Auf unerklärliche
Weise sind immer wieder Termine zwischen 2 Usern verschwunden.
Problemstellung:
User A hat eine
Einladung an mehrere User verfasst welche dann auch angenommen wurde.
Alle (oder zumindest
mehrere) User haben die Einladung angenommen und der Termin scheint im
kalender der jeweiligen Benutzer auf. Nach mehreren Minuten/Stunden, verschwindet
der Eintrag jedoch aus dem Kalender von User A und 1 weiteren Benutzer (User
B). Die anderen haben den Eintrag noch im Kalender stehen.
Analyse:
Zuerst wurden alle Outlook-PlugIns deaktiviert. Weiters wurde auch überprüft ob es Inbox-Rules in den Mailboxen gab und dann wurden auch noch die Mobilgeräte als Verursacher ausgeschlossen.
Danach wurde das
"Mailbox Audit Log Search" für die 2 betroffenen Mailboxen aufgedreht.
Dies kann am besten
über die Shell erfolgen:
Set-Mailbox
-Identity "Vorname Nachname" -AuditEnabled $true
siehe dazu auch https://technet.microsoft.com/en-us/library/ff461937%28v=exchg.160%29.aspx
Kurz vor Dienstschluss der Mitarbeiter wurde noch eine Test-Einladung von dem Benutzer mit der Problem-Mailbox verschickt um sicherzugehen, dass die Einladung auch dann verschwand, wenn keiner der Benutzer Outlook geöffnet hat.
Ergebnis:
Die Logs können mittels Exchange Admin Center einfach exportiert werden.
Danach bekommt man ein XML-File welches man mit einem x-beliebigen Editor ansehen kann.
Ich habe dazu einfach mal Notepad++ verwendet.
Das Ergebnis sah dann folgendermaßen aus:
<Event
MailboxGuid="4d9e36ca-1d1e-40ee-92dd-fe6e5740671b"
Owner="Vorname Nachname"
LastAccessed="2016-04-28T17:33:41+02:00" Operation="HardDelete"
OperationResult="Succeeded" LogonType="Admin"
FolderId="LgAAAABV5Gs0nfPsRqWTLmX3wbUoAQDDErzhrPTHTbQDBLYqsdv1AAAAAAEOAAAC"
FolderPathName="\Calendar"
ClientInfoString="Client=WebServices;ExchangeServicesClient/15.00.0516.014;"
ClientIPAddress="10.2.36.18" InternalLogonType="Owner"
MailboxOwnerUPN="Vorname.nachname@domain.com"
MailboxOwnerSid="S-1-5-21-3475737579-2923169912-4130912164-2264"
CrossMailboxOperation="false" LogonUserDisplayName="svcCRMCorp"
LogonUserSid="S-1-5-21-7563437579-2923166392-4130993384-87952"
OriginatingServer="Exchange1 (15.00.1104.002)">
<SourceItems>
<Item
Id="RgAAAABV5Gs0nfPsRqWTLmX3wbUoBwDDErzhrPTHTbQDBLYqsdv1AAAAAAEOAADDErzhrPTHTbQDBLYqsdv1AAFeq/6MAAAP"
Subject="TEST 2"
FolderPathName="\Calendar" />
</SourceItems>
</Event>
<Event
MailboxGuid="5d8b10ca-2c1f-41fe-97dd-fe6f6529671c"
Owner="Vorname Nachname"
LastAccessed="2016-04-28T17:33:41+02:00" Operation="SendAs"
ItemId="RgAAAABV5Gs0nfPsRqWTLmX3wbUoBwDDErzhrPTHTbQDBLYqsdv1AAAAAAEQAADDErzhrPTHTbQDBLYqsdv1AAFerAccAAAN"
ItemSubject="Canceled: TEST 2" OperationResult="Succeeded"
LogonType="Admin"
Die relevanten Stellen habe ich zur Übersichtlichkeit mal gelb markiert.
Wie sich hier zeigt, handelt es sich um die Einladung "TEST 2"
Diese ist um 17:33
vom User svcCRMCorp gelöscht (siehe Marker "HardDelete" und LogonUserDisplayName=svcCRMCorp) worden.
Wie sich in weiterer Folge herausgestellt hat, handelte es sich hier bei dem User um einen Service-Account mit administrativen Rechten, welcher in regelmässigem Intervall die Kalender der Mitarbeiter mit dem CRM-System synchronisierte.
Die weitere Fehlerbehandlung erfolgte danach auf dem CRM-Server.
Nicht vergessen:
Das Logging für die Mailbox sollte wieder deaktiviert werden.
Set-Mailbox -Identity "Vorname Nachname" -AuditEnabled $false
