Christoph35

Zuerst die local policy, zuletzt die OUs

Gruß

Christoph

Hi,

Also, der obere SCL wert gilt für den Server, Mails die einen SCL größer gleich diesem Wert haben, werden entsprechend der ausgewählten Aktion behandelt (archiviert, zurückgewiesen oder gelöscht). Unter Junk-Email wirst du festgestellt haben, dass dort kein Wert größer dem oberen SCL eingestellt werden kann, aber ein kleinerer SCL. D.h. diese Mails (deren SCL größer als der untere SCL aber kleiner als der obere SCL ist) werden nicht vom IMF bearbeitet, sondern in den Outlook-Junk-Mail-Ordner gespeichert.

Mit öffentlichen Ordnern habe ich das noch nicht probiert, aber wenn die eine Mailbox haben, könnte wohl das gleiche gelten. Ich würd s ausprobieren.

Sag mal bitte Bescheid, wie deine Erfahrungen damit sind.

Gruß

Christoph

Freut mich, dass ich helfen konnte!

Gruß

Christoph35

Hi,

also wenn schon AD in einem öffentlich verfügbaren Netz sein muß, würde ich einen 2. Forest in einer DMZ (Perimeter-Netz) einrichten, und in diesem Netz die Server aufstellen, die öffentlich verfügbar sein sollen. Dann mußt du in dem 2. Forest eine eigene DNS-Zone einrichten für diese Server.

Wenn interne Rechner aus der DMZ erreichbar sein sollen, kannst du einen einseitigen Trust einrichten, so dass das externe Netz dem internen vertraut, aber nicht umgekehrt.

Die interne AD Struktur öffentlich verfügbar zu machen (und das wäre es bei nur einer AD-Struktur) halte ich für äußerst bedenklich...

Gruß

Christoph

Hmm,

naja, dann hätte ich noch ein paar grundsätzliche Fragen:

- wie heißt die Domain?

- ist der Client Mitglied der Domain? (muss er bei AD-integrierter Zone sein, sonst kann er sich nicht registrieren)

- wie ist der DNS-Suffix des Clients? (ist er gleich dem Domain-Namen?)

- wird DHCP eingesetzt? (wenn ja, wie ist das konfiguriert?)

- kann die IP des Servers vom Client aus erfolgreich angepingt werden und umgekehrt?

- klappt die Registrierung von A- oder PTR-Records nicht? oder beides?

Sorry für solche Basics, aber ein bischen mehr Info bräuchten wir bei solchen Fragen schon ;-)

Gruß

Christoph

Genau umgekehrt, der Client trägt den A-Record ein (jedenfalls sollte er das ;-)) und der DHCP-Server den PTR-Record.

Zur ursprünglichen Frage:

Hat der Client auch das Häkchen bei "Adressen dieser Verbindung in DNS registreren" gesetzt? (Sollte standardmäßig der Fall sein)

Gruß

Christoph

Hi, ich nehme an du meinst den IMF (Intelligent Message Filter)?

Guck mal unter den globalen Richtlinien, Unterpunkt "Message Delivery". Wenn Du da die Eigenschaften aufrufst, hast du den neuen Tab-Reiter "Intelligent Message Filter". Da kannst du den sog. SCL (Spam Confidence Level) einstellen, und auswählen, was mit diesen Mails passiert. Standardmäßig ist da "No Action" eingestellt. Man kann da auch u.a. Reject oder Delete auswählen.

Wenn Du sehen willst, ob Mails davon betroffen sind oder nicht, kannst du das mit den Performance Countern des IMF machen.

Wie die genau heißen müsste ich noch mal nach sehen...

Du kannst auch den Logging-Level erhöhen für den MSExchangeIS (dann kann das Application Log aber schnell voll laufen...)

Hoffe, das hilft erst mal?!

Es gibt auch Webcasts zu dem Thema (Fighting Spam with Microsoft Exchange). Zu finden unter http://www.microsoft.com/webcasts. Dann suche nach OnDemand Casts im Dezember 2004.

Gruß

Christoph

Hallo,

dafür gibt es z.B. eine Software namens DoubleTake. Die kann die Mailbox Daten in Echtzeit auf den 2. Server replizieren. Dann muß man allerdings das "FailOver" korrekt konfigurieren, was nicht ganz so einfach ist. Auch das Setup des 2. Exchange Servers ist nicht ganz trivial, aber es gibt ganz gute Whitepapers dazu.

Wir haben das im Einsatz für Exch. 5.5 und es läuft ganz gut.

Google einfach mal nach DoubleTake.

Gruß

Christoph35

PS: soweit ich richtig informiert bin, bietet der Hersteller auch eine Trial-Version an.

Die (englischsprachigen) offiziellen Examen-Bücher 70-284 und 70-285 von MS Press bilden dann den Schluss der Lese- und Übungsreihe.

Gibts das für die 285 überhaupt schon? Ich hab da noch nix gefunden zu...

Wichtig ist mir die parallele Beschäftigung am lebenden Objekt, d.h. zwei PCs mit Exchange Server 2003 drauf für Testreihen aller Art.

So ähnlich mache ich das auch, aber ich nutze noch virtuelle Rechner dafür (mit 3-4 VMs). Da kann man so etliches testen...

Zusätzlich habe ich die Möglichkeit, sehr bald an einer Real-Life Migration mitzuarbeiten.

Wenn Du was über ein Buch zur 285 findest, könnentest Du mir dann per PN einen Link schicken?

Danke im Voraus!

Christoph

Ok, danke für die Antwort. Wenn ich mir dein 1. Posting noch mal durchlese muss ich sagen: wer lesen kann ist klar im Vorteil :rolleyes:

naja, wir haben eine Inplace-Migration gemacht (sprich Upgrade NT4-PDC nach 2003) haben aber noch eine NT-Domain, die in den AD-Forest rein muss (derzeit 2 Domains). Ob wir die 3 Domains später mal konsolidieren, steht noch nicht fest. Derzeit geht die Tendenz aber klar dahin, es bei den 3 Domains zu belassen.

Größere Probleme hatten wir mit den Zugriffsberechtigungen nicht.

Gruß

Christoph

So, danke noch für die Antworten, das Problem ist Endlich gelöst (und die behebung hat nur ca. 5 Sekunden gedauert :rolleyes: )

Aus irgendeinem Grund, fragt mich nicht warum, stimmte das Passwort des Computerkontos das der erste W2k3 (temporär) vom endgültigen W2k3 Server gespeichert hatte nicht. Darum ließ er ihn nicht Replizieren. Wir haben das Computerkonto Passwort nach diesem Knwoledgebase Artikel geändert und jetzt funktioniert die ganze Sachen einwandfrei.

 

War wirklich ein sehr dubioses Problem... ;)

Tja. Ist manchmal so... Kleine Ursache, Große Wirkung....

Aber gut, dass das Problem gelöst ist.

Christoph35

Schönen Dank für den Tip, werd ich mir mal gelegentlich downloaden...

Wie bereitest Du dich auf die Exchange Prüfungen vor?

Christoph35

Naja, das ist klar, aber das ging aus Toms Posting nicht so eindeutig hervor...

Ich sehe da eigentlich kein Problem, aber kannst ja mal berichten, ob es geklappt hat.

Wozu braucht ihr den Trust zur NT Domain noch?

Christoph35

Wie habt ihr die Migration durchgeführt? Mit ADMT und eingeschalteter SID-History?

Oder durch ein Inplace Upgrade des NT-PDCs?

Dann sollten die Berechtigungen erhalten bleiben, weil das nicht über username passiert, sondern über die Security ID (SID), die bei beiden oben beschriebenen Vorgehensweise bei der Migration erhalten bleibt.

Vorausgesetzt natürlich, die Authentifzierung auf dem SQL-Server war mit Windows-NT-Konten konfiguriert.

Gruß

Christoph35

Noch was ist mir aufgefallen, bezgl. Fehler 1925.

Da steht was von Access Denied am Schluß. Kann es sein, dass Du während des DCPromo nach dem Upgrade NT->2003 die Credentials des NT4 Dom.-Admins eingegeben hast?

Der hat nämlich keine Schreibberechtigung auf die DNS-Partitionen, dafür brauchst Du die Credentials eines Enterprise- bzw. Organisations-Administrators. Wenn die nicht gegeben sind, kann die DomainDNS-Partition für die neue Domain nicht angelegt werden, und damit können auch die ganzen Service Records nicht erstellt werden, und damit hast du dann ein ziemliches Problem ;-)

Falls möglich, solltet ihr die NT4 Domain wiederherstellen, und das ganze nochmal machen, aber diesmal mit Enterprise-Admin-Credentials.

Oder du legst mit Enterprise-Admin die Partitionen an (s. DNSCMD-Hilfe) und rebootest die DCs, damit die SRV-Records registriert werden.

Gruß

Christoph35

@Workaholic

Langsam hab ich auch den Verdacht es könnte ein Kerberos Authentifizierungsproblem sein, wofür auch die Fehlermeldung von W32 Time Sprechen würde. Auch habe ich bisher dutzende Support Seiten gewältzt, in denen auch Kerberos in Bezug zu diesem Fehler oft Angesprochen wird.

Naja, wenn ich mir die Fehlermeldung da so anschaue, dann wird kein DC gefunden, was nicht auf Authentifizierungsprobleme hinweist, sondern auf ein Problem mit der Namensauflösung, also wieder DNS...

Kannst Du mal die DNS-Settings posten? Welcher DC auf welchen anderen DC für die Resolution verweist, Forwarders etc. pp?

Hallo,

ich habe mit Kollegen am Mittwoch auch eine NT-4 Domain in eine bestehende AD-Gesamtstruktur integriert und hatte ähnliche Fehler.

Die Directory partitions waren aber da.

Mit folgenden Kommandos:

dnscmd /enumdirectorypartitions (zeigt dir an, wleche partitionen da sind)

und mit

dnscmd <server-fqdn> /enlistdirectorypartition forestdnszones.<fqdn-der-forest-root-domäne>

und

dnscmd <server-fqdn> /enlistdirectorypartition domaindnszones.<fqdn-der-subdomäne>

sollten die dns-daten repliziert werden können.

Das ganze muß mit Enterprise Admin Rechten gemacht werden, sonst gibts bei den DNSCMD Kommandos einen Fehler: access denied.

Anschließend am besten den DC booten oder "net stop netlogon" und "net start netlogon" eingeben.

Das sollte dann auch für die Replikation hilfreich sein. Aber Geduld müsst ihr auch haben, das kann dauern mit der Replikation.

Hoffe, das hilft euch

Gruß

Christoph35

PS: für DNSCMD müsst ihr die Support-Tools installiert haben ;-)

Hallo,

bei uns sieht es so aus, das wir die Share-Berechtigung auf dem users verzeichnis (=root-dir. für alle users, darunter die einzelnen home-dirs) mit share-permissions: everyone allow modify (statt allow read) gesetzt haben, die ntfs-berechtigungen für die einzelnen user-dirs. haben dom-admins allow full access, user allow modify).

Das sollte helfen.

Christoph35

Hi,

ja, das geht mit dem ADC. Der macht aus Ex 5.5 Verteilerlisten Distribution groups im Active Directory. Am besten setzt Du dafür die ADC Tools ein. Der Assistent fragt Dich dabei, in welchem AD-Container bzw. OU die migrierten Exch. 5.5-Objekte gespeichert werden sollen. Die OU sollte vorher erstellt werden (z.B. Migrated Exchange Objects).

Am besten schaust Du dir mal den Deployment Guide von Microsoft an:

http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/depguide.mspx

Auch der Administration Guide dürfte einiges an Info hergeben:

http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/admingde.mspx

Gruß

Christoph35

Hallo, Mad Max,

wir hatten das gleiche Problem vor ein paar Tagen. Das Erstellen eines neuen Profils resp. neu einbinden der Mailbox war die einzige Möglichkeit, die wir gefunden haben, um den Anzeigenamen in Outlook an die Exchange-Mailbox anzupassen.

Gruß

Christoph35

Hallo, Mad-Max!

Am besten das alte Outlook profil löschen und ein neues aufsetzen. Um den Namen zu ändern, darf keine Mail oder ähnliches offen sein. Dann mit Extras / Dienste den Eintrag MS Exchange löschen und neu erstellen. Wenn das nicht geht, Outlook beenden, rechtsklicken auf das Outlook-Icon und die Eigenschaften anzeigen lassen. Dann kommt das gleiche Fenster wie nach Extras/Dienste.

Hoffe, das hilft

Gruß

Christoph35

Hi Lian,

danke für deine Links. Das ist in der Tat eine Menge Stoff. Den werde ich mir mal nach und nach zu Gemüte führen.

Und wg. Rubrik: Sorry, dachte, Lan&Wan wäre geeignet.

Gruß

Christoph35

Hi, Damian,

ich stimme mit Dir überein, dass eigentlich nix dagegen spricht...

Der Kunde findet vor allem bedenklich, dass sich MS angeblich an keine Standards hält, bzw. diese ständig nach eigenem Gusto erweitere. Und ich denke auch aus Sicherheitsgründen. (Das hat für mich schon Züge von diesem "heiligen Krieg" Linux vs. Windows.)

Sind beides für mich eigentlich keine stichhaltigen Gründe gegen MS-DNS, aber wenn der Kunde nicht recht will, hast Du als Dienstleister keine guten Karten. Wir sind grade dabei, Gründe für MS-DNS zusammenzutragen, um unseren Kunden noch zu überzeugen. Und zwar auch tatsächliche Erfahrungen mit Performance und Kompatibilität. Daher meine Anfrage.

Gruß

Christoph35

Hi,

mal rundgefragt:

Unser Kunde ist zum MS-DNS-Server etwas skeptisch eingestellt und möchte möglichst nur Bind als DNS-Server einsetzen.

Dass das aus Sicherheitsgründen von Microsoft nicht empfohlen ist, aber mit den entsprechenden Bind-Versionen theoretisch funktionieren sollte, ist mir bekannt. Habe auch die Boardsuche zu dem Thema schon bemüht.

Welche Erfahrungen gibt es also, wenn überhaupt, im Alltag mit Active Directory (Win.2003), das nur mit BIND-DNS-Servern betrieben wird?

Danke für Eure Mühe :)

Christoph35