Beiträge von rowe

Zitat

Das Exchange_konto kannst Du raus nehmen, das wir ja für 2010 nicht benutzt.

Hab mich da vielleicht nicht ganz verständlich ausgedrückt. Exchange_konto ist der Benutzer mit dem ich mich an beiden Servern anmelde. Der User ist Mitglied der Domänen-Admins usw. An den Diensten wurde nichts gedreht, die laufen alle noch unter "Lokales Systemkonto".
Die Gruppe Exchange Trusted Subsystem war bereits Mitglied der lokalen Admingruppe auf dem Exchange 2010 Server. Das hatte ich übersehen.
Rausnehmen könnte ich den Benutzer Exchange_Konto aber auch weil er sowieso Mitglied der Domänen Admins ist. (Der Benutzer unterdem der Server läuft muß doch lokalen Adminrechte haben.)

Nachtrag: Mir fällt gerade noch etwas auf:
Das Adminkonto der übergeordneten Domäne hat ein Postfach auf dem Exchange 2010. Das muss während des Setups "passiert" sein, was wiederum heißt dass da die Rechte vorhanden waren. Akutelle kann ich auch an diesem Postfach keine Änderungen vornehmen auch wenn ich mit dem Adminkonto der übergeordneten Domäne am Exchange 2010 Server anmelde. Sehr merkwürdig.

Hallo.
Danke schonmal für die Antworten.

NobbyausHB
BPA: Mache ich im BPA eine Berechtigungsprüfungen werden keine Fehler angezeigt. Sieht für mich normal aus. Was genau möchtest du aus dem Ergebnis des BPA noch wissen?

übergeordneten Domäne: Das habe ich schon gemacht. Die Exchange Management Konsole läuft auf auch auf einem Mitgliedsserver der übergeordnenten Domäne. Davon abgesehen habe ich alle Berechtigungen/Möglichkeiten Änderungen an der übergeordneten sowie allen untergeordneten Domänen vorzunehmen.

OS: übergeordnete Domäne: 2 DC´s; einmal W2K3SP2,GC; DNS, der andere W2K8 SP2(kein R2) auch GC und DNS
untergeordnete Domäne: 2 DC´s W2K3 SP2,1 DC W2K8R2

Routing: Die Netzte sind nicht getrennt, da gleicher Standort

RobertW
Benutzerkonto: Nein Dienste o.ä. sind da nicht umgebogen. Das Userkonto stammt aus alten Exchange 5.5 Zeiten, da gab es mal die Empfehlung Exchange unter einem anderen Konto als Administrator laufen zu lassen.

Lokale Admin Gruppe auf 2010er:
Mitglieder sind: dom1.firma\Domänen-Admins firma\Domänden-Admins, firma\Organization Management, sowie \dom1.firma\Exchange_konto, firma\Administrator und der lokale Admin

Welche User müssten den umgekehrt in der Gruppe Trusted Subsystem sein?

Die Berechtigungsvererbung ist weder innerhalb der übergeordneten Domäne noch innerhalb der untergeordneten Domäne abgehangen.

Meine Vermutung ist dass es an igendwelchen neuen Exchange Berrechtigungen hängt die in der übergeordneten Domäne fehlen. Wie schon gesagt laufen die beiden Exchange Server unter dem selben Konto und in der selben untergeordneten Domäne mit dem Unterschied dass ich in auf dem 2003er einem User aus der übgeordneten Domäne ein Postfach zuordnen kann und auch Änderungen vornehmen kann das Ganze aber auf dem 2010er nicht kann.

Gruß
rowe

Hallo.

Hier steht die Umstellung Exchange 2003 - Exchange 2010 an.

Unsere Domänenstruktur ist leider etwas komplexer aufgebaut als in den meisten Dokus und Anleitungen welche ich im Netz gefunden habe.

Wir haben eine übergeordnete Domäne firma.local. Diese Domäne existiert rein zu Verwaltungszwecken und hat einige wenige User. In dieser übergeordneten Domäne gibt es keinen Exchange Server.

