IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Exchange Server 2003 , Exchange Server 2010 transition ; ADObjectWithNoSecurityDescriptor_Mbx : server_fqdn

Merhaba ,

Bir transition projemde şöyle bir problem başıma geldi. 2003’den 2010’a transition yapılmaktaydı . Haliyle mailbox taşıma süreci mailbox boyutlarına göre ve mailbox sayısına göre zaman alıyor. Bu süre zamanında kullanıcıların bir kısmının doğal olarak mailbox’ı exchange server 2003’teydi , bir kısmı ise exchange server 2010’daydı. Mailbox’ı taşınanlar activesync ile exchange server 2010 client access server üzerinde bağlanamıyorlardı.

Sorunun Özeti :

Mailbox’ı Exchange Server 2003’ten Exchange Server 2010’a taşınanlar ActiveSync ile bağlanamıyor.

Problemin çözümüne dair :

 

İlk olarak exchange server 2003 ve exchange server 2010 arasında birlikte çalışma sürecinde, exchange server 2003 front-end’leri ile Exchange server 2010 cas’ları arasında iletişim sorunu olabileceğini düşünmüştüm. Bu durumda çözüm bir hotfix ve aşikar. http://blogs.technet.com/b/exchange/archive/2009/12/08/3408985.aspx

Fakat durum bu şekilde değildi. Birkaç tablet cihaz üzerinden (ipad,android ve windows denedim) denemeler yaptım. Hepsinde sonuç aynıydı. ActiveSync; cas server’ı buluyordu. Authentication gerçekleşiyordu. Ama son aşamada activesync cihazından “failed to create…” , “can not create….” tarzı hatalar alıyordum. Firewall’u kontrol ettim. HTTPS session’ı olması gerektiği gibiydi.

Exchange Server 2010 Client Access Server üzerinde çalışan IIS’in o devasa log’larını incelemekten başka bir alternatif bulamadım Smile

Default web site’in log’unda şu şekilde bir hataya rastladım.

image

Bu error benim başlangıcım oldu. bing ve technet ikilisinden elde ettiğim neticede problemin kaynağı :

Exchange Trusted Subsystem grubunun ( exchange server 2010’un yapıya eklediği gruplardan bir tanesi) domain seviyesinden itibaren

image

msExchangeActiveSyncDevice objesi üzerinde  ve

image

msExchangeActiveSyncDevices objesi üzerinde izne sahip olmamasıymış. Bu iki obje için Exchange Windows Permission grubununda izinleri yokmuş. ( iki obje birbirinin aynısı değil, biri tekil biri çoğul dikkat!!! )

Domain seviyesinden Exchange trusted subsystem ve Exchange windows permissions gruplarına msExchangeActiveSyncDevice ve msExchangeActiveSyncDevices objeleri üzerinde izin verdim. ( gereken minimum izinler read/write/delete , read all info ) Domain hiyerarşisinde aşağılara geçmesini sağladım , böylece AD objesinde bir security descriptor olmuş oldu ve active sync sorunu düzeldi.(Active Directory hiyerarşinizin ve yapılandırmanızın farklılık göstermesine bağlı olarak izinleri hangi seviyeden uygulayacağınız belki farklılık gösterebilir.)

Bu iki grubun ve bu objelerin espirisi ise şu şekilde. Exchange server 2010 , kullanıcının birden fazla mobile cihaz ile hesaplarının senkronize etmesi halinde , bu objeler üzerindeki izinleri yardımıyla yazma işlemlerini gerçekleştiriyor. (Exchange Server 2003’te durum bu şekilde değil.)

Haliyle iki gurubun iki obje üzerinde izni olmayınca, kullanıcı authentication safhasını geçtikten sonra senkronizasyonun başlaması aşamasında exchange server’ın objelere erişimi olmadığından hata döndürüyor.

Not : Exchange server 2010 bilgisayar hesapları Exchange trusted subsystem grubuna üyedir.Exchange trusted subsystem grubu ise Exchange windows permissions grubuna üyedir.

herkese neşeli ve sorunsuz günler….

Kaynak:TechNet

2 comments found

Comments are closed.