Exchange-Schemaupdate schlägt fehl (Error-ID 443949901)

von | Nov 18, 2021 | Artikel | 0 Kommentare

Manchmal gibt es in Kundenprojekten Aufgabenstellungen, die außerhalb der Routinen liegen. Eine solche hatten wir vor ein paar Tagen im Rahmen eines Schemaupdates auf dem Exchange Server. Gerne teilen wir das Wissen dazu mit den Leserinnen und Lesern des Cloudwärts-Blogs.

xchange-Schemaupdate schlägt fehl (Error-ID 443949901)

Beim Versuch, das Exchange-Schema zu erweitern (z.B. bei der Installation eines neuen Exchange-Servers oder -wie in diesem Fall- per Installation eines neuen Cumulative Updates) bricht das Exchange-Setup während der Schemaerweiterung ab (Exchange 2016 CU 22: bei 28%) und gibt diese Fehlermeldung im Setup CMD-Fenster aus:

 

[ERROR] Active Directory operation failed on ExchangeSrv1.domain.net. One or more attribute entries of the object ‚CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=DOMAIN,DC=NET‘ already exists. [ERROR] The object exists.

Im ExchangeSetup.log finden sich diese zusätzlichen Informationen:

[11/02/2021 11:59:20.0388] [2] Used domain controller DC01.DOMAIN.NET to read object CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=DOMAIN,DC=NET.

[11/02/2021 11:59:20.0388] [2] Used domain controller DC01.DOMAIN.NET to read object CN=Adminuser  Fred,OU=IT,OU=VK,OU=ORGA,DC=DOMAIN,DC=NET.

[11/02/2021 11:59:20.0418] [2] [ERROR] Active Directory operation failed on DC01.DOMAIN.NET. One or more attribute entries of the object ‚CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=DOMAIN,DC=NET‘ already exists.

[11/02/2021 11:59:20.0419] [2] [ERROR] The object exists.

[11/02/2021 11:59:20.0431] [1] [ERROR-REFERENCE] Id=443949901 Component=

[11/02/2021 11:59:20.0431] [1] Setup is stopping now because of one or more critical errors.

Es wird also die Fehler-ID 443949901 genannt. Auffällig ist weiterhin, dass direkt vor dem Auftreten des Fehlers die Exchange Securitygroup „Organization Management“ sowie der ausführende Adminuser „Adminuser Fred“ ausgelesen wurden (diese Elemente sind oben fett markiert).

Eine Suche nach einigen der o.g. fehlerbeschreibenden Worten sowie der Error-ID 443949901 ergab etliche Treffer, die meist ein Neuerstellen der Exchange-Sicherheitsgruppen per Setup /PrepareAD als Lösung beschrieben. Allerdings sah der Inhalt der Active Directory OU „Microsoft Exchange Security Groups“ (in der sich die Exchange Securitygruppen befinden) normal aus, d.h. weder waren verdoppelte Gruppen sichtbar noch fehlten Gruppen. Die Internet-Fehlersuche nannte als weitere Fehlerursachen ein „unsauberes“ Starten des Setups – also nicht per administrativer CMD – aber das kam in diesem Fall als Fehlerursache nicht in Frage.

Etwas war ungewöhnlich an diesem Problem: der ausführende (Admin-)Account war ein neuangelegter AD-Useraccount (der für die administrativen Aufgaben bzw. das Exchange-Update vorab die entsprechenden Berechtigungen bekam: Organization Management, Enterprise Admin, Schema Admin etc.) und dieser Account führte zuvor noch keinerlei Exchange-Update bzw. Schemaerweiterung durch. Lag das Problem vielleicht an diesem neuerstellten Account? Zuvor wurden am bestreffenden Exchange-Server schon viele Updates (einige incl. Schemaerweiterung) installiert (mit anderen Accounts), ohne dass es zu Auffälligkeiten kam. Also untersuchte ich den neuen Adminuser und wollte ihn temporär aus der Organization Management Sicherheitsgruppe entfernen – aber er ließ sich nicht entfernen; hier die Fehlermeldung:

Windows Fehlermeldung

Offenbar war diese Organization Management Gruppe die primary Gruppe des Adminusers und mein Verdacht war, dass dies die Exchange-Schemaerweiterung behinderte bzw. vereitelte. Und tatsächlich war diese primary Gruppenmitgliedschaft die Ursache des Problems. Nachdem diesem Adminuser eine andere primary Gruppe zugewiesen wurde, ließ sich die Exchange-Schemaerweiterung problemlos durchführen.

Hinweise zum Ändern der primary Group:

Active Directory Users & Computers – die Registerkarte „Member of“ des betreffenden AD-Accounts wählen, eine andere Gruppe als eine der Exchange Sicherheitsgruppen selektieren und unten, bei „Set Primary Group“, diese andere Gruppe zur primary Group (in diesem Beispiel: Domain Admins) ernennen:

Registerkarte AD-Account