Es kann durchaus vorkommen, dass 2 Microsoft Exchange Server in einem Netzwerk parallel arbeiten. Dies ist z.B. in der Regel immer dann der Fall, wenn eine Migration des Exchange Servers durchgeführt wird. So wie hier in dem Beispiel wird gerade eine Migration vom Microsoft Exchange 2003 auf Microsoft Exchange 2010 durchgeführt.

Während die beiden Server parallel arbeiten müssen die Postfächer vom Exchange 2003 auf den Exchange 2010 verschoben werden. Das funktioniert relativ einfach indem einfach eine „Neue lokale Verschiebungsanforderung“ für einzelne Postfach durchgeführt wird.

In der Regel klappt dies Problemlos, aber es kann durchaus auch mal zu Probleme kommen, wie Ihr hier nachfolgend erkennen könnt.

Lokale Verschiebungsanforderung

Hier kam es zu einem Fehler beim Verschieben. Die genaue Fehlermeldung lautet:

Fehler:
Fehler bei Active Directory-Vorgang mit …. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Die Zugriffsrechte reichen für diesen Vorgang nicht aus.  
Active Directory-Antwort: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Der Benutzer verfügt nicht über die erforderlichen Zugriffsrechte

Die Lösung des Problems ist relativ einfach und hat etwas mit dem AdminSDHolder zu tun. Der AdminSDHolder ist eine Funktion vom Windows Server bzw. Active Directory um die Administratoren zu schützen. Das bedeutet in Kurzform, dass jeder User, der einmal Administrator-Rechte bzw. Domain-Admin Rechte hatte, speziell geschützt wird.

Es gibt eine wunderbare Dokumentation wo Ihr alles weitere nachlesen könnt.

Um das Problem zu beseitigen müsst Ihr im AD folgenden Haken wieder setzen:

„Vererbbare Berechtigungen des übergeordneten Objektes einschließen“

Wenn dieser Haken gesetzt wird dann werden die Rechte des Benutzers wieder korrekt gesetzt und das Postfach kann Problemlos auf den neuen Exchange Server verschoben werden.