• Artikel

Die Gruppe "Exchange-Server" weist keine standardmäßige Gruppenmitgliedschaft auf

[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Letztes Änderungsdatum des Themas: 2008-10-17

Das Microsoft Exchange Analyzer-Tool fragt den Active Directory-Verzeichnisdienst ab, um den Wert des Attributs memberOf für das Exchange-Server-Containerobjekt zu bestimmen.

Der Wert des Attributs memberOf für das Containerobjekt Exchange-Server stellt Exchange Server 2007-Administratorrollen (die in Exchange 2003 als "Sicherheitsgruppen" bezeichnet werden) dar, bei denen die Gruppe Exchange-Server Mitglied ist.

Standardmäßig ist die Gruppe Exchange-Server in Exchange 2007 Service Pack 1 (SP1) Mitglied der Gruppe Windows-Autorisierungszugriffsgruppe in jeder Domäne, die über Exchange-Server oder Benutzer mit Exchange-Postfächern verfügt. In Exchange 2007 RTM weist die Gruppe Exchange-Server keine Mitgliedschaft in anderen Gruppen auf.

Wenn der Exchange Analyzer feststellt, dass die Gruppe Exchange-Server Mitglied bei beliebigen nicht-standardmäßigen Gruppen ist, zeigt Exchange Analyzer eine Nachricht wegen nicht standardmäßiger Konfiguration an.

Wenn der Exchange Analyzer feststellt, dass die Gruppe Exchange-Server Mitglied bei beliebigen Gruppen ist, denen spezifische erweiterte Exchange-Rechte verweigert werden, zeigt der Exchange Analyzer eine Fehlermeldung an.

Erweiterte Rechte sind benutzerdefinierte Rechte, die von einzelnen Anwendungen angegeben werden. Diese sind in der Zugriffskontrollliste (ACL) festgelegt. Beispiele für erweiterte Exchange-Rechte sind "Öffentlichen Ordner erstellen" oder "Benannte Eigenschaften im Informationsspeicher erstellen".

Die folgenden Gruppen weisen standardmäßig für bestimmte erweiterte Exchange-Rechte einen Eintrag Verweigern in der Zugriffssteuerung auf:

  • Domänen-Admins
  • Organisations-Admins
  • Schema-Admins
  • Exchange-Organisationsadministratoren

Wenn die Gruppe Exchange-Server mithilfe transitiver Gruppenmitgliedschaft für bestimmte erweiterte Exchange-Rechte einen Eintrag Verweigern in der Zugriffssteuerung (Access Control Entry, ACE) erbt, können Proxyprobleme beim Exchange ClientAccess-Server auftreten. Die Symptome dieses Problems schließen möglicherweise die folgenden Punkte ein, sind aber nicht auf diese beschränkt:

  • Fehler bei Proxyzugriffsversuchen durch den ClientAccess-Server auf andere Standorte. Das heißt, Benutzer können Outlook Web Access nicht für die Anmeldung bei ihrem Postfach mithilfe des ClientAccess-Servers an einem anderen Active Directory-Standort verwenden.
  • Möglicherweise wird das folgende Ereignis im Anwendungsereignisprotokoll protokolliert:

Produktname

Exchange

Produktversion

8.0

Build-Nummer des Produkts

8.0

Ereignis-ID

42

Ereignisquelle

MSExchange OWA

Komponente

Clients

Symbolischer Name

ProxyErrorSslConnection

Meldungstext

Versuch von Microsoft Exchange-Clientzugriffsserver "%1", als Proxy für Outlook Web Access-Verkehr für Clientzugriffsserver "%2" zu fungieren. Fehler, weil eines der folgenden Konfigurationsprobleme bestand: %n%n1. "%2" wurde für ''http://' (ohne Verwendung von SSL) anstelle von ''https://'' (mit Verwendung von SSL) konfiguriert. Diese Einstellung kann durch Festlegen des Parameters ''InternalUrl'' des virtuellen Outlook Web Access-Verzeichnisses geändert werden, an das dieser Proxyverkehr gerichtet ist. Der Parameter kann mithilfe des Cmdlets Set-OwaVirtualDirectory in der Exchange-Verwaltungsshell festgelegt werden.%n%n2. Das virtuelle Zielverzeichnis hat den HTTP-Fehlercode HTTP 403 zurückgegeben. Dieses bedeutet normalerweise, dass es nicht für den SSL-Zugriff konfiguriert ist. Diese Konfiguration kann mithilfe des Internetdienste-Managers auf dem Clientzugriffsserver ''%2'' geändert werden.%n%nWenn diese Proxyverbindung SSL nicht verwenden soll, müssen Sie den Registrierungsschlüssel ''AllowProxyingWithoutSSL'' auf diesem Clientzugriffsserver und die Einstellungen für ''InternalUrl'' und SSL für das virtuelle Outlook Web Access-Verzeichnis, an das dieser Proxyverkehr gerichtet ist, entsprechend festlegen.

Entfernen Sie die Mitgliedschaft der Gruppe Exchange-Server aus den folgenden Gruppen, um diesen Fehler zu beheben:

  • Domänen-Admins
  • Organisations-Admins
  • Schema-Admins
  • Exchange-Organisationsadministratoren

So heben Sie die Mitgliedschaft der Gruppe "Exchange-Server" in einer nicht standardmäßigen oder eingeschränkten Gruppe auf

  1. Klicken Sie auf das Menü Start, zeigen Sie dort auf Programme und Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.

  2. Erweitern Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer die Domäne.

  3. Navigieren Sie zum Container Microsoft Exchange-Sicherheitsgruppen, und wählen Sie diesen aus.

  4. Klicken Sie mit der rechten Maustaste im Detailbereich auf die Gruppe Exchange-Server, und klicken Sie dann auf Eigenschaften.

  5. Wählen Sie auf der Registerkarte Mitglied von die Gruppe(n) aus, aus der/denen Sie die Gruppe Exchange-Server entfernen möchten, und klicken Sie auf Entfernen.

  6. Bestätigen Sie das Entfernen, indem Sie im Dialogfeld Benutzer aus der Gruppe entfernen auf Ja klicken.

  7. Klicken Sie auf OK, um das Fenster Eigenschaften von Exchange Server zu schließen.

Weitere Informationen zu diesem Problem finden Sie in den folgenden Exchange-Ressourcen: