Microsoft Exchange: Get-MailboxPermission : Some or all Identity references could not be translated (Manche oder alle Identitätsverweise konnten nicht übersetzt werden)

In einer Kundenumgebung begegnete mir folgendes Problem:

[PS] C:\Windows\system32>Get-MailboxPermission -Identity `
  fsharedmailbox -Owner
WARNUNG: Unerwarteter Fehler. Ein Watson-Abbild wird generiert: Manche oder alle Identitätsverweise konnten nicht übersetzt werden..
Get-MailboxPermission : Manche oder alle Identitätsverweise konnten nicht übersetzt werden.
In Zeile:1 Zeichen:1
+ Get-MailboxPermission -Identity finanzbuchhaltung -owner
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Get-MailboxPermission], IdentityNotMappedException
+ FullyQualifiedErrorId : System.Security.Principal.IdentityNotMappedException,Microsoft.Exchange.Management.RecipientTasks.GetMailboxPermission

Leider ist die Kundenumgebung deutsch… Auf englisch würde die Fehlermeldung folgendermassen lauten:

Get-MailboxPermission : Some or all Identity references could not be translated.

Schauen wir uns auf der AD mal den security descriptor der Mailbox an:

PS C:\Windows\system32> (Get-ADUser -Identity fsharedmailbox `
  -Properties MSExchMailboxSecurityDescriptor `
  ).MSExchMailboxSecurityDescriptor | fl


Path   : 
Owner  : O:S-1-5-21-1234567890-123456789-123456789-1175

Group  : NT AUTHORITY\SELF
Access : NT AUTHORITY\SELF Allow 
         NT AUTHORITY\SELF Allow 
         S-1-5-21-1234567890-123456789-123456789-1175 Allow 
         DOMAIN\USER1 Allow 
         DOMAIN\USER2 Allow 
         DOMAIN\USER3 Allow 
Audit  : 
Sddl   : O:S-1-5-21-1234567890-123456789-123456789-1175
         G:PSD:AI(A;;CCRC;;;PS)(A;CIIO;CCLCRC;;;PS)
         (A;CI;CC;;;S-1-5-21-1234567890-123456789-123456789-1175
         )(A;CI;CC;;;S-1-5-21-1234567890-123456789-123456789-108
         87)(A;CI;CC;;;S-1-5-21-1234567890-123456789-123456789-1
         3643)(A;CI;CC;;;S-1-5-21-1234567890-123456789-123456789
         -13808)

Der owner der Mailbox wird anhand seiner SID dargestellt. Das lässt vermuten, dass das AD-Objekt nicht (mehr) existiert. Um Gewissheit zu erhalten, suche ich das besagte Objekt:

PS C:\Windows\system32> Get-ADObject -IncludeDeletedObjects `
  -Filter {ObjectSID -eq `
  'S-1-5-21-1234567890-123456789-123456789-1175'}

PS C:\Windows\system32>

Das AD-Objekt existiert also wirklich nicht (mehr).

Die Lösung: Einen neuen Besitzer der Mailbox setzen, beispielsweise ‘NT AUTHORITY\SELF’:

[PS] C:\Windows\system32>Add-MailboxPermission -Identity `
  fsharedmailbox -Owner 'NT AUTHORITY\SELF'

In eider deutschen Umgebung entspricht ‘NT-AUTORITÄT\SELBST’ ‘NT AUTHORITY\SELF’.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.