maandag 30 november 2009 15:14

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
Bij het uitvoeren van het volgende commando:

code:
1

setup /PrepareAD


Komt de volgende melding terug:

code:
1
2
3
4

Configuring Microsoft Exchange Server

    Organization Preparation         ......................... FAILED
     The following error was generated when "$error.Clear(); initialize-AdminGroupPermissions -DomainainController" was run: "Active Directory operation failed on WST-AD01.wesotronicbv.org. This error iditional information: Insufficient access rights to perform the operation. Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data".


Het account waar dit onder draait is domain admin, Exchange fulladministrator en schema-admin.
Het huidige domein is een Windows 2003 domein met daarin een Exchange 2003 server.
De domain controller + GC is een windows 2008R2 server.
De exchange 2010 server zal ernaast komen te draaien om daarna te migreren van 2003 naar 2010.

Heeft iemand een idee hoe we dit kunnen oplossen?

Alvast bedankt.

maandag 30 november 2009 15:51

Acties:
  • 0 Henk 'm!
  • ZeRoC00L
  • Registratie: Juli 2000
  • Niet online

ZeRoC00L

?

is je account lid van de groep 'Enterprise Admins' ??

[*] Error 45: Please replace user
Volg je bankbiljetten

maandag 30 november 2009 16:01

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
ZeRoC00L schreef op maandag 30 november 2009 @ 15:51:
is je account lid van de groep 'Enterprise Admins' ??
Vreemd genoeg is die groep niet aanwezig binnen het domein.

Even wat extra info:
Dit was voorheen een windows 2000 domein met een exchange 2000 server.
Het domein is gecrasht en met behuolp van Microsoft hebben wij het domein van de klant weer "levend" gekregen.

Vervolgens met ntdsutil nog een oude DC uit het domein gehaald omdat die nergens meer op reageerde.
Er zijn toen 2 nieuwe DC's geinstalleerd waardoor ook de windows 2003DC uitgefaseerd kon worden.

Het hele domein draait nu als windows 2003 domein op een windows 2008R2 server.

Is het mogelijk om die enterprise admin groep opnieuw te genereren?

maandag 30 november 2009 16:07

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 17:57

Jazzy

Moderator SSC/PB

Moooooh!

Raffy schreef op maandag 30 november 2009 @ 16:01:
[...]
Is het mogelijk om die enterprise admin groep opnieuw te genereren?
Nee, dat gaat niet. Die kun je alleen uit de backup terughalen door middel van een authorative restore.

Ik zou voor de zekerheid eens een 'find' doen in ADUC om te kijken of hij niet verplaatst is ofzo. Als je hem echt niet hebt dan heb je een groter probleem namelijk.

Exchange en Office 365 specialist. Mijn blog.

maandag 30 november 2009 16:10

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Is de account wel Enterprise Admin? Want je moet het forest updaten :)

Edit:
Ik ben een beetje laat, maar heb je misschien vroeger een Nederlands domein gehad, en is de groep Ondernemingsadministrators aanwezig?

Anders kan je misschien nog zoeken op het SID, dat is altijd S-1-5-JOUW-DOMEIN-SID-519, en als je het object gevonden hebt het Members attribuut aanpassen om je user toe te voegen. Maar maak eerst een systemstate backup!

[ Voor 84% gewijzigd door sanfranjake op 30-11-2009 16:16 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 30 november 2009 16:17

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
Het is schijnbaar in het verleden een NL domein geweest wat daarna is geupgrade naar een ENG domein.

De groep ondernemersadministrators is daarom aanwezig.
Het account waar setup mee wordt uitgevoerd is daar lid van maar nog steeds de zelfde problemen.

Kan ook niet goed achterhalen wat de rechten moeten zijn op bepaalde OU's en Systeem folders in AD.

maandag 30 november 2009 16:20

Acties:
  • 0 Henk 'm!
  • Vorkie
  • Registratie: September 2001
  • Niet online

Vorkie

Maar als je al deze problemen al hebt, ga dan ook niet je schema updaten, maar los eerst alle andere problemen op.

Als ik het zo hoor dien je zowat die hele AD opnieuw op te zetten...

maandag 30 november 2009 16:25

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Misschien kan je ook eens checken of wel alle FSMO rollen op die server staan, dus Schema, Domain Naming, Infrastructure, RID, PDC masters.

Verder wordt door Exchange setup best veel gelogd, en wel in C:\ExchangeSetupLogs. Daar zou je ook misschien nog wat meer info uit kunnen halen betreffende deze error.

[ Voor 38% gewijzigd door sanfranjake op 30-11-2009 16:27 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 30 november 2009 16:27

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
De problemen welke er waren zijn al verholpen.

DCDIAG en NETDIAG draaien beide zonder fouten en replicatie verloopt ook zoals het hoort.

Het domein opnieuw opzetten is niet zomaar gedaan. Het domein zit vol met geneste groepen en andere onderlinge connecties.
Keuze van de klant was daarom huidige domein weer goed in leven te krijgen en mail server te updaten.

Vandaar dat we nu het schema aan het aanpassen zijn ipv een nieuw domein opzetten.

Zojuist nogmaals "netdom query fsmo" uitgevoerd om te controlleren of alle FSMO rollen op de juiiste DC zitten. en die staan goed.

