Squire

Moin zusammen,
 
die Helpdesk Kollegen haben sich zusammengerauft und herumgetestet ... sie haben herausgefunden, woran es liegt!
 
Das Problem lag wieder mal in der ISO Schicht 8! Die betroffenen User hatten an ihren Samsung Handies die Benachrichtigungen für neue Emails ausgeschaltet! Warum das den Kalendersync und Kontaktesync unterbricht, das wissen wahrscheinlich nur die Samsung Entwickler ... Emails wurden ja weiter synchronisiert. Benachrichtigung wieder Ein und Alles funktioniert wie es soll ...
 
Das sind wieder "Probleme" in der Kategorie: Was die Welt nicht braucht!

Wie oben schon erwähnt - Freigaben und Freigaben Rechte fehlen durch das bloße Umhängen der  VMDKs
Ich hoffe mal, auf dem alten 2012er war keine Dedup eingeschaltet!
 
Sauberer wäre gewesen: Die Files mit RoboCopy zu kopieren und dann die Freigabe auf dem alten Server aus der Registry exportieren und auf dem neuen Server wieder importieren (vorausgesetzt die Pfade passen alle) 

Also des Rätsels Lösung war nicht Teams!
 
Anscheinend hatte einer der Maus/Tastatur Treiber einen Hau weg ... ich hatte die Surface Tastatur abgesteckt und per Logitech Unify Empfänger meine Kleine K400 angeschlossen und der Fehler trat nicht auf. Ich hab dann im Gerätemanager (Show Hidden devices) die nicht angeschlossenen HID Geräte unter Maus und Tastatur samt Treiber entfernt. Rechner neu gestartet - Win 11 erkennt die herausgeworfenen Geräte neu und funktioniert ...
 
 
 
 

Also Kategorie "Ominöse Phänomene"
 
Nach nem Reboot des Servers war der Eintrag für Notepad++ im WPP plötzlich nicht mehr vorhanden ... Don Ho als Programmierer neu angelegt und neues Paket erstellt. Nach Refresh ... wieder weg ... Nochmal neu, aber statt Hersteller Don Ho jetzt einfach mal Notepad++ gemacht und das Teil veröffentlicht und zu meiner Verblüffung zieht der Client das Update .... da ist dann wohl eine Tabelle in der SUSDB vermurkst ...
 
Naja, passt zum Vormittag und meine Lizenzaktivierungen über Dells Digital Locker und DellEMC Activation ... ging heut auch erst nach dem 7. Versuch ...

Hallo,
 
ich hatte gestern ein Phänomen, das ich mir nicht so ganz erklären kann ...
 
Umgebung:
AD, mehrere Domänen, eine Exchange Organisation (mehrere 2016er Server). Bei uns eine DAG (2 Server) hinter einem Kemp Päarchen. Hybrid Szenario für O365 (Mailboxen alle on Prem)
 
Ziel:
Dazu sollen jetzt zwei 2019er Exchange als DAG kommen. Die Mailboxen aus der 2016er DAG sollen auf die 2019er verschoben und die 16er dann zurückgebaut werden.
 
Stand jetzt
Ein 2019er wurde installiert, die virtuellen Verzeichnisse identisch zu den 2016ern gesetzt. SplitDNS ist im Einsatz. Das öffentliche Zertifikat, welches wir auf den 2016ern verwenden hab ich auch im 2019er drin. Der 2019er ist bisher noch in keinem Connector hinterlegt, ebenso wurde der 2019er nicht am Kemp bekannt gemacht. Die SCPs zeigen alle auf die virtuelle Adresse/Namen des Kemp
 
Jetzt das, was ich nicht verstehe ...
Outlook bringt eine Zertifikatswarnung, dass auf dem korrekten öffentlichen Zertifikat der interne Name nicht drauf ist. Sprich der Server meldet sich bei Outlook mit seinem internen Namen und mit dem korrekten externen Zertifikat. Wie kann das eigentlich sein? Outlook quatscht doch normal über den virtuellen Service auf den Kemp Loadbalancern zu den Exchangeservern. Wieso die Meldung des 2019ern?
 
Mein Plan war die beiden 2019er fertig zu installieren, virtuelle Verzeichnisse zu setzen, Zertifikat einspielen, DAG erstellen, dann am Kemp bekannt machen (sollte hierzu ein neuer Service angelegt werden oder kann ich die bei den 2016ern mit hinzufügen?), Connectoren anpassen (Sendeconnectoren) ...
 
Im Moment hab ich den 2019er wieder heruntergefahren, um die User durch die Zertifikatsfehler nicht zu irritieren.
 
Frage: Passt mein Upgrade Weg? Warum kommt der Zertifikatsfehler?

Was ist der Grund für reverse incemental?
NAS als Backupziel ist suboptimal. Ich würde das eher als Block LUN per iSCSI an den Backupserver als Laufwerk durchreichen, dann ReFS verwenden

Ich kann Dir sagen, wie wir das gelöst haben ... vor ein paar Jahren haben wir bei uns EnterpriseVault eingeführt.
Wir archivieren jede Mail, die älter als 30 Tage ist, weg. In der Mailbox bleibt dann ein sog. Shortcut mit 1000 Zeichen Text aus der Email. Klickt ein Anwender doppelt auf eine archivierte Email, da schaut das Plugin zuerst im lokalen Archivcache auf dem Rechner (der hält bei uns 5GB Mails) und wenn die Mail da nicht ist, wird sie automatisch aus dem Archiv gezogen. Anders als bei Mailstore hast Du dann die geöffnete Email im Orginalzustand mit Anhängen etc. geöffnet. Alle Shortcuts in der Mailbox, die älter als 18 Monate sind, löschen wir raus. im Archiv sind mittlerweile mehrere Terrabyte Emails, die EV dedupliziert und komprimiert. Die Platzersparnis ist immens. 
Auf das Gesamtarchiv kann über die EV Suche (Volltext über die Mails inkl. Anhänge) zugegriffen werden. Im Archiv wird die Postfachstruktur für den Benutzer auch angezeigt/nachgezogen. 
Bei EnterpriseVault müssen nur die "WarmBoddies" lizenziert werden. Sprich Funktionspostfächer, SharedMailboxes kannst Du soviele haben wie du lustig bist). Bei uns läuft das mit über zwei Archivserver (einer für ein Tochterunternehmen und einer bei uns) für >2000 Mailboxen.
Die Mailboxen sind bei uns auf 2GB limitiert - mehr ist durch die Archivierung auch nicht notwendig. Durchschnittliche Mailboxgröße liegt zwischen 250 und 400 MB. Meine Kollegen im Tochterunternehmen arbeiten auch im Automotive Bereich und müssen viele Sachen bis zu 20 Jahre aufheben. Aus historischen Gründen haben die auch Outlook als Projektablage verwenden und sind jetzt mit EnterpriseVault zufrieden (gerade, weil es die Ordnerstruktur abbildet und eine hervorragende und sauschnelle Suche hat.)
 
Wie andere Kollegen schon geschrieben haben ... eigentlich sollte man für Projekte ein Dokumentenmanagementsystem einführen/verwenden. 
Wie auch immer - als Firma bist du archivierungspflichtig und musst rechtskonform archivieren ... und nein Outlook ist dafür nicht das Mittel der Wahl. Also wenn ihr noch kein Archivsystem habt, ist darüber nachzudenken, das Geforderte mit dem Praktischen und Nützlichem verbinden. 
 
PS: Sollten bei euch dann auch noch Leute mit PSTs unterwegs sein, dann kann man auch die problemlos ins Email Archiv importieren. Bei unserer Einführung sind da auch mindestens 2 TB PST Files reingewandert. Hier hat jetzt nieman mehr PSTs auf den Rechnern oder auf irgendwelchen Fileshares (macht auch Rechnertausch einfacher) ... Alles im Allen ... macht das Admin Leben sehr viel leichter!

als nach bisserl suchen und ausprobieren hab ich jetzt die Lösung ...
Danke @mwiederkehr - das war der richtige Tipp. Da hatte ich die Extensions sogar schon drin. Allerdings im User Zweig und mit Update URL
 
die aktuellen ADMX Files von Google und Microsoft für die Browser verwenden die Config muss im Computer Part der Policy gemacht werden, also:
für Chrome: Computer Configuration/Policies/Administrative Templates/Google/Google Chrome/Extensions/Configure the list of Force-Installed apps and extensions
für Edge: Computer Configuration/Policies/Administrative Templates/Microsoft Edge/Extensions/Control which extensions are installed silently Update URLs die bei den Chrome Extensions vorher nötig waren, müssen weg. Also nur die reine Extensions ID darf rein.  
Damit ist die Extension automatisch aktiv und das Abschalten ist ausgegraut. ... Schade ... hatte mich schon mit der Idee eines virtuellen Prangers angefreundet 
 

 

Ich hab noch bisserl gesucht und ein Codeschnipsel gefunden und für mich angepasst
 
