Beetlejuice

Hi, wir haben 2 Sites und 4 Domänencontroller. Davon sind 3 mit Win28R2 (DC02, DC03, DC04) und einer mit Win2k3 (DC01). Ein 2008er Server (DC04) ist in Site 2 und die anderen 3 DC's sind in Site 1. Der DC01 soll irgendwann in den Ruhestand gehen. Auf diesem laufen noch diverse Anwendenungen wie TS-Lizenzmanager und RADIUS Server (IAS) Bis dahin möchte ich aber über die DNS SRV-Einträge regeln, dass die DC's DC02 und DC03 Primär angesprochen werden sollen. Ich habe den Eintrag "_ldap._tcp.Aachen._sites.dc._msdcs.***.de" für den DC01 bearbeitet und die Priorität auf 1 gesetzt. Bei den anderen liegt die Priorität bei 0. Über die Nacht gab es dann aber einen Neuen Eintrag für DC01 mit der Priorität 0. Jetzt habe ich dort 4 anstatt 3 "_LDAP" Einträge. Über NSLOOKUP "_ldap._tcp.Aachen._sites.dc._msdcs.***.de" wird dann folgendes angezeigt: _ldap._tcp.Aachen._sites.dc._msdcs.***.de SRV service location: priority = 0 weight = 100 port = 389 svr hostname = dc01.***.de _ldap._tcp.Aachen._sites.dc._msdcs.***.de SRV service location: priority = 1 weight = 100 port = 389 svr hostname = dc01.***.de _ldap._tcp.Aachen._sites.dc._msdcs.***.de SRV service location: priority = 0 weight = 100 port = 389 svr hostname = dc02.***.de _ldap._tcp.Aachen._sites.dc._msdcs.***.de SRV service location: priority = 0 weight = 100 port = 389 svr hostname = dc03.***.de dc01.***.de internet address = 172.16.0.1 dc01.***.de internet address = 172.16.0.1 dc02.***.de internet address = 172.16.0.3 dc03.***.de internet address = 172.16.0.2 Habe dafür folgende Quelle verwendet: SRV Resource Records LDAP://Yusufs.Directory.Blog/ - Domänencontroller am Standort Gibt es dafür eine erklärung? cu

Hi, möglicherweise wurde diese nicht ganz Sauber aus der Dömäne und dem DNS entfernt. Ich würde zunächst alle DNS Einträge (_msdcs.DomainName) durchsuchen, danach mal mit den ADSI Editor die Configuration durchschauen. Bei uns hatten wir nach dem entfernen eines DC's noch alte Einträge gefunden. cu

Hallo, ich möchte gerne mehrere Regeln mit unterschiedlichen Maleware Inspection Konfigurationen einrichten. Global ist eine Konfiguration festgelegt und ich möchte nun für Regel-1 und Regel-2, verschiedene Maleware Konfigurationen einrichten. Dazu aktiviere ich den Haken "Use rule specific settings for maleware inspection" im Reiter "Maleware Inspection". Dann konfiguriere ich für die Regel die Option "Block files larger then" mit dem Wert 500. Für die 2. Regel mit dem Wert 4095 (maximum). Für beide Regeln wurden unterschiedliche Quellen definiert. Nun scheint es so, dass nur die oberste Regel greift, unabhängig von der Quelle. Also mein Rechner ist für die Regel 2 konfiguriert, beziehe aber die Konfiguration von Regel 1. Im Log wird auch nur die Regel 1 angezeigt. Jemand dazu eine Idee oder nen Tipp? Danke, cu

Hi Robert, naja, der Empfanger aus dem Cache (Autovervollständigungs-Liste) ist von der Email-Adresse die gleiche, als die aus dem Adressbuch. Es hatte sich da nichts geändert. Und anstatt den Termin in den Kalender automatisch zu übertragen, hat er eine E-Mail mit dem Termin bekommen. Den konnte er nicht zusagen, weil er der Besprechungsautor ist. Und nachdem der Cache-Eintrag entfernt wurde, funktioniert das wieder. Auch mit dem neuen Cache-Eintrag.

Hi, danke für die Antwort! Haben grad das Problem gelöst/umgangen. Wenn der Kollege eine Besprechung anlegt und als Empfänger sich aus dem cache auswählt, wird der Termin nicht in den eigenen Kalender übernommen. Sobald der Kollege sich aber aus dem Adressbuch auswählt, wird der eintrag im eigenen Kalender übernommen. Habe dann mal die Adresse aus dem Cache genommen, neu eingetragen und "Namen Überprüfen" ausgewählt. Jetzt wird der Termin auch wieder im eigenen Kalender übernommen. Schon recht komsich das ganze?!

Hi, wir verwenden einen Exchange 2003 Server und Outlook 2010 Clients. Wir haben einen öffentlichen Kalender, wo jeder seine Termine/Besprechungen einträgt und sich selbst mit einlädt um den Termin auch im eigenen Kalender zu haben. Das hat auch bisher reibungslos funktioniert, nun aber kommen erste Meldungen der Mitarbeiter, dass der Termin nicht mehr in den eigenen Kalender übertragen werden. Dafür kommt nun aber eine Mail mit dem Termin in den Posteingang, der aber nicht zugesagt werden kann. Die Funktionen sind ausgegraut. Hat jemand von euch schon mal so was gehabt, bei google findet man auch nur spärliches.

Hi, danke für die Rückmeldung. Also ich habe eben nochmals die Eigenschaften der Datendatei geöffnet (unter Kontoeinstellungen). Dort steht für mein Postfach als Speicherort "Online" drin. Demzufolge richtig, auch meine OST Datei ist nur 4.1 MB groß. Mein Postfach auf dem Exchange ist aber mind. 1 GB groß. Jetzt habe ich das mit anderen Benutzern verglichen, dort schankt die OST Datei um einiges, zwischen 0,51 MB bis 2000+ MB ist alles vertreten. Warum gibt es hier solche unterschiede? Danke und cu

Hallo zusammen, wir verwenden auf einen Terminal-Server Office 2010 mit Outlook. Das Outlook ist über das Office Anpassungstool so konfiguriert, dass für jeden angemeldeten Benutzer ein Outlook-Profil angelegt wird. In den "Exchange-Einstellungen" für das Outlook-Profil wurde im Reiter "Cache-Modus" der Exchange Cache-Modus deaktiviert (Exchange-Cache-Modus nicht konfigurieren). Des weiteren wurde aber im Reiter "Exchange" die Option "Offlineverwendung aktivieren" aktiviert. Wie verhält sich jetzt der Cache-Modus mit der Offlineverwendung? Bei uns scheint es so, als ob das ganze Postfach runtergeladen wird, was mittlerweile zu einem hohen Festplattenspeicher verbrauch führt. Angestrebt war eine reine Onlineverwendung, ohne Offlinespeicherung. Habt Ihr da weitere Erfahrungen und könnt mir helfen, danke. cu

Hi, der Edge soll später als SPAM Filter dienen, unterstützt von einer TMG. Das GW brauchen wir schon, da wir zu mehreren Großen Kunden verschlüsselte Mails Senden und Empfangen. Ich sag mal so ca. 100 Mails sind das im Monat schon und da erleichtert das GW schon die Arbeit. Ich hab mir das mit den Linked Connectoren mal angeschaut, wird ne spannende Sache!

Hallo zusammen, wir wollen gerne unserer Mailinfrastruktur auf Exchange 2010 updaten und dabei ein 2 Stufiges Mail System einrichten. Ein Exchange Server (CAS, HUB, MBX) und einen EDGE Server in der DMZ. Zusätzlich soll ein PGP-Gateway eingebunden werden, der die Mails ent- und verschlüsselt. Nach unserer Planung sollte das ungefähr so aussehen: Internet <-> FW1 <-> Edge <-> FW2 <-> PGP <-> Exchange <-> Client Nun stelle ich mir dir Frage, wie ich das PGP am besten anbinden. Soweit ich verstanden habe wird die Kommunikation zwischen EDGE und dem Exchange über "Abonnements" eingerichtet, welche dann die Sende/Empfangs Connectoren zum Edge Synchronisiert. Damit würde die Verbindung zwischen dem EDGE und Exchange stehen, wie aber bekomme ich den PGP dazwischen der mir meine Mails verschlüsselt/entschlüsselt? Muss ich hier die Sende Connectoren manuell so einrichten, das sie erst zum PGP zeigen und dann zum EDGE und für den Rückweg genauso bloß andersrum? Wie habt Ihr das gelöst? cu

Joa danke, habe mal eine weitere E-Mail Adresse hinzugefügt und siehe da, der Sync wird angezeigt und im AD LDS aktualisiert.

Hallo zusammen, ich habe einen Exchange 2010 SP2 Server und eine Edge Server installiert und eingerichtet. Anschließend das Edge-Abbonoment konfiguriert. Auf dem Edge, kann ich die AD LDS Instanz Browsen und sehe auch meine ganzen E-Mail Benutzer in verschleierter Anzeige. Ich wollt nun mal ein Änderung vornehmen und diese dann zum Edge Synchronisieren lassen und anschließend im LDP Browser abgleichen. Also hab ich das Passwort eines Test-Benutzer zurückgesetzt, im ADSI Editor auf dem AD DS Server sehe ich das Attribut "pwdlastset" mit aktuellem Datum. Jetzt habe ich die Synchronisation zum Edge angestoßen (Start-EdgeSync...), hier gibt er den Status wieder und überall (added, updated, deleted) ist die Zahl "0". Schon mal komisch denke ich mir! Nun im LDP Browser den Benutzer anhand der "objectGUID" (aus dem AD) rausgesucht und .... pustekuchen! Hier wird das Attribut "pwdlastset" mit dem alten datum angezeigt. Habe ich was falsch gemacht oder falsch verstanden?

Morgen, anbei der Inhalt der web.config <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpErrors> <remove statusCode="403" subStatusCode="-1" /> <error statusCode="403" prefixLanguageFilePath="" path="https://owa.member.osthus.de/owa" responseMode="Redirect" /> <error statusCode="403" subStatusCode="4" path="https://owa.member.osthus.de/owa" responseMode="Redirect" /> </httpErrors> </system.webServer> </configuration>

Mhhh, muss ich mal testen ob dies dann klappt. Werden bei diesem Modul nur die Hauptseite umgeleitet oder wird die Einstellung für die Untergeordneten Virtuellen Verzeichnisse übernommen? Was kann das fürn Fehler im IIS sein? Hab ich was übersehen oder falsch konfiguriert?

Hi, ich habe die Umleitung in der "iistart.htm" konfiguriert. Anschließend habe ich über IIS Verwaltungskonsole in der Funktion "Fehlerseiten" den Code "403" wie beschrieben angepasst. Habe auch zusätzlich, weil es nicht lief den Code "403.4" mit den selben Einstellungen konfiguriert. Es wird die SSL Fehlerseite vom IIS angezeigt. Fehlerzusammenfassung HTTP-Fehler 403.4 - Forbidden Die von Ihnen aufgerufene Seite ist mit SSL gesichert. Ausführliche Fehlerinformationen Modul: IIS Web Core Benachrichtigung: BeginRequest Handler: StaticFile Fehlercode: 0x80070005 Angeforderte URL: http://owa.sub.domain.de:80/

Hallo, Danke für deine Antwort. Ich wollt nun (wie in deinem Artikel beschrieben) eine Weiterleitung von HTTP zu HTTPS in den Fehlerseiten konfigurieren. Leider wird mir immer noch die IIS Fehlerseite angezeigt, wenn ich die URL mit HTTP aufrufe. Hat hier einer nen Tipp?

Hallo zusammen, bei meinem Exchange 2010 SP2 würde ich gerne das OWA direkt auf die URL umleiten. Also anstatt "https://mail.contoso.com/owa" nur "https://mail.contoso.com" aufrufen. Ich habe 2 möglichkeiten gefunden, wo ich aber nicht weiß welche am besten ist. 1. HTTP-Umleitung im IIS wo ich bei den weiteren Virtuellen Verzeichnissen die Ordnerumleitung deaktivieren muss oder 2. Umeitung in der default "iisstart.htm" mit "<META http-equiv="refresh" content="1; URL=https:/mail.contoso.com/owa">" Wie habt ihr das umgesetzt oder was für erfahrungen habt ihr gesammelt? cu

Eine Frage habe ich noch, die sich mir gerade stellt und ich keine direkte Antwort drauf habe. Wie kann ich auf der Offline Root-CA (die nicht in der Domain ist) die CDP und AIA location korrekt fürs LDAP konfigurieren? Die CDP und AIA für die Root-CA zu veröffentlichen macht doch nur sin, wenn in der CA das LDAP als location angegeben wird!? Zusätzlich werden die CDP und AIA Informationen auf dem Webserver der Sub-CA bereitgestellt. Jedenfalls wird beim Ausstellen eines neuen Zertifikates, das LDAP als Ort für AIA und CPD angegeben, aber mit fehlerhaften Domain (URL=ldap:///CN=Meine%20Firma,CN=Server01,CN=CDP,CN=Public%20Key%20Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint). Wie auch, woher soll er auch wissen welche ich verwende. Um auf die Frage oben zurück zu kommen, wie kann ich das nun am besten konfigurieren? Trage ich den letzten LDAP-Pfad manuell ein, oder ist es generell nicht notwendig für eine Root-CA, da CDP und AIA via HTTP ebenfalls bereitgestellt werden?

Danke für die Unterstützung. Werd nun noch meine defizite in der PKI ausbessern. Glücklicherweise stellt die PKI erstmal nur interne Webserver Zertifikate und DC Zertifikate aus. Da macht das auswechseln der Zertifikate nur etwas Arbeit. cu

Die Eigenständige CA hat keine direkte Verbindung zum LDAP. Also kann die CRL nur über Webserver veröffentlicht werden. Vermutlich muss ich auch alle bisherigen Zertifikate der SUB-CA neu Ausstellen. Muss ich das Zertifikat auch für die Sub-CA-02 neu ausstellen, diese hat ja den CRL von der Root-CA? Es dürfte auch so gehen, da die Sperrlisten im lokalen Speicher der Sub-CA liegen.

Hallo zusammen, ich habe da ein Problem mit einem ausgestellten Zertifikat für meinen neuen Exchange 2010 Server. Um den Fehler zu verstehen muss ich eben mein Verständis für die CA abklopfen. Ich habe einen Server Win2k8R2 Standard der als Eigenständiger Zertifikatsserver fungiert. (ROOT-CA-01) Ich habe einen 2. Server Win2k8R2 Standard der als Unternehmes Zertifkatsserver im AD mitspielt. (SUB-CA-02) Die ROOT-CA-01 stellt ihre Sperrliste aus und wird auf der SUB-CA-02 eingespielt. Der Server wird dann ausgeschaltet. Die SUB-CA-02 wiederrum stellt eigene Sperrlisten aus (Sperrliste und Delta-Sperrliste). Dann sollten die ausgestellten Zertifikate doch nur die Sperrlisten der SUB-CA-02 abfragen und nur die SUB-CA-02 bei bedarf eine neue Version der Sperrliste von der ROOT-CA-01 verlangen. (Wenn die alte abgelaufen ist) Bin ich hier soweit richtig oder liege ich da falsch? Mein Problem ist nun, dass der Exchange das Zertifikat nicht überprüfen kann, weil die Sperrlisten nicht überprüft werden können. Habe das ausgestellte Zertifkat auch mit dem "certutil -verify" geprüft und bekomme bei der Prüfung der Sperrfunktion die Meldung "Die Speerfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013". Die Sperrlisten der SUB-CA-02 sind über LDAP, HTTP und FILE ereichbar und verfügbar. Bin ich da auf dem falschen Ast oder stimmt da was nicht? cu

Habe dass nun mal ohne GPO Einstellungen gestestet. Leider ohne Erfolg, es verhält sich hier genauso wie mit den GPO Regeln. Weitere Ideen?

Wir haben die Firewall für jedes Profil abgeschaltet. In den Windows-Firewalleigenschaften für jedes Profil den Firewallstatus auf "AUS" gesetzt. Wenn ich hier die Firewall einschalte aber dann in den "Geschützten Netzwerkverbindeungen" alles abwähle, sodass diese nicht von der Firewall betroffen sind, geht das auch nicht. [EDIT] Ich bin mir nicht sicher ob dies relevant ist, aber wir verteilen eine Firewall-Regel via GPO. ich bin mir dessen bewusst und es wird auch noch in den Firewall Einstellungen angezeigt, aber da ich diese Einstellungen ändern konnte, habe ich mir auch nichts weiter gedacht. Jetzt bin ich mir nicht mehr sicher, vielleicht können die GPO Einstellungen nicht so ohne weiteres geändert werden (so wie das auch bei anderen sachen ist). Ich werde das mal testen und die Regeln für dieses Objekt entfernen.

Die VPN Verbindung nutzt das Profile Domain. Die Firewall ist aber für jedes Profil deaktiviert.

Hallo zuammen, wir verzweifeln grad an einen Win 7 Firewall Problem und sind ein bissle frustriert. Wir haben Außenmitarbeiter die sich via VPN ins Firmennetzwerk über die ISA einwählen. Das funktioniert! Wenn ich mich nun aber aus dem Internen Netzwerk auf den VPN Client Verbinden möchte (RDP, PING, RemoteControll, DameWare usw.) bekomme ich einen Timeout und es passiert nichts! Auf der ISA sehen ich die Pakete, soweit OK. Auf dem Client haben wir die Firewall schon deaktiviert (erweiterte Firewalleinstellungen), aber immer noch einen Timeout. Wir hatten nun die Protokollierung aktiviert und dort steht drin, dass unser Eingehendes Paket verworfen wird! Wir haben die Netze in den Geschützen Netzwerkverbindungen deaktiviert, Firewall auch eingeschaltet und alles Zugelassen. Die "erweiterten Freigabeeinstellunge" für Netzwerkerkennung usw. eingeschaltet aber alles ohne besserung und erfolg! Bin ein wenig ratlos und bin auf eure Ideen gespannt. cu,