Daily archives "Februar 19, 2015"

Wenn ich jedes Mal einen Euro dafür bekommen würde…

Leider trifft man immer wieder auf Windows-Umgebungen (Active Directory), in denen User einen Account zum Arbeiten und zum Administrieren nutzen. Ich möchte jetzt gar nicht über die Gründe sprechen, die aus Security-Sicht dagegen sprechen. Aber während einer Exchange-Migration tritt dann immer wieder ein Problem auf…

Folgendes Szenario: der neue Server ist aufgebaut und es werden die ersten User migriert. Plötzlich melden sich einzelne User, bei  denen die Synchronisierung ihres Smartphones mit ihrem Postfach nicht mehr klappt[1]. Schaut man sich nun die betroffenen User an, stellt man fest dass sie Mitglied in einer oder mehrere administrativen Domänen-Gruppen sind. In diesem Fall greift etwas, dass unter dem Stichwort „AdminSDHolder“ bekannt ist. Um administrative Konten zu schützen, werden regelmäßig (jede Stunde) alle Konten auf diese Mitgliedschaft geprüft. Falls das betreffende Konto Mitglied z.B. in der Gruppe der Domänen-Administratoren ist, dann wird die Berechtigungsvererbung abgeschaltet. Das führt aber auch dazu, dass Exchange nun bestimmte Rechte auf dem User fehlen. Aber ohne diese Eintragung findet keine Erstsynchronisation statt…

Bei  der ersten Synchronisation mit dem neuen Server wird im Regelfall das Gerät im Benutzerkonto eingetragen. Fehlen Exchange aber die entsprechenden rechte, schlägt diese Eintragung fehl.

Was kann man da tun:

– kurzfristig: die Vererbung wieder einschalten. Siehe hierzu [2], [3] oder [4]

– langfristig: Administratoren müssen zwei Konten nutzen. Das mag unbequem sein, ist aber auch aus anderen Gründen sinnvoll. Und bei der Gelegenheit kann man ja auch mal schauen, ob wirklich für alle Mitglieder dieser Gruppen die Mitgliedschaft (noch) notwendig ist.

Wer sich für die Hintergründe interessiert, findet entweder unter den obigen Links etwas oder auch unter [5] bzw. [6].

Dieses Problem tritt immer wieder auf (bei einem Kunden war es schon unser running gag); daher also die Überschrift…

[1] Alternativ können sie sich auf dem neuen Server nicht an Outlook Web Access anmelden. Hier liegt es daran, dass man bei der ersten Anmeldung die bevorzugte Sprache und die Zeitzone angeben muss; das wird dann im Benutzerkonto vermerkt. Diese Eintragung schlägt aber fehl, weil Exchange die entsprechenden Rechte auf dem User fehlen.

[2] http://www.msxfaq.de/konzepte/adminsdholder.htm

[3] http://www.serverhowto.de/Der-AdminSDHolder.477.0.html

[4] http://blog.mrinas.de/2011/11/12/adminsdholder-oder-warum-habe-ich-keine-rechte/

[5] http://blogs.technet.com/b/askds/archive/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop.aspx

[6] http://policelli.com/blog/archive/2009/11/06/understanding-adminsdholder-and-protected-groups/

PS: wie immer gilt: für den Inhalt der externen Links bin ich nicht verantwortlich.

Dude, where is my OWA?

Ich migriere gerade bei einem Kunden von Exchange 2003 auf Exchange 2013. Da wir rein mit Bordmitteln arbeiten, müssen wir den Zwischenschritt über Exchange 2010 machen. Ich bearbeite gerade ein Problem mit den öffentlichen Ordnern und deshalb musste ich meine Mailbox zurück auf den alten Server verschieben (um sicherzustellen, dass in meinem Outlook auch der alte „Öffentliche Ordner“ Speicher genutzt wird).

Im Gespräch mit dem Administrator kamen wir auf das neue (ab Exchange 2010 geltende) Berechtigungsmodell zu sprechen (Stichwort: RBAC). Ich wollte seinen User nun so berechtigen, dass er auch den neuen Server administrieren darf. Dazu rief ich aus der Toolbox den entsprechenden Punkt auf. Dieser Punkt wird aber in Exchange 2010 über die ECP-Konsole administriert, also über den Browser.  Und dort wurde mir dann nach der Anmeldung eine Fehlermeldung präsentiert:

Seite nicht gefunden. Mit der von Ihnen eingegebenen Adresse ist kein Zugriff auf das Postfach möglich. Die korrekte Adresse erhalten Sie vom Helpdesk.

Nachdem ich dann ein bisschen gesucht hatte und auf die Lösung gestossen bin, war das wieder so ein „hätte ich auch selbst drauf kommen können“ Moment. Ich melde mich beim Exchange 2010 OWA an, um auf die ECP-Seite zu kommen. Nur liegt ja mein Postfach auf dem „alten“ Server, auf dem es keine ECP-Seite gibt. So schlägt der Redirect natürlich fehl.

Merke für die Zukunft: eigenen Test-Account anlegen.