# Verwaltungsrechte "Managed by" für die Managegroup setzen $group = Get-ADGroup -Identity $WriteGroup $manager = Get-ADGroup -Identity $Managegroup $NTPrincipal = New-Object System.Security.Principal.NTAccount $manager.samAccountName $objectGUID = New-Object GUID 'bf9679c0-0de6-11d0-a285-00aa003049e2' $acl = Get-ACL "AD:$($group.distinguishedName)" $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $NTPrincipal,'WriteProperty','Allow',$objectGUID $acl.AddAccessRule($ace) Set-ACL -AclObject $acl -Path "AD:$($group.distinguishedName)" # damit es auch in der GUI mit angezeigt wird Set-ADGroup $WriteGroup -ManagedBy $Managegroup  
die ObjectGUID ist das ManageBy Feld
damit wird das WriteMember gesetzt und damit funktioniert auch das Verwalten für die Managegroup. Allerdings wird in der AD GUI das ManageBy nicht angezeigt - das bleibt leer
 

 
 
 
@testperson erst durch Deinen Hinweis mit dem SET-ADGroup wird es dann in der GUI mitangezeigt
 

Du hast Franky falsch verstanden.
 
Also Du kannst natürlich im externen DNS einen Alias für outlook.firma.de auf mail.firma.de setzen. Geht aber ist nicht schön - mach es gleich sauber.
Achtung alle verwendeten URLs müssen im Zertifikat enthalten sein! 
 
Franky meint SplitDNS
Du brauchst genau zwei URLs
 
autodiscover.firma,de
outlook.firma.de (oder mail.firma.de was immer Du willst.
 
im internen DNS zeigen diese URLs auf den lokalen Exchange
im externen DNS ziegen sie auf die WAN IP der Firewall (ich hoffe mal nicht, dass Du den Exchange direkt im Internet per Portforwarding veröffentlichst - ich würde das immer über eine WAF oder zumindest Reverseproxy machen)
 
Je nach Firewall kannst Du für das SAN Zertifikat LetsEncrypt nehmen. Eine Sophos z.B. verlängert dieses selbstständig. Intern kannst Du Dir ein SAN der internen Zertifizierungsstelle auf die Dienste binden (so handhabe ich das hier) 
 

ich würde es jetzt einfach noch mal probieren ... die Geschichte mit der Updatebremse ist aber bekannt - 
 
https://www.heise.de/news/Windows-10-Version-2004-Die-Bugs-und-das-drohende-Zwangsupdate-4790157.html 
 
 
ich geh mal davon aus, dass bei mir die Updates auf diversen HP Kisten deswegen ebenfalls nicht durch liefen und ab Mitte August dann ohne Probleme (ohne, dass Bios oder Treiber auf den Rechner aktualisiert wurden) durchgelaufen sind

ich geh mal davon aus, dass die Rebuild Prio auf Hoch steht (beliebter Fehler beim Einrichten. Auf Low oder Normal lassen!) Je nachdem ob Dein Kontroller BWWC hat oder nicht und macht der jetzt nix anderes als Rebuild und alles andere läuft im Schneckentempo

Es soll keinerlei Traffic stattfinden. Sprich keine Hosts auf das System zugreifen - das ist eine Geschichte für ein Wartungswochenende!
Die SSD/HDDs müssen nicht leer gemacht werden! Update dauert nicht lange!
 
hab ich bei unserer MSA2052 schon mehrfach gemacht ... 

um zu sehen, wer gebucht hat müssen die Rechte geändert werden: (sowas hab ich in meinem Onenote stehen )
 
Set-MailboxFolderPermission -Identity "Raumressource:\Kalender" -User Default -AccessRights LimitedDetails
 
bei Englischer Mailbox :\Calendar
 

wenn Du eine Active Directory mit net.domain.de hast, dann hast Du auf Deinem Windows Server einen DNS laufen.
Das Konstrukt ist ungünstig gewählt, da Dein externer Host auf eine interne VM mit dem gleichem Namen wie Deine interne Domäne verweisen soll.
 
Der DNS Eintrag auf der Netzwerkkarte des Windows Servers sollte dann auf seine eigene IP oder auf 127.0.0.1 zeigen.
Im Windows DNS machst Du eine Weiterleitung auf Deine Fritzbox oder einen anderen beliebigen externen DNS Server.
Deine Clients brauchen als DNS Eintrag die IP des Windows Servers.
 
Wenn Du keinen Exchange, oder SQL etc. hast, würde ich eine Umbenennung oder ggf. eine Neuerstellung des AD mit einen anderen Namen (meinetwegen ad.domain.de) in Betracht ziehen

Veeam macht doch Snapshots beim Backup. Sprich zur Laufzeit pushed der Veeam Backup Server einen Agent in die virtuelle Maschine. Dann wir ein Snapshot erzeugt und die entsprechenden VSS Provider entsprechend getriggert, dass der Snapshot Anwendungskonsistent ist. Der Backupserver zieht dann das Backup aus dem konsistenten Snapshot. Wenn er mit dem Backup der VM fertig ist wird der Agent innerhalb der VM wieder entfernt und anschließend der Snapshot der VM gelöscht.
 
