Hello,

Il y a beaucoup d’informations autour des boîtes d’arbitrage, blogs (http://makanzore.wordpress.com/2011/01/27/boite-aux-lettres-darbitrage-ou-arbitration-mailbox/) ou TechNet. Je passerai donc rapidement (commandes uniquement) sur les aspects classiques de move-request et de la suppression de la banque pour finalement faire un focus sur cas particulier d’un client récent.

Il est souvent question des boîtes d’arbitrage lorsque l’on veut supprimer la première mailbox database créée automatiquement par Exchange lors de l’installation du premier rôle mailbox 2010 installé dans l’organisation. Pour supprimer cette banque qui ne correspond pas aux conventions de nommage, il faut déplacer ces boîtes d’arbitrage.

Pour récupérer ces boîtes, deux commandes sont réalisables :

– dans le cas d’une infrastructure mono forêt mono domaine : get-mailbox -arbitration

– dans le cas d’une infrastructure mono forêt multi domaine : get-mailbox -arbitration -domaincontroller
Exemple d’une architecture domaine parent (DC1)/domaine enfant (DC2): exchange est installé dans le domaine enfant. Si on tape Get-mailbox -arbitration depuis les powershell Exchange disponibles depuis les serveurs Exchange, il est impossible de trouver les boîtes d’arbitrage. Il sera nécessaire de taper Get-mailbox -arbitration -domaincontroller DC1.domaine.parent.

Pour les déplacer, on pipe le résultat de la commande précédente dans un moverequest:

– mono forêt mono domaine : get-mailbox -arbitration | new-moverequest -targetdatabase DB1

– mono forêt multi domaine : get-mailbox -arbitration -domaincontroller DC1| new-moverequest -target database DB1 -domaincontroller DC1

C’est là que pour nous le drame s’est produit. Bien que nos comptes disposaient de tous les droits possibles et imaginables, que l’héritage était coché sur les comptes, nous avions une erreur de droit lors de la suppression :

Active Directory operation failed on DC. This error is not retriable. Additional information: Insufficient access rights to perform the operation.
Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Nous avons fouillé un peu partout sur le Net et mise à part la case de l’héritage, il n’y a pas grand chose…

Nous avons réussi à déplacer les boîtes en ajoutant directement sur les comptes AD des boîtes d’arbitrage le compte machine du serveur Exchange depuis lequel nous tapions les commandes. C’est en effet le web service de powershell qui n’avait le droit d’attaquer le domaine parent.

A noter deux choses. La première est qu’il faut ajouter directement le compte machine sur le compte AD, en effet, de faire appartenir la machine à un groupe et donnée le droit au groupe n’est pas suffisant. La seconde, il faut lancer le powershell depuis une machine (disons exch02) et vérifier que le powershell Exchange est bien connectée à Exch02. Si on ouvre une session sur Exch01 et connecte le powershell sur Exch02, même si les droits ont été mis à exch02, la commande échouera lamentablement.

On peut noter aussi que dans une infrastructure mono forêt multi domaines, le compte la boîte de découverte automatique est aussi hébergé dans le domaine parent. Il faut donc à lui aussi lui assigner le droit contrôle total au serveur Exchange qui fera le move-mailbox.

Une fois les boîtes déplacées, on supprime les move-request

get-moverequest -sourcedatabase « db par défaut » | remove-moverequest

On peut maintenant supprimer la banque : remove-mailboxdatabase -identity « db par défaut » et ne pas oublier de supprimer manuellement les fichiers.

A+

Publicités