Darunter gibt es insgesamt 6 untergeordnete Domänen (dom1.firma.local - dom6.firma.local). 5 davon befinden sich an anderen Standorten und haben Exchage 2003.
Eine davon ist hier am Standort. In dieser Domäne befindent sich alle User usw. In dieser Domäne soll zuerst con Exchange 2003 auf 2010 umgestellt werden, dann sollen alle weitere folgen.

In übergergeorndeter Domäne (firma.local)folgendes mit Benutzerkonto welches Schema und Orga Admin ist ausgeführt:
-PrepareLegacyExchangePermissions
-PrepareAD
-Prepareschema

In untergeordneter Domäne dom1.firma.local -PrepareDomain ausgeführt.

Die neue \"Berechtigungs-OU\" \"Microsoft Exchange System Objects\" existierte anschließend nur in der übergeordneten Domäne.

Ist das richtig so oder müsste es das ganze auch in dom1 geben?

Danach habe ich in der untergeordneten Domäne dom1.firma.local die Rollen CAS, HUB (Rotuingruppenconnector während Setup zum Exchange 2003 Server anlegen lassen).
Dann erstmal die SMTP Konnektoren umgebogen so dass der komplette Emailverkehr aller jetzt über den 2010er läuft statt über den 2003er. Hat bis dahin alles super funktioniert.

Zuletzt habe ich die Postfachrolle istalliert was eigentlich auch erfolgreich war. Dann die Mailboxen zweier User welche ihr Benutzerkonto in Dom1.firma.local haben auf die DB des 2010er Servers verschoben. Hat auch geklappt.

Jetzt zu meinem Problem: Wie oben erwähnt gibt es in der übergeordneten Domäne einige User welche ihr Postfach auf dem Exchange 2003 Server in dom1.firma.local haben (In firma.local gibt es ja keinen Exchangeserver).
Wenn ich das Postfach eines dieser User verschieben möchte erhlate ich die Fehlermeldung:

Fehler:
Die Zugriffsrechte reichen für diesen Vorgang nicht aus.
Active Directory-Antwort: 00002098: SecErr: DSID-03150A48, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Ich habe das als Admin der übergeordneten Domäne als auch als Exchange_konto der untergeordneten Domäne (so heißt bei uns das Adminkonto unter welchem der Exchangeserver 2003) Server läuft.) ausgeführt.
Ergänzend dazu muss ich noch sagen dass der Benutzer Exchange_konto in der bisherigen 2003er Umgebung \"volle Exchange Admin Rechte in allen weiteren untergeordneten Domänen hat. Das ist auch so beabsichtigt und soll auch in Exchange 2010 so sein.

Testweise habe ich dann mal in der Exchange Management Console versucht ein Exchange Attribut (z.B.\"Benutzerdefiniertes Feld 15\")eines Users aus der übergeordneten Domäne zu ändern. Dies schlägt ebenfalls mit der selben Fehlermeldung fehl. Mache ich das Ganze im ESM auf dem 2003 Server funktioniert es.
Der Fehler muss also irgendwie mit der neuen Exchange Berechtigungsstruktur zusammen hängen. Mir ist aber nicht klar wo der Fehler liegt zumal der 2003er und der 2010er Server unter dem genannten Benutzerkono Exchange_konto laufen. Dieses Benutzerkonto habe ich bereits ganz am Anfang in der übergeordnenten Domäne zur Gruppe \"Organization Management\" hinzugefügt.

Irgendwie steige ich nicht dahinter. 2003er und 2010er Server laufen unter dem selben Benutzerkonto. Unter 2010 darf ich Attribute eines Users der übergeordneten Domäne ändern oder einem User der noch kein Postfach hatte eines verpassen usw. unter Exchange 2010 darf dies der selbe User nicht.

Kann mir hier jemand weiterhelfen?

Gruß
rowe