Exchange Server 2019 Event ID 3002 - MsExchange BackEndRehydration - Token Serialization Permission

Exchange Server 2019 yüklü sunucuların computer hesaplarının üye olmaması gereken AD securtiy grupları bulunmaktadır. Bu gruplara üye olan bilgisayar hesapları güvenlik sebebiyle olsa gerek, ms-Exch-EPI-Token-Serialization yetkisini alamıyor. Bu sebeple OWA, ECP, EMS çalışmayıp event viewer’a sürekli olarak Event ID 3002 hatası düşmektedir.

Exchange Management Shell’i acmaya calıstıgınız zaman aşağıdaki hata geliyor.

Event ID – 3002. Hata mesajının içeriğinde “NT AUTHORITY\SYSTEM’ does not have token serialization permission” yer almaktadır. AD tarafından hesap yetkilendirilemediği için Powershell, OWA, ECP açılmamaktadır.

OWA veya ECP’ye girmek istediğinizde HTTP Error 500 alırsınız.

Makalenin başında belirtmiş oldugumuz Restricted gruplar aşağıdaki gibi olup, Exchange Computer hesapları bu gruplara üye ise cıkartılması gerekmektedir. Varsayılan olarak bu gruplara üye olarak gelmemektedir. Şehven yapılan bir hata ile bu durum oluşabilir. Bu grupları aşağıdaki powershell komutu ile görebilirsiniz.

Get-ADPermission -Identity <ExchangeComputerObject> | where {($_.ExtendedRights -like “ms-Exch-EPI-Token-Serialization”) -and ($_.Deny -like “True”)} | ft -autosize User,ExtendedRights

Domain Admins
Schema Admins
Enterprise Admins
Organization Management

Benim karşılaştıgım durumda ise, Exchange Server 2019’un computer hesabı Enterprise Admins grubuna üye yapılmış. Bu sebeple OWA, ECP, Powershell, EMS gibi ortamların hiç biri çalışmıyordu. Enterprise Admins grubundan computer hesabını silip, sunucuları restart ettikten sonra durum düzeldi.

gpresult /scope computer /r komutu ile computer hesabının yer aldıgı security gruplarını ogrenebilirsiniz.