Hallo zusammen,
für eine anstehende Migration bei einem Kunden bin ich auf das nachfolgende Verhalten gestoßen. Geplant ist eine Migration der bestehenden Exchange 2010 Server Landschaft (2 x CAS und HT + 2x MB) auf Exchange 2016. Nachdem zwei Exchange 2016 Server mit DAG bereitgestellt waren und die ersten Test-Postfächer auf 2016 migriert wurden war die Anmeldung via OWA und ECP nicht möglich. Je nachdem auf welchem Server das Postfach bereitgestellt wird – gelingt die Anmeldung bzw. nicht. Angenommen das Postfach wird auf Server B bereitgestellt und der Anwender meldet sich via OWA oder ECP auf Server A an, wird folgende Meldung ausgegeben:
OWA Fehlermeldung:
Something went wrong
A mailbox couldn’t be found for {0}.
X-ClientId: F60CC561F05141569D7DEBBE877397B1
request-id dffccb56-1eb6-4c8e-9733-eb4d782c0a10
X-OWA-Error Microsoft.Exchange.Data.Storage.UserHasNoMailboxException
X-OWA-Version 15.1.1847.3
X-FEServer SERVER-B
X-BEServer SERVER-A
Date:12/18/2019 12:20:53 PM
A mailbox couldn’t be found for {0}.
A mailbox couldn’t be found for DOMAIN\logonname.
ECP Fehlermeldung:
Das Problem hing damit zusammen, dass die Exchange Computer Objekte der Gruppe “Organization Management” zugeordnet waren. Genauer gesagt war die Gruppe “Exchange Trusted Systems” Mitglied von “Organization Management”.
Microsoft-Referenz:
Resolution
To resolve this issue, remove the computer object from the restricted group.
Note To resolve this issue, you may have to restart the computer that has the Exchange Server role assigned.
Cause
This issue occurs if the “deny” permission is effective on the ms-Exch-EPI-Token-Serialization user right on a computer object that has an Exchange Server 2013 or Exchange Server 2016 role assigned.Note Typically, this issue occurs if a computer object is added to a group that is denied the ms-Exch-EPI-Token-Serialization user right. By default, the following groups are denied the ms-Exch-EPI-Token-Serialization user right:
- Domain Admins
- Schema Admins
- Enterprise Admins
- Organization Management
Die Mitgliedschaft der Computer-Objekte kann in der CMD ermittelt werden:
gpresult /r /scope:computer
Nachdem die Gruppe “Exchange Trusted Systems” aus “Organization Management” herausgenommen wurde und die Exchange Server neugestartet wurden war die Anmeldung unabhängig von dem Exchange Knoten erfolgreich.