Probleme bei der Migration von Exchange 2003 auf 2010

Grundsätzlich ist die Migration von Exchange 2003 auf 2010 gut dokumentiert und bei einer sorgfältigen Vorbereitung sollte wenig schiefgehen.

Für einen ersten Einblick ins Thema Exchange 2010 eignet sich das Exchange Server 2010 Kompendium von Thomas Joos. Wesentlich detaillierter und meiner Meinung nach für eine gute Vorbereitung unerlässlich sind die englischen Bücher Exchange Server 2010 Inside Out von Tony Redmond und Exchange Server 2010 Best Practices von Siegfried Jagott und Joel Stidley.

Für eine Migration empfiehlt sich außerdem die kostenpflichtige Exchange Server 2003 to 2010 Migration Guide von Paul Cunningham. Ebenfalls hilfreich sind das TechNet, der Exchange Server Deployment Assistant und natürlich das Microsoft Exchange Server Forum.

Nach insgesamt sechs Wochen Planungs- und Testphase habe ich letzte Woche den ersten Exchange Server 2010 in die bestehende Infrastruktur integriert. Dank der guten Vorbereitung gab es auch keine größeren Probleme – einige kleinere Fehler traten aber trotzdem auf:

Mounten neu ersteller Mailbox Datenbanken schlägt fehl

Nach dem Erstellen neuer Mailbox Datenbanken konnten diese zunächst nicht gemountet werden, bei jedem Versuch über die GUI kam es zu folgender Fehlermeldung:

Error:
Couldn't mount the database that you specified. Specified database: MBDB001;
Error code: An Active Manager operation failed. Error: The database action failed.
Error: Operation failed with message: MapiExceptionNotFound: Unable to mount
database. (hr=0x8004010f, ec=-2147221233)
.[Database: , Server: ].

Von Microsoft gibt dazu den Artikel You cannot create a new Exchange Server 2010 Mailbox database in a multiple domain environment. In meinem Fall ging es aber um ein Single Domain Environment. Tritt der Fehler auf, kann ich nur einen Rat geben: Warten. Wenige Minuten nach Anlage der Datenbanken ließen sie sich problemlos mounten!

Zugriff auf öffentliche Ordner über ESM funktioniert nicht

Im Exchange 2003 System Manager ließen sich die öffentlichen Ordner nicht mehr aufrufen. Bei jedem Versuch wurde folgender Fehler angezeigt:

Der von Öffentlichen Ordner verwendete HTTP-Dienst ist nicht verfügbar. Mögliche
Ursachen sind, dass Öffentliche Informationsspeicher nicht bereitgestellt sind 
und dass der Informationsspeicherdienst nicht ausgeführt wird.

ID-Nr.: c1030af3
Exchange-System-Manager

Das Problem ist in KB-Artikel 938610 dokumentiert und hängt mit einer vorhergehenden Änderung der Empfängerrichtlinien zusammen. Ein Neustart des Exchange 2003 Servers hat geholfen.

Exchange 2003 Information Store startet nach Reboot nicht mehr

Das Aktualisieren der Empfängerrichtlinien mit dem Cmdlet Set-EmailAddressPolicy und ein anschließender Neustart des Exchange 2003 Servers legen unter Umständen den Exchange 2003 Information Store lahm. In einem solchen Fall schlägt das Starten des Informationsseichers mit folgender Fehlermeldung fehl:

Der Microsoft Exchange-Informationsspeicherdienst konnte nicht initialisiert
werden. - Fehler 0x8004010f

Das Problem tritt auf, wenn die X400 Adresse aus der Default Recipient Policy entfernt wird. In meinem Fall hat es geholfen, die Default Policy in der Exchange Managemt Console zu bearbeiten und die X400 Adresse als „Custom Address“ wieder hinzuzufügen. Alternativ wird in diesem Blog eine Methode mit ADSI Edit beschrieben.

Entfernen einer Adressliste verursacht Fehler im Eventlog

Nach dem Entfernen der Adressliste „All Rooms“ wurde im Eventlog permanent folgender Fehler protokolliert:

Log Name:      Application
Source:        MSExchange ADAccess
Date:          20.07.2012 22:09:48
Event ID:      2937
Task Category: Validation
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      ex01.layer9.dom
Description:
Process MsFTEFD.exe (PID=6396). Object [CN=EXCHANGE,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=layer9,DC=dom]. Property 

[ResourceAddressLists] is set to value [layer9.dom/Configuration/Deleted Objects/All Rooms
DEL:61fd6111-5ad1-4726-bd89-42613697d540], it is pointing to the Deleted Objects container in
Active Directory. This property should be fixed as soon as possible.
Event Xml:

  
    
    2937
    3
    6
    0x80000000000000
    
    3221
    Application
    ex01.layer9.dom
    
  
  
    MsFTEFD.exe
    6396
    CN=EXCHANGE,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=layer9,DC=dom
    ResourceAddressLists
    layer9.dom/Configuration/Deleted Objects/All Rooms
DEL:61fd6111-5ad1-4726-bd89-42613697d540
  

Um den Fehler zu beheben, wird die Adressliste zunächst neu erstellt. Anschließend öffnet man ADSI Edit und navigiert zu folgender Stelle:

Configuration -> CD=Configuration -> CN=Services -> CN=Microsoft Exchange -> CN=[Name der Organisation] -> CN=Address Lists Container -> CN=All Address Lists -> CN=All Rooms

Vom Objekt CN=“All Rooms“ öffnet man mittels Rechtsklick die Eigenschaften und kopiert sich den distinguishedName:

Danach öffnet man auf dem selben Weg die Eigenschaften des Objekts CN=[Name der Organisation] und ändert das Attribut msExchResourceAddressLists. Dort wird der alte Wert (z.B. All Rooms DEL:58df21fc-2afc-432b-b534-379ebc539dcd} entfernt und durch den neuen distinguishedName ersetzt:

Anschließend sollte der Fehler im Eventlog nicht mehr auftreten. Möglicherweise ist es auch ausreichend, nur den gelöschten Wert aus dem Attribut msExchResourceAddressLists zu entfernen.

ActiveSync für migrierte Mailboxen funktioniert nicht mehr

Bei einigen Benutzern funktionierte nach dem Verschieben ihrer Mailbox auf Exchange 2010 die Synchronisation mittels ActiveSync nicht mehr. Im Eventlog des Servers wurde dabei folgender Fehler generiert:

Log Name:      Application
Source:        MSExchange ActiveSync
Date:          20.07.2012 22:33:57
Event ID:      1053
Task Category: Configuration
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      ex01.layer9.dom
Description:
Exchange ActiveSync doesn't have sufficient permissions to create the "CN=Jackson\, 

Michael,OU=Administration,OU=IT,OU=Informationssysteme,OU=layer9,OU=Benutzer,
OU=Hamburg,OU=layer9-Holding,OU=Standorte,DC=layer9,DC=dom" container under
Active Directory user "Active Directory operation failed on ad3.layer9.dom. This
error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
".
Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type 

"msExchActiveSyncDevices" and doesn't have any deny permissions that block such operations.

Details:%3
Event Xml:

  
    
    1053
    2
    2
    0x80000000000000
    
    3243
    Application
    exchange01.layer9.dom
    
  
  
    CN=CN=Jackson\, 

Michael,OU=Administration,OU=IT,OU=Informationssysteme,OU=layer9,OU=Benutzer,
OU=Hamburg,OU=layer9-Holding,OU=Standorte,DC=layer9,DC=dom
    Active Directory operation failed on dc03.layer9.dom. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-031521D0, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

  

Der Fehler ist bei Microsoft im KB Artikel Exchange 2010 ActiveSync users cannot synchronize an EAS device for the first time dokumentiert und wird durch eine fehlende Berechtigung ausgelöst. Bei den betroffenen Benutzern war die Vererbung der Rechte deaktiviert:

Das Aktivieren der Vererbung ergänzt die fehlenden Berechtigungen und führt schließlich dazu, dass die Synchronisation wieder funktioniert.

Suche in Outlook und OWA liefert keine Ergebnisse mehr

Nach dem Verschieben einiger Benutzer nach Exchange 2010 förderte die Postfachsuche in Outlook und OWA keine Ergenisse mehr zu Tage. Microsoft stellt mit dem Artikel Diagnose Exchange Search Issues im TechNet eine Anleitung bereit, um Probleme mit der Suche zu analysieren. Fehler im Eventlog oder andere erkennbare Probleme mit dem Content Index waren allerdings nicht zu erkennen. Einzig und allein auffällig war die geringe Größe des Index – gemessen an der Größe der Datenbank war er viel zu klein.

Geholfen hat dann letztendlich ein Rebuild des Content Index. Das geht entweder über das PowerShell Script ResetSearchIndex.ps1 oder mittels Beenden des „Microsoft Exchange Search Indexer“ Dienstes und Umbenennen bzw. Entfernen des Catalog Verzeichnisses. Nach dem Rebuild funktionierte die Suche dann wieder wie gewünscht.

