Exchange Server Setup fragt bei Migration nach Organisationsnamen

Bei der Installation von neuen Exchange 2019 Servern in einer bestehenden Exchange 2016 Organisation, bin ich über den folgenden Fehler gestolpert. Das Exchange 2019 Setup hat während der Installation des ersten Exchange 2019 Servers nach dem Organisationsnamen gefragt. Die Nachfrage nach dem Organisationsnamen darf bei der Installation in eine bestehende Exchange Organisation nicht auftauchen, denn die neuen Server sollen ja in die bestehende Exchange 2016 Organisation installiert werden. Die Nachfrage nach dem Exchange Organisationsnamen erscheint daher normalerweise nur, wenn es sich um eine neue Exchange Organisation handelt, also bei der Installation des ersten Exchange Servers in ein Active Directory in dem es noch keine Exchange Installation gegeben hat:

Exchange Server Setup fragt bei Migration nach Organisationsnamen

Ich habe darauf hin das Setup abgebrochen und mir das Exchange Setup Log (‪C:\ExchangeSetupLogs\ExchangeSetup.log) angeschaut. Hier find mir dann die folgenden Zeilen aufgefallen:

[01.23.2023 18:44:45.0533] [0] Setup is choosing the domain controller to use
[01.23.2023 18:44:58.0018] [0] Setup is choosing a local domain controller...
[01.23.2023 18:45:00.0080] [0] [ERROR] Setup encountered a problem while validating the state of Active Directory: Active Directory operation failed on . The supplied credential for 'BENUTZERNAME' is invalid.  See the Exchange setup log for more information on this error.
[01.23.2023 18:45:00.0080] [0] [ERROR] Active Directory operation failed on . The supplied credential for 'BENUTZERNAME' is invalid.
[01.23.2023 18:45:00.0096] [0] [ERROR] The supplied credential is invalid.
[01.23.2023 18:45:00.0096] [0] Setup will use the domain controller ''.
[01.23.2023 18:45:00.0096] [0] Setup will use the global catalog ''.
[01.23.2023 18:45:00.0221] [0] No Exchange configuration container was found for the organization. Message: 'Active Directory operation failed on . The supplied credential for 'BENUTZERNAME' is invalid.'.
Exchange Server Setup fragt bei Migration nach Organisationsnamen

Ich hatte aufgrund der Meldungen zunächst die Vermutung, dass der Benutzer den ich zur Installation verwendet habe, keine ausreichenden Berechtigungen im Active Directory hat. Ich habe dann die Active Directory Benutzer und Computer MMC auf dem Exchange Server gestartet um die Berechtigungen zu kontrollieren (glücklicherweise, habe ich die dies auf dem Exchange Server selbst getan). Bei der Kontrolle der Gruppenmitgliedschaften bin ich dann auf die folgende Fehlermeldung gestoßen:

A global catalog cannot be contacted to retrieve the icons for
the member list because access was denied. Some icons may
not be shown.

Auf dem Domain Controller selbst, tritt diese Meldung mit dem gleichen Benutzer übrigens nicht auf, hätte ich die Konsole nicht auf dem zu installierenden Exchange Server gestartet, wäre mir die Fehlermeldung wahrscheinlich nicht aufgefallen. Ich habe also nur schnell die Berechtigungen kontrolliert und mich dann auf den Fehler konzentriert:

A global catalog cannot be contacted to retrieve the icons for
the member list because access was denied. Some icons may
not be shown.

Ich habe dann die üblichen Verdächtigen überprüft: DNS, Secure Channel und Event Log. Hier konnte ich allerdings keine Fehler finden. Irgendwann kamen mir dann Gruppenrichtlinien in den Sinn, die ggf. irgendwas verhindern. Ich habe das Computer Konto des Exchange Servers daher in eine neue OU verschoben und auf der OU die Vererbung deaktiviert. Mit der neuen OU habe ich dann nur die GPO „Default Domain Policy“ verknüpft und zur Sicherheit auch alle lokalen GPOs auf dem Server zurückgesetzt:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
RD /S /Q "%WinDir%\System32\GroupPolicy"
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"

Nach einem Neustart des Servers konnte ich die Gruppenmitglieder vom Exchange Server wieder auflisten. Der Fehler dass kein Globaler Katalog erreichbar sei, ist nicht mehr aufgetreten. Daraufhin habe ich testweise das Exchange Setup neu gestartet und auch die Nachfrage nach dem Organisationsnamen ist verschwunden. Im Exchange Setup Log wurden jetzt auch die korrekten Werte angezeigt:

Erfolgreiche Exchange 2019 Installation

Ich habe das Exchange Setup dann trotzdem wieder abgebrochen, da ich ja noch nicht wusste welche GPO die Probleme verursacht. Ich bin dann nach dem Ausschlussverfahren vorgegangen. Ich habe nach und nach die GPOs der ursprünglichen OU an die Test-OU angehangen und immer versucht die Gruppenmitgliedschaften aufzulisten. Nach ein paar Versuchen hatte ich dann die problematische GPO gefunden:

In einer GPO welche für das Hardening des Betriebssystems sorgt, wurde RC4_HMAC_MD5 als zulässiger Verschlüsselungstyp für Kerberos abgeschaltet und nur noch die AES Verschlüsselung zugelassen. In meinem Fall war dies allerdings problematisch, da die die Domain und die Domain Trusts (noch) nicht für AES konfiguriert waren. Ich habe also eine neue GPO für die Exchange Server erstellt, welche RC4 wieder zulässt:

RC4_HMAC_MD5 als zulässiger Verschlüsselungstyp für Kerberos

Das Exchange Setup ist nach der Aktivierung von RC4 sauber durchgelaufen. Ein Problem gelöst und eine neue Aufgabe gewonnen: Die Domains und Trusts auf AES umstellen. Das ist aber ein anderes Thema.

7 Gedanken zu „Exchange Server Setup fragt bei Migration nach Organisationsnamen“

  1. Hallo,
    vielleicht kann mir ja hier jemand weiterhelfen.
    Wir haben eine Exchang Organisation mit 2x Exchange 2016 (DAG) nun wollten wir mit der Migration starten und sind bei der Installation des Exchange 2019 auf folgenden Fehler gestoßen.
    An dem Punkt wo man den Namen eingibt, wird der richtige Name unserer bisherigen Organisation gezogen und dieser kann nicht geändert werden. Soweit, so richtig.
    Leider kann ich nicht auf weiter oder zurück klicken, da er ungültige Zeichen im Namen bemängelt (Es ist ein – enthalten)
    Gibt es hierfür eine Lösung, oder eine Idee.
    Vielen Dank schon mal vorweg

    Antworten
  2. Zitat „Ein Problem gelöst und eine neue Aufgabe gewonnen: Die Domains und Trusts auf AES umstellen. Das ist aber ein anderes Thema.“
    Wird es dazu auch einen Blogartikel geben?

    Antworten
  3. Vielen Dank für den Artikel. Bei uns steht in diesem Jahr wohl auch eine Migration an, da könnte uns dein entdeckter Fehler inkl. Lösung womöglich viel Zeit sparen.

    Antworten

Schreibe einen Kommentar