Wolke2k4

Wir sind hier gerade am überlegen ob bzw. warum man mehr als 1 DC in einer virtualisierten Umgebung einsetzen soll. Ich weiß noch vom Grundsatz: Kerndienste (dazu würden ja DC, DNS, DHCP) auch außerhalb der virtuellen Welt bereitstellen. Aber ich sehe aktuell die Notwendigkeit nicht so dringlich, wenn folgende Faktoren bei einer 1 Domain Controller Umgebung erfüllt sind: 1. Wenn der eine DC als gesamte VM gesichert wird kann jederzeit auf diese Sicherung zurückgegriffen werden. 2. Bei mehr als einem DC können bspw. Replikationsfehler auftreten. Klar hier obliegt es jedem selber regelmäßig den Status des AD im Auge zu behalten. Aber es ist letztendlich wieder ein Einfallstor für Fehler. Bei einer klassischen nicht Virtualisierungsumgebung sehe ich die Notwendigkeit schon eher gegeben, keine Frage. Kann mir noch jemand plausible Gründe für die Notwendigkeit von mehr als 1x DC in virtualisierten Umgebungen erläutern?

Hallo, habe danach schon gesucht, bin aber bisher auf kein Aussagekräftiges Ergebnis gestoßen. Microsoft selber hat für Exchange 5.5 mal was veröffentlicht aber das trifft weder auf Exchange 2010 noch auf Outlook 2010 zu. Andere Quellen verweisen auf Raum bzw. Gerätepostfächer... und meinen, dass dies mit öffentlichen Ordnern so nicht abbildbar ist. Kann das jemand bestätigen oder andere Wege aufzeigen? Zielstellung: Für einen bzw. mehrere öffentliche Ordner sollen Nutzer die sonst nur Prüfer (lese) Recht haben Einladungen an einen bestimmten Nutzer (der wiederum Vollzugriff auf den öffentlichen Kalender hat) schicken. Dieser entscheided dann darüber ob der Termin eingetragen oder ggf. noch verändert und dann eingetragen werden soll. Anders gesagt: Es soll immer mindestens ein administrativer Nutzer die Terminvorschläge zugeschickt bekommen, die nach seiner bestätigung oder Ablehnung in einen öffentlichen Ordner eingetragen werden oder eben nicht... Danke im Voraus!

Hallo zusammen, es ist nicht so, dass ich bisher keinen W2k12 Servern in den Fingern und bei Kunden installiert habe. Nun bin ich diese Woche in einem Projekt, wo der Umgang mit den Admin Zugängen etwas restriktiver gehandhabt wird. Heißt: Administrator wird in der Regel nicht für administrative Arbeiten genutzt. Stattdessen werden andere Konten mit Dom Admin und Admin Berechtigungen verwendet. Bei der Verwendung dieser Konten sind mit gravierende Unterschiede aufgefallen, die ich allerdings nicht alle auf die Verwendung des "Nicht-Administrators" schiebe: - Der Aufruf von Ordnereigenschaften bringt am Ende unter 2012 andere Ergebnisse (Anzahl Dateien und Größe) wie unter 2003 - unbekannte SSL Zertifikate können nur als Administrator installiert werden - Zugriff auf Netzwerkfreigaben die für Gruppen wie bspw. Domain Admins freigegeben sind funktionieren nicht. Erst wenn das jeweilige Nutzerkonto zur Freigabe hinzugefügt ist geht dies. :confused: :schreck: - Dateien aus einem Netzlaufwerk lassen sich nicht kopieren (bspw. eine reg Datei oder eine exe). Erst wenn ich diese Dateien in einen Ordner lege und dann den Ordner ans Ziel kopiere funktioniert das... :mad: :nene: Die Meldung die beim kopieren der Dateien erscheint lautet: Sie müssen Administratorberechtigungen angeben, um in diesen Ordner zu kopieren. Wenn ich diese Berechtigungen nicht hätte könnte ich wohl kaum den Ordner mit der Datei ins Ziel kopieren. :confused: Ich habe bereits ein wenig gegoogelt und bin dabei auch auf einige Artikel zur UAC (unter anderem von NilsK) gestoßen. Nun meine Frage. Sind die festgestellten Effekte der UAC zuzuschreiben? Auf den betroffenen Servern ist UAC deaktiviert (ja ich weiß, gibt dafür eigentlich keinen Grund). Ich habe auch den Satz mit dem "der Administrator ist eine Ausnahme und wird bei UAC gesondert behandelt" gelesen. Aber selbst wenn nunmehr das UAC an diesen Effekten schuld sein sollte... Warum um alles in der Welt kann ich auf Netzwerkfreigaben nicht zugreifen, wenn ich Mitglied der Gruppe bin für die diese Freigabe eingerichtet ist? Das ich bisher auf diese Probleme nicht gestoßen bin erkläre ich mir aktuell damit, dass ich sonst bei den Kunde mit dem Administrator arbeite? Vielleicht kann mich jemand erleuchten. Gruß Wolke

Ja ursprünglich mit den normalen Nutzern getestet aber als absehbar war, dass es hier