[ Voor 12% gewijzigd door Raffy op 30-11-2009 16:28 ]

maandag 30 november 2009 16:53

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Welk functional level heeft het forest+domein nu? Dat moet minimaal Windows 2003 native mode zijn voor zover ik weet. Maar kijk eerst eens in de Exchange setup logs wat er nu precies mis gaat :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 30 november 2009 17:04

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
Forest functional level: windows 2003
Domain functional level: windows 2003


Error melding in de setup log is als volgt:

code:
1
2

[11-30-2009 15:26:29.0140] [1] [ERROR] The following error was generated when "$error.Clear(); initialize-AdminGroupPermissions -DomainController $RoleDomainController" was run: "Active Directory operation failed on DC.DOMEIN.LOCAL. This error is not retriable. Additional information: Insufficient access rights to perform the operation.
Active directory response: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

maandag 30 november 2009 17:07

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 17:57

Jazzy

Moderator SSC/PB

Moooooh!

Werk je met de built-in account Administrator of een andere admin-account? In geval van het laatste zou je het eens met Administrator kunnen proberen.

Exchange en Office 365 specialist. Mijn blog.

maandag 30 november 2009 17:11

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
werk met built-in administrator.

maandag 30 november 2009 17:35

Acties:
  • 0 Henk 'm!
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Probeer dan eens met een andere user welke lid is van al deze groepen, of reset via het tabblad security in de AD users en computers eens de permissies welke van bovenaf overgeerfd worden.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

maandag 30 november 2009 19:23

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 11-09 16:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Kijk even naar de laatste alinea in dit artikel.

Dit gaat dan wel over aanlogproblemen in OWA voor een admin-account, maar de foutmelding is verder identiek aan de jouwe.
Another error that can occur when connecting to a mailbox via OWA can be seen after moving mailboxes from Exchange 2003 to Exchange 2007. In this case, the mailbox is moved correctly to Exchange 2007 by using either the Exchange Management Console or the Exchange Management Shell.

“Active Directory operation failed on {FQDN of domain controller}. This error is not retriable. Additional information: Insufficient access rights to perform the operation.”

The key part of this error is the phrase “Insufficient access rights to perform the operation”. This can occur in the situation where the user trying to access OWA is currently a domain administrator via membership of a group such as Domain Admins, or was one at some point in the past. If that isn’t the case, it’s worth reading on anyway as there’s something to check on the account. Taking an example case presented here, User3 was once a member of the Domain Admins group although that user has since been removed from this group. Then, Exchange 2007 was installed and User3’s mailbox moved across from Exchange 2003.
edit: het artikel verteld eigenlijk dezelfde oplossing die Sanfranjake al aanhaald. Het resetten van de inheritable permissions voor het userobject.

[ Voor 4% gewijzigd door Question Mark op 30-11-2009 19:24 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 30 november 2009 20:52

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
Alle acties heb ik met ht administrator account en met een user account (welke zelfde groepen had als administrator) uitgevoerd en bij beide dus die melding.

Zal morgen eens testen met die inherit rechten zoals jullie aangaven.
Dat heb ik nog niet eerder getest. Zal daar morgen de uitslag over geven.

Kan jammer genoeg remote niet bij het netwrek van de klant.

maandag 30 november 2009 23:57

Acties:
  • 0 Henk 'm!

Verwijderd

Als ik deze meldingen zo lees is het niet verstandiger om de klant aan te raden een nieuw domein op te zetten?
Hierin kun je de nieuwe exchange omgeving opgezeten waarna je erheen migreert.

Scheelt je waarschijnlijk ook een hoop toekomstige problemen.

dinsdag 1 december 2009 09:43

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
De inherit rechten aangepast maar dit heeft geen succes gehad.

Verder is het opnieuw inrichten van het domein voor de klant geen alternatief.
We gaan waarschijnlijk hiervoor nu een ticket aanmaken bij Microsoft.

dinsdag 1 december 2009 09:49

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 17:57

Jazzy

Moderator SSC/PB

Moooooh!

Raffy schreef op dinsdag 01 december 2009 @ 09:43:
We gaan waarschijnlijk hiervoor nu een ticket aanmaken bij Microsoft.
Dat lijkt me een prima idee, die 300 euro zijn goed gespendeerd.

Exchange en Office 365 specialist. Mijn blog.

maandag 7 december 2009 11:06

Acties:
  • 0 Henk 'm!
  • Raffy
  • Registratie: September 2003
  • Laatst online: 27-06 16:13

Raffy

Topicstarter
Die € 300,- is dik terug verdiend aangezien MS met 2 man ongeveer 5 uur is bezig geweest om het probleem terug te vinden.

In de DB van AD stond op een bepaald attribuut een deny voor everyone. Vraag me niet hoe die er is gekomen maar dat was uiteindelijk het probleem. Die rechten weer ingesteld zoals het zou moeten en de installatie verliep correct.

maandag 7 december 2009 11:08

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 17:57

Jazzy

Moderator SSC/PB

Moooooh!

Kijk eens aan, dat is goed om te horen. Op welk object stond die deny?

Exchange en Office 365 specialist. Mijn blog.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq