Beetlejuice

Hi,

danke für die Antwort.

Ich habe das genau so gemacht bis auf das Autoenrollment.

Das einzige was ich nciht gemacht habe ist, den Server neuzusztarten. Ich werde das gleich mal ausprobieren, Danke.

Gruß

Hallo,

wir nutzen mehere DomainController und 2 mit je 2008 R2 Standard und 2012 Standard als Zertifikatsserver.

Ich habe ein neues Zertifkattemplate angelegt, welches ich als Webserverzertifikate verwenden möchte. Zusätzlich habe ich die Berechtigungen so konfiguriert, dass nur bestimme Computer aus einer Gruppe, dieses Zertifikat anfordern sollen.

Diese Gruppe ist zusätzlich Mitglied der Gruppe "Certificate Service DCOM Access".

Wenn ich nun dieses Zertifikat über den Server anfordere (über die MMC und Zertifikat SnapIn mit Computerkonto), kann kein neues Zertifikat anfordern. Es kommt die Fehlermeldung, dass ich unzureichende Berechtigungen habe um dieses Zertifikat anzufordern. In der CA sehe ich die Ablehnung der Anforderung

Auzug aus dem Ereignisslog:

Active Directory Certificate Services denied request 292 because The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422).  The request was for CN=win10025.****.de.  Additional information: Denied by Policy Module

Wenn ich jedoch der Gruppe "Domänencomputer" die gleichen Rechte auf das Tempalte wie für meine eigene Grupe einräume, funktioniert die beantragung des Zertifikates.

Wo habe ich hier meinen Denkfehler oder was habe ich nicht bedacht?

viele Grüße

Danke für die Rückmeldung!

Ich würde gerne IMAPs nur für bestimmte Postfächer freischalten, des weiteren sollte IMAP NUR mit authentifizierung für Posteingang / Postausgang verwendet werden.

Was kann ich noch tun, um IMAP abzusichern und den Server stabil zu halten?

Hi,

wir planen den eventuellen einsatz von IMAP in unserer Exchange 2010 umgebung.

Ich wollte mal bei euch nachfragen, wie eure Erfahrungen mit IMAP sind.

• Wie stabil läuft es? Was musstet ihr alles tun?
• Wie steht es mit der Sicherheit? Was habt ihr unternommen um euer System vor unberechtigten IMAP anfragen zu schützen?
• Gibt es noch weiteres nützliches..?

Danke und viele Grüße!

Hi zusammen,

ich hätte da eine Frage zur Lizenzierung von externen Zugriff.

Wir haben mehere Kunden, die bei uns im Active Directory (Server 2008 R2 Std.+ Server 2012 Std.) ein AD Konto haben. Diesen nutzen sie nur um sich auf einen Webservice zu authentifizieren. Dieser Webservice läuft auf einem Linux und hält die Benutzerdaten (verschlüsselt) vor und ist aus dem Internet verfügbar.

Wie sieht hier die Korrekte lizenzierung aus?

Ich habe gelesen, das externer Zugriff über eine "External Connector Lizenz" abgedeckt werden kann. Es steht da aber auch nur beschrieben, wenn der Benutzer z.B. einen Webservice direkt auf diesem Server verwendet. Die Benutzer verbinden sich ja nicht direkt, sonder nur auf die Linux kiste. Wie ist da der Rechtsstand bzw. was sagt Microsoft dazu?

cu

Hi Robert,

danke für die Info. Ich hatte irgendwie 2TB für eine Enterprise im Kopf, aber mit den 50 GB aus dem Ms Press Buch hat mich ein wenig verwirrt.

Da fällt mir gerade ein, für die MS Press Bücher MCITP:SA gab es (ich meine von Technet) eine Seite mit den Korrigierten Inhalten. Gibt es sowas auch für die Exchange 2010 Bücher?

Danke und viele Grüße!

Hallo zusammen,

ich bereite mich grad auf die Prüfung zur 70-662 vor und habe ne frage zu den Standardgrenzwerten für die Datenbankgröße.

Im Buch steht, dass die Standardgröße für eine Datenbank in einer Standard Edition bei 50 GB liegt. In der Enterprise Edition gibt es wohl keine Standardbegrenzung (laut buch).

Ich wollt das ganze mal im Internet nachlesen, habe hierzu aber nichts gefunden.

Wir verwenden in unserer Umgebung Exchange 2010 SP2 Standard mit 4 Datenbanken, die größte ist 49-50 GB und ich frage mich nun ob ich in ein Problem laufen könnte!

Ich habe zuvor auch nichts davon gelesen oder gehört (auch nicht in einer MS Schulung zu diesem Thema) das es einen Grenzwert für eine Datenbank gibt.

Ich bitte um Aufklärung, danke :)!

Dann aber für jeden Dienst ein eigenes Konto mir gültiger E-mail adresse oder ein SMTP User welcher für mehrere zwecke verwendet werden kann?

Hi,

Wie genau sehen die Einstellungen im WSUS denn aus?

die E-Mail Benachrichtigung ist im WSUS wie folgt eingerichtet:

Outgoing e-mail server (SMTP): mailserver.domain.de

Port number: 25

Sender name: WSUS_02

E-mail adress: win10011@domain.de

(deaktiviert) My SMTP server requires authentication

Wieso?

Na weil, wenn der WSUS für anonymus eingerichtet ist und im Exchange der Connector Anonymus und Exchange User als Berechtigung ausgewählt sind, nicht funktioniert.

Wenn ich den connector nur auf Anonymus einrichte, tut es das. Wenn ich im WSUS einen Benutzer mit berechtigungen für den SMTP Versand (wie im link oben beschrieben) einrichte und der connector beide Authentifizierungen unterstützt, tut es das auch.

Die Frage für mich ist, was die beste Vorgehensweise (best practice) für den Versand von E-Mail Benachrichtungen?

Danke und viele Grüße!

Natürlich kann anonym und Exchange-User parallel verwendet werden.

Das bestreite ich ja auch nicht, WSUS hat hier das Problem.

Die Schlussfolgerung also ist, für jeden Notification Dienst sollte ein User im Exchange (mit gültiger E-Mail Adresse) eingerichtet werden?

Hallo zusammen,

wie ist den so die gängige Praxis, service-user(s) für für den SMTP Versand (von System-Benachrichtigungen) zu versenden?

Hintergrund ist folgender, wir haben einen WSUS v.3 der Benachrichtigungen versenden soll, es war hier vorerst keine SMTP-Authentifizierung aktiviert. Der Exchange empfangsconnector ist aber für Exchange User / Exchange Server und Anonymus konfiguriert.

Nach dem der Versand vom WSUS nicht funktionierte und ich das Internet bemüht habe, fand ich einen Artikel das der WSUS sich nicht korrekt am Mailserver anmelden kann, wenn am empfangsconnector Exchange User und Anonymus als Authentifizierung konfiguriert ist.

Ich wollt dann nun einen Service-User einrichten, welcher E-Mail-Benachrichtigungen versenden kann. Diesen user würde ich dann auch für andere Systeme mitverwenden.Leider habe ich dazu nichts im Technet gefunden.

Auf einer Seite gab es dazu einen kleine Artikel (http://help.globalscape.com/help/me3/configuring_authenticated_access_to_exchange.htm) aber würde mir gerne noch von euch eure Meinungen dazu anhören.

Danke!

Von der Konfiguration sollte das alles so passen. Ich hab mal die Eigenschaften des Kalenders aus der PowerShell ausgelesen, vielleicht fällt habe ich ja was übersehen.

[PS] C:\Windows\system32>Get-CalendarProcessing -Identity AC-Bspr.Raum-01 | fl


RunspaceId                          : c0ca6bb1-062f-46cf-a347-b8839bfcd41a
AutomateProcessing                  : AutoAccept
AllowConflicts                      : False
BookingWindowInDays                 : 180
MaximumDurationInMinutes            : 1440
AllowRecurringMeetings              : True
EnforceSchedulingHorizon            : False
ScheduleOnlyDuringWorkHours         : False
ConflictPercentageAllowed           : 0
MaximumConflictInstances            : 0
ForwardRequestsToDelegates          : True
DeleteAttachments                   : True
DeleteComments                      : True
RemovePrivateProperty               : True
DeleteSubject                       : False
AddOrganizerToSubject               : True
DeleteNonCalendarItems              : True
TentativePendingApproval            : True
EnableResponseDetails               : True
OrganizerInfo                       : True
ResourceDelegates                   : { xxxx.de/xxxx/Gruppen/Technisch/Ressourcen Postfächer/Office-Service}
RequestOutOfPolicy                  : {}
AllRequestOutOfPolicy               : False
BookInPolicy                        : {}
AllBookInPolicy                     : True
RequestInPolicy                     : {}
AllRequestInPolicy                  : False
AddAdditionalResponse               : False
AdditionalResponse                  :
RemoveOldMeetingMessages            : True
AddNewRequestsTentatively           : True
ProcessExternalMeetingMessages      : False
RemoveForwardedMeetingNotifications : False
MailboxOwnerId                      : xxxx.de/xxxx/Gruppen/Technisch/Ressourcen Postfächer/AC-Bspr.Raum-01
Identity                            :  xxxx.de/xxxx/Gruppen/Technisch/Ressourcen Postfächer/AC-Bspr.Raum-01
IsValid                             : True

Viele Grüße!

Hallo zusammen,

wir setzten bei uns Exchange 2010 SP2 und Outlook 2010 ein.

Ich habe Räume als Ressourcenpostfächer angelegt und habe einen Stellvertreter/Deligierten festgelegt. Die Option "Besprechungsanfragen an Stellvertreter/Deligierte weiterleiten" ist auch aktiviert.

Wenn ich nun eine Besprechung für Raum 1 Plane, wird diese korrekterweise angenommen. Es wird aber keine Mail an den Stellvertreter/Deligierten versendet!

Jemand ne Idee?

cu

Aha, ok danke für die Hilfe.

Werde dass vorerst mit dem Script und statsichen RPC Ports machen.

Hi,

Ok, HTTPS ist Outlook Anywhere. Wenn von "HTTPS over RPC2 gesprochen wird, ist dann Outlook Anywhere gemeint oder ist das noch ne altlast von Exchange 2003?

Hi Norbert,

gibt es gravierende unterschiede (in geschwindigkeit bzw. Sicherherit) zwischen HTTPS und RPC basierte Verbindungen?

Wie richte ich die HTTPS verbdingund ein? Ist das PRC over HTTPS mit Outlook Anywhere und dann die Proxy konfiguration am Outlook client?

danke und cu,

Dies gilt auch nur für Intern, nach extern ist der Mailserver nur via HTTPS mit ActiveSync und OWA verfügbar.

Aber warum hat es vor dem neustart mit HTTPS funktioniert und danach nur noch mit den 2 anderen Ports.

Habe leider auch kein Bild von dem Outlook Verbindungtools  als es mit HTTPS verbunden war.

Hallo zusammen,

ich habe eine Frage bezüglich der Verbindung zwischen Outlook 2010 Clients und Exchange Server 2010. Der Exchange Server beinhaltet alle 3 Rollen (MBX, HUB, CAS) und ist in Version 2010 SP2 Rollup 4v2.

Mit welchen Protokollen greift der Client auf den Server zu?

Konfiguriert habe ich RPC (135), HTTP , HTTPS und TCP (49152 - 65535)!

Bisher hatte das auch so gut Funktioniert. In der Firewall/Router konnte ich den Zugriff (Client -> Server) auf die o.g. Ports sehen. Unsere Clients und Server haben 2 unterschiedliche Netze.

Nachdem ich den Server nach einem Windows Update neugestartet habe (KB2785220) funktioniert das nicht mehr.

Er versucht nun auf die Ports 48499 und 48423 zu zugreifen. Im Outlook Tool "Verbindungsstatus" werden dann die Ports als RPCPorts angzeigt. In der Firewall wird auch nur noch der Zugriff auf die Ports 48499 und 48423 gelogt.

Ich habe noch nicht so verstanden wieso jetzt anders ist?

Ich hatte gelesen, das Exchange für RPC einen Dynamischen Portbereich definiert hat, aber Beginn und Ende nicht genau nennt?

