steckt das ja auch im Postfach-Vollzugriff. Prüfen mit:
Get-MailboxPermission POSTFACHHallo,
bei den "MailboxPermissions" gab es keine unterschiede.
Die Sicherheitseinträge sind aber dramatisch unterschiedlich. Habe jetzt auch rausgefunden was der Unterschied der User ist: der User, bei dem KEINE Fehlermeldung kommt ist in der Domän-Admin Gruppe (und hatte keine Vererbung aktiviert).
Es ist auch noch ein Neustart des Servers ausstehend...
Habt ihr noch Ideen?
Was passiert, wenn ich den 2. DC wieder entferne? Schonmal jemand sowas gemacht?
Vielen Dank für eure Hilfe
Die Sicherheitseinträge sind aber dramatisch unterschiedlich. Habe jetzt auch rausgefunden was der Unterschied der User ist: der User, bei dem KEINE Fehlermeldung kommt ist in der Domän-Admin Gruppe (und hatte keine Vererbung aktiviert).
Ein Dom-Admin Konto ist keine Referenz, da es in Exchange nicht korrekt funktioniert und daher für Postfächer auch nicht supportet wird. Einen der Knackpunkte siehst Du: Die Vererbung ist nicht aktiviert und Du bekommst sie dauerhaft auch nicht aktiviert, das verhindert AD. Ohne korrekte Berechtigung funktioniert es aber in Exchange nicht korrekt.
Was passiert, wenn ich den 2. DC wieder entferne? Schonmal jemand sowas gemacht?
Gesetzt, dass Dein AD fehlerfrei funktioniert (was Du hoffentlich geprüft hast!), spielt die Anzahl der DC keinerlei Rolle. Anders ausgedrückt: Das ändert nichts.
Sollte Dein AD nicht fehlerfrei funktionieren musst Du zuerst das Problem beheben. Ob das Entfernen das DC die Lösung oder eine Verschlechterung ist, kann man aus der Ferne nicht beantworten.
oh man oh man oh man...
das mit dem admin-konto ist verstanden. Das belasse ich jetzt mal so.
bzgl. AD - ich sehe keine Fehlermeldungen und AD-Logon's funktionieren überall. Weiter habe keine spezielle Prüfungen vorgenommen... nicht optimal.
Dann belasse ich den 2. DC so wie er ist bevor ich es weiter verschlimm-bessere.
Nachdem das neu-Vererben der Berechtigungen ebenfalls keine Verbesserung gebracht hat - was kann ich da noch tun?
bzgl. AD - ich sehe keine Fehlermeldungen und AD-Logon's funktionieren überall. Weiter habe keine spezielle Prüfungen vorgenommen... nicht optimal.
Die üblichen Werkezeuge sind:
Eventlog (AD und DFSR!) müssen fehlerfrei sein (Hinweis: Nach dem Neustart eines DC dauert es einige Minuten, bis dieser Zustand erreicht ist)
dcdiag.exe
repadmin.exe /showrepl
Jeweils auf allen DCs zu prüfen. DCDIAG darf nichts kritisch zeigen (die Fehlermeldungen dort sind nicht pauschal schlecht), repadmin darf im Prinzip gar keine Fehler anzeigen.
Nachdem das neu-Vererben der Berechtigungen ebenfalls keine Verbesserung gebracht hat - was kann ich da noch tun?
Der Fehler könnte nicht nur in den offensichtlichen DACL stecken, sondern eventuell auch in den SACL. Das bekommt man ohne Programm aber quasi nicht heraus.
Ansonsten: Jemanden mit Erfahrung mal draufschauen lassen. Es ist sehr schwer, alle Einstellungen in einem Forum zu prüfen, denn Troubleshooting hat sehr viel mit Erfahrung und "Gefühl" zu tun. Dem Fachmann fehlt oft eine Kleinigkeit ins Auge, die dem Laien unwichtig erscheint und umgekehrt blinkt es irgendwo ganz heftig und der Fachmann sagt nur "ignorieren".
Außerdem kennt ein Fachmann den Standard und sieht daher Veränderungen leichter, die wir hier in einem Forum aber nicht erfahren.
ok, super, vielen Dank dir.
ich check das alles mal ab und zweifelsfalls lasse ich mal jemanden vorbei kommen.
es steht sowieso noch ein neustart des 1. DC's aus - den planen wir asap ein.
es steht sowieso noch ein neustart des 1. DC's aus - den planen wir asap ein.
Ich denk du hast zwei. Da kann man den DC doch einfach mal booten. 1. habt ihr zwei und 2. Ist ein DC nur ein DC und damit fällt das auch bei Zutreffen von 1. nicht auf, wenn man einen mal bootet mitten am Tag. Falls es doch auffällt, dann habt ihr da noch andere "Probleme". 
Bye
Norbert
der erste DC ist ja der Exchange 
der zweite ist nur Auth-Backup für LDAP und NPS
dcdiag hat bei beiden log-meldungen gezeigt, die aber nicht schlimm sind
repadmin ist bei beiden DC's sauber
der erste DC ist ja der Exchange
Jetzt weißt du, warum das eine schlechte Idee ist.