Spricht beim Backup haben die VSS Provider innerhalb der Maschine arbeit und erzeugen deshalb wohl das Datenwachstum auf dem Volume. Nach dem Backup sollten die Snapshots aber wieder aufgelöst sein
 

kurz mal gegoogled ... hätte mich auch gewudnert, dass GFI das nicht auch haarklein beschreibt ...
 
guckst Du: https://www.gfi.com/support/products/me-w2012-prerequisites ... ansonsten ruf den GFI Support an die helfen weiter
 
Windows Process Activation Service Support HTTP Activation  
das hört sich nach Dot Net an
 

 
und 
 

 
 
ist doch alles in den Rollen da ...
 

Der Mailstore Server kann auch Outlook abgreifen. Ich hab die reguläre Version 11.1.0.13498 im Einsatz.
Für das lokale Abgreifen von Outlook ist halt manueller lokaler Konfigurationsaufwand nötig. Datenablage erfolgt zentral. Mit einem kleinem Tutorial, das man den betroffenen Usern zur Verfügung stellt wäre das aber machbar.
 
 
 

dann hättest meinen als Lösung markieren sollen. Also für alle die später suchen: http://blog.dikmenoglu.de/2009/08/die-fsmo-rollen-mit-der-ad-powershell-verschieben/

Hallo,
 
das Handy muss irgendwem zugeordnet werden, bzw. ein allgemeiner Account mit Mailpostfach muss angelegt sein und das Handy per ActiveSync verbunden sein.
 
Standardmäßig werden nur die jeweils eigenen Outlook Kontakte gesynct. jedoch kann über die "Remotesuche" die Personen in der GAL  gefunden und angemailt/angerufen werden 

Versuch mal die Kontakte in Outlook 2016 als Visitenkarte anzuzeigen,
dann kommen beim Bearbeiten die gewohnten Felder

Hallo zusammen,
 
für die Leute, die in den gleichen Fehler reinlaufen ...
 
Cumulative Update for Windows Server 2016 for x64-based Systems (KB3192366)
 
über den Windows Update Catalog runterladen und händisch installieren ... dann werden die Folgeupdates auch sauber vom WSUS gezogen. Modifizierung irgendwelcher bereits implementierter vorhandener GPOs für den WSUS ist nicht notwendig ...
 
Sauhaufen elendiger ...

Kleiner Tipp am Rande ...
 
WoSign stellt kostenfreie 3 Jahres Zertifikate mit bis zu 10 alternate Names aus. Die dürfen auch im kommerziellen Umfeld eingesetzt werden. Wichtig ist nur, dass man einen eigenen CSR macht und somit den privaten Schlüssel nicht aus der Hand gibt.
 
Ich hab bei mir ein WoSign Zertifikat in der Sophos drin. Der Exchange hat ein SAN Zertifikat von meiner eigenen CA. (Übrigens würde ich die Standardgültigkeit der Zertifikate der eigenen CA erhöhen ... wer hat schon Lust, alle zwei Jahre die Zertifikate auf Switchen, iLO oder iDRACs zu tauschen ... ebenso wichtig - so weit noch nicht geschehen ... die CA auf sha256 umstellen)

Hallo,
 
das Einzige was da einzustellen geht per Shell wäre:
 
MaxEmailAgeFilter                        : All
 
(so steht der bei meinem 2016er standardmäßig)
 
https://technet.microsoft.com/de-de/library/bb123756(v=exchg.160).aspx
 
Mit dem Parameter MaxEmailAgeFilter wird die maximale Anzahl von Tagen angegeben, für die E-Mail-Elemente auf das Mobiltelefon synchronisiert werden. Der Wert wird durch die Eingabe eines der folgenden Werte angegeben:
All
OneDay
ThreeDays
OneWeek
TwoWeeks
OneMonth

Asche auf mein Haupt ...
 
Münsters Tipp führte mich in die richtige Richtung allerdings war der Fehler meiner einer und dann auch noch trivial ... ich hatte die Web.config mit Notepad++ editiert und beim Speichern nicht aufgepasst - sprich da hing dann ein .txt dran ... txt weg, Dienste neu gestartet und die Clients können wieder Updates ziehen
 
Also der Patch mit den manuellen Änderungen zusammen funktioniert!