Vielleicht könnte mir jemand Licht ins dunkle bringen, danke :p !

cu

Hi Norbert,

danke für den Hinweis! Werde das mal überdenken und nachbessern!

Wenn ich Linked Connectoren einrichten möchte, so musste ich das manuell tun und wurde nicht über die EDGE Synchronisation getan. Damit habe ich auch keine AD LDS Instanz, welche die Empfängerfilterung verwendet.

Das fordere Gateway schleust die E-Mails nur direkt durch und wenn der EDGE die E-Mails nicht annimmt, werden diese zurückgewiesen. Ist getestet und funktionuert soweit.

Aber mein Frage ist ja nun, ob ich die Mails (mit dem Fehler "Permission Denied") vom EDGE erneut selber zustellen kann?

cu

Hi,

die hatte ich schon in erwähnung gezogen, dort habe ich aber keine EDGE Synchronisation und kann auch nicht die Empfängerfilterung konfigurieren.

Ok, ich habe das Problem eingrenzen können. Dazu habe ich das MessageTracking Tool verwendet.

Hier kann ich erkennen, das die E-Mails von extern angekommen sind, das aber durch eine Störung des Sende Connectors nach intern nicht weitergeleitet werden konnten.

Einige E-Mails haben einen Fehler gemeldet "Permission Denied", andere nicht. Die E-mails, die den Fehler haben, haben versucht über die adresse Postmaster eine E-Mail an den Sender zusenden. Da ist er dann gescheitert und das ist die queue.

Die anderen E-Mails (die ohne Fehler), standen heute früh noch in der Queue nach Intern an. Die habe ich dann nach der umkonfiguration ohne Probleme erneut versenden lassen.

Mein Porblem ist nun, dass die E-Mails mit dem Fehler nicht zugestellt wurden. Habe ich eine Möglichkeit diese nun doch noch selber zuzustellen?

@NorbertFe

Ja das sind mehrere Ubermittlungspunkte. Das MailRelay ist ein PGP Gateway für die Zentrale Verschlüsselung mit unseren Kunden.

cu

Hallo zusammen,

wir haben eine Postfachserver und einen EDGE-Server mit jeweils Exchange 2010 SP2.

Der ablauf des Nachrichtenverkehrs sieht wie folgt aus.

E-Mail Senden: Client -> Postfachserver -> MailRelay -> Internet

E-Mail Empfangen: Internet -> MailRelay -> EDGE-Server -> Postfachserver

Nun habe ich auf dem EDGE Server eine Queue mit ca. 138 Mails von gestern 16:30 Uhr bis heute 9:30 Uhr. Die Queue heist: "Unreachable Domain".

In der Queue sind lauter Mails die nicht ins Internet zugestellt werden können, weil der EDGE keinen Sende Connector ins Internet hat. Die eigenschaften der Mails sehen auch sehr komisch aus, so ohne absender usw., der Empfänger sowie der Subject sind aber echt.

Hier ein Beispiel:

Identity: win10005\Unreachable\1206
Subject: Undeliverable: AW: ComTrack, Update eingespielt
Internet Message ID: <f6a3e90d-22ff-4e07-af7c-f27cb81d9db9@osthus.de>
From Address: <>
Status: Ready
Size (KB): 181
Message Source Name: DSN
Source IP: 255.255.255.255
SCL: -1
Date Received: 18.12.2012 16:37:56
Expiration Time: 20.12.2012 16:37:56
Last Error: Ein entsprechender Connector zum Weiterleiten des externen Empfängers kann nicht gefunden werden
Queue ID: win10005\Unreachable
Recipients:  ****@grunenthal.com

Wie kommen die zustande und warum auf dem EDGE? So kann ich Mails empfangen und auch senden ohne Probleme!

cu

Hi olc,

danke für die Tipps.

Habe das jetzt mit einer Gruppenrichtlinie geregelt. Scheint soweit auch erstmal zu funktionireren.

Danke, cu

Hi,

ich hatte damals den alten DC unter "CN=Services,CN=Configuration,DC=***,DC=de" mit alten Einträgen für Zertifikate und RRAS gefunden.

cu