Langsames Backup der Datenbanken mit Backup Exec 2010 R3

Eine erste Sicherung der Datenbanken mit Backup Exec 2010 R3 startete und verlief zwar augenscheinlich problemlos, schlug am Ende aber mit folgender Meldung fehl:

Fehlerkategorie   : Systemfehler
Fehler: e0008516 - Die für einen Snapshot angegebenen Ressourcen verfügen über keine gültigen Daten.
Überprüfen Sie, ob Dateien gelöscht oder umbenannt wurden. Zusätzliche Informationen zu diesem Fehler
finden Sie unter der Verknüpfung V-79-57344-34070

Der Fehler ist bei Symantec im Artikel Exchange 2010 Backup fails with the error 0xe0008516 dokumentiert und kann auftreten, wenn seit dem letzten Reboot des Exchange Servers neue Datenbanken erstellt worden sind. Ein Reboot hat das Problem behoben.

Backup der Datenbanken mit Backup Exec 2010 R3 ist langsam

Exchange 2010 ist virtualisiert und die Sicherung wird über das Netzwerk zu einem am Medienserver angeschlossenen LTO-3 Laufwerk transportiert. Bei Verwendung von GbE sind hier normalerweise Übertragungsraten von bis zu 80 MB/s möglich. Die ersten Sicherungen liefen dagegen nur mit ca. 35 MB/s und damit viel zu langsam:

Der Verdacht viel dabei sofort auf die Granular Restore Technology (GRT) in Backup Exec. Mit GRT lassen sich nicht nur Datenbanken, sondern auch einzelne Postfächer und Nachrichten wiederherstellen. Eine ähnliche Technologie gab es auch schon in früheren Versionen von Backup Exec und auch damals hatte deren Verwendung deutlich negative Auswirkungen auf die Performance.

Und siehe da: Nach dem Deaktivieren von GRT in den Eigenschaften der entsprechenden Sicherungsjobs stieg die Performance auf gute 60 MB/s:

Falscher Certificate Principal Name in Outlook für RPC over HTTP

Ist Outlook Anywhere am CAS aktiviert, wird die Option standardmäßig auch in Outlook 2010 konfiguriert. Dabei wird unter anderem das Feld „Verbindungen nur mit Proxyservern herstellen, deren Zertifikat den folgenden Prinzipalnamen enthält“ mit dem Namen gefüllt, der bei der Konfiguration von Outlook Anywhere als externer Hostname angegeben wurde.

Wird Outlook Anywhere extern mit einem Wildcard SSL Zertifikat abgesichert, sorgt das für ein Problem: Der Common Name des Zertifikats und in Outlook konfigurierte Principal Name unterscheiden sich und die Verbindung zu Exchange über HTTPS schlägt fehl.

Der Wert des entsprechenden Feldes in Outlook wird über einen „Outlook Provider“ gesteuert. Eine gute Erklärung zum Thema bietet der Artikel When, if and how do you modify Outlook Providers? im Exchange Team Blog. Mit dem Cmdlet Set-OutlookProvider kann der Wert für den Principal Name angepasst oder alternativ komplett deaktiviert werden. Kurz und bündig erklärt ist das in diesem Blog.

Non Delivery Report bei E-Mail an neu erstellte Verteilergruppe

Im Rahmen der Aktualisierung mussten auch einige Verteilergruppen neu erstellt werden. Kurze Zeit später fiel uns auf, dass E-Mails von bestimmten Absendern dort nicht mehr ankamen. Betroffen war nur Sender außerhalb der Exchange Organisation. Der Absender erhielt dabei folgenden Non Delivery Report:

VERTEILER  
Ihre Nachricht wurde aufgrund eines Berechtigungs- oder Sicherheitsproblems
nicht zugestellt. Möglicherweise wurde sie von einem Moderator zurückgewiesen,
die Adresse akzeptiert nur E-Mails von bestimmten Absendern oder die Übermittlung
wurde durch eine andere Einschränkung verhindert.

Bei einem Blick in die Eigenschaften der Verteilergruppe stellte sich dann heraus, dass zum Senden an die Gruppe eine Authentifizierung erforderlich war:

Absender außerhalb der Exchange Organisation sind in der Regel nicht authentifiziert, weshalb Ihnen das Senden an eine entsprechende Verteilerliste nicht gestattet ist. In Exchange 2010 ist diese Option bei neuen Verteilergruppen offenbar standardmäßig aktiviert und muss bei Bedarf unter „Mail Flow Settings“ -> „Message Delivery Restrictions“ in den Eigenschaften der Verteilergruppe deaktiviert werden.

1 Response to “Probleme bei der Migration von Exchange 2003 auf 2010”



  1. 1 Migration von Exchange 2003 auf 2010 | IT-Systemkaufmann Trackback zu Juli 26, 2012 um 5:42 pm

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s





%d Bloggern gefällt das: