Hi,
der Netlogon heisst bei einem deutschne Server
Anmeldedienst
8-)
Hi,
der Netlogon heisst bei einem deutschne Server
Anmeldedienst
8-)
Hallo Norbert,
Zitatmal den OWAadmin installiert / aufgerufen?
Ja, habe ich. Als Administrator kann ich mich da problemlos anmelden. Andere Benutzer mit Administratorrechten kommen hingegen nicht rein. Ich weiss nicht, ob das normal ist oder nicht...
ZitatMal bei einem User was ändern, dann wieder testen.
Habe ich schon gemacht, hat aber leider nichts gebracht.
Zitatder Netlogon heisst bei einem deutschne Server
Anmeldedienst
Äh... *hüstel*... OK
Dennis
Hallo Ihr beiden. Ich kann Euch da leider auch nur meine Vorgehensweise ans Herz legen.
Vorab aber noch zu der Meldung "Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar.". Die liegt in der Regel an einem Fehlerhaften SSL Zertifikat, was nicht auf den FQDN ausgestellt wurde sondern nur auf den Netbios Namen.
1. Sicherung der IIS Einstellungen (Metabase)
2. Zurücksetzen aller Einstellungen, durch einen Neuaufbau der Verzteichnisse. Auch SSL ist dann weg!!!
http://support.microsoft.com/kb/883380/de
3. Test ob es ohne SSL geht, Falls ja, Metabase Sichern und mit SSL Installation erneut starten.
Sollte es dann noch immer nicht gehen, kann auch die alte Sicherung der Metabase zurück geladen werden.
Optional könnt Ihr im IIS auch mal das Logging hooch schrauben um zu sehen was da für Fehlermeldungen kommen!
Viele Grüsse
Heinz
Hallo Heinz,
ZitatVorab aber noch zu der Meldung "Die lokale Sicherheitsautorität (LSA) ist nicht erreichbar.". Die liegt in der Regel an einem Fehlerhaften SSL Zertifikat, was nicht auf den FQDN ausgestellt wurde sondern nur auf den Netbios Namen.
Gut, das Zertifikat habe ich rausgeschmissen...
ZitatZurücksetzen aller Einstellungen, durch einen Neuaufbau der Verzteichnisse. Auch SSL ist dann weg!!!
In Ordnung, habe ich auch gemacht (nach Methode 2).
ZitatTest ob es ohne SSL geht, Falls ja, Metabase Sichern und mit SSL Installation erneut starten.
Nein, es hat sich leider nichts verändert. Ich konnte mich einmal von einem Computer ausserhalb der Domäne bei OWA anmelden, allerdings waren keine E-Mails zu sehen. Nach einem Klick auf einen anderen Bereich kam die Fehlermeldung wieder und ist jetzt auch dauerhaft da.
ZitatOptional könnt Ihr im IIS auch mal das Logging hooch schrauben um zu sehen was da für Fehlermeldungen kommen!
OK, mach ich. Ich berichte, wenn ich mehr weiss.
Dennis
ZitatOptional könnt Ihr im IIS auch mal das Logging hooch schrauben um zu sehen was da für Fehlermeldungen kommen!
Tja... ich konnte hier leider immer noch nichts ungewöhnliches feststellen.
Hi,
habe leider so langsam auch keinen Ansatz mehr...
Am IIS und den Rechten kann kann es nicht liegen, da wir diesen ja neu aufgebaut haben. Am SSL ebenfalls nicht, da dieser ja auch nicht mehr vorhanden war, nach dem Neuaufbau.
Was passiert bei dem aufruf der URL direkt auf dem Exchange Server oder von einem Desktop PC aus?
Gruss
Heinz
Hallo Heinz,
Zitathabe leider so langsam auch keinen Ansatz mehr...
Ich leider (sowieso) nicht. So gut kenne ich mich mit Exchange und dem IIS dann ja doch nicht aus.
ZitatAm IIS und den Rechten kann kann es nicht liegen, da wir diesen ja neu aufgebaut haben. Am SSL ebenfalls nicht, da dieser ja auch nicht mehr vorhanden war, nach dem Neuaufbau.
Sollte man meinen. Mir ist übrigens noch aufgefallen, dass auch beim Ordner "Exchange" die "integrierte Windowsauthentifizierung" aktiviert sein muss, sonst funktioniert auch hier der Zugriff für die bestehenden Benutzer überhaupt nicht mehr (nur der Administrator und neue Benutzer können sich dann anmelden). Laut msexchangefaq.de sollte eigentlich auch die Stadardauthentifizierung ausreichen. Die funktioniert bei mir aber ja so wie es aussieht nicht wirklich wie sie soll.
ZitatWas passiert bei dem aufruf der URL direkt auf dem Exchange Server oder von einem Desktop PC aus?
Auf dem Exchange Server selbst lässt sich OWA nur als Administrator öffnen. Mit einem anderen Benutzer erscheint benannte Fehlermeldung, die LSA sei nicht erreichbar. Mit neu erstellten Benutzern funktioniert es hingegen. Von den Desktop PCs in der Domäne aus, können sich auch die bereits bestehenden Benutzer bei OWA anmelden, sofern, wie gesagt, die integrierte Windowsauthentifizierung im IIS aktiviert ist.
Das Problem beschränkt sich also wirklich nur auf die bestehenden Benutzer. Google habe ich jetzt auch schon mehrfach auf den Kopf gestellt, konnte aber leider nichts brauchbares finden. Ich habe auch ehrlich gesagt keinen blassen Schimmer, wonach ich überhaupt suchen soll, bzw. wodurch das Problem verursacht werden könnte.
Dennis :cry:
Hi Dennis,
hast Du denn mal mit ADSIEDIT zwei Benutzerobjekte verglichen. Einen alten und einen neuen?! Gibt es unterschiede??? Achte mal besonders auf den LegacyExchangeDN Eintrag!
Kann vielleicht eine GPO greifen und bestimmte Rechte verbieten???
Liegen alle Benutzer in der gleichen OU im AD?
Hast Du mal bei einem Benutzer das PF gelöscht, dann die Exchange Attribute entfernt und dann im ESM das getrennte PF den Benutzer wieder neu zugewiesen.?
Gruss
Heinz
Hallo Heinz,
Zitathast Du denn mal mit ADSIEDIT zwei Benutzerobjekte verglichen. Einen alten und einen neuen?! Gibt es unterschiede??? Achte mal besonders auf den LegacyExchangeDN Eintrag!
Bis auf msExchALObjectVersion (keine Ahnung was das ist) sind alle identisch. Bestehende User haben noch einen Eintrag "protocolSettings" (Value: "HTTP§1§1§§§§§§"), ansonsten kann ich nichts feststellen.
ZitatKann vielleicht eine GPO greifen und bestimmte Rechte verbieten???
Nein GPOs sind derzeit keine eingerichtet.
ZitatLiegen alle Benutzer in der gleichen OU im AD?
Ja.
ZitatHast Du mal bei einem Benutzer das PF gelöscht, dann die Exchange Attribute entfernt und dann im ESM das getrennte PF den Benutzer wieder neu zugewiesen.?
Äh, sorry. Das versteh ich nicht so ganz... Was soll ich machen?
Dennis
Hi,
der Wert msExchALObjectVersion ist für den DirSync von 55 und wenn dies neue Benutzer nicht haben, würde ich es testhalber bei einen bestehenden Benutzer entfernen oder mal vergleichen was ebim Admin ist. der geht ja auch!
Im Postfachspeicher kannst du eine Aufbewahrungsfrist von PF definieren. diese ist per Default 30 Tage. Wenn man nun ein Postfach löscht und den Cleanup Agent auf den Postfachspeicher ausführt bekommt das PF ein rotes x. Dann kann man mit der rechten MT auf das PF, dies einen Benutzer zuordnen. Wenn man zuvor noch über das Ad alle Exchange Attribute auf den Benutzerobjekt entfernt ist es wie ein neuer Benutzer auf ein altes PF.
Gruss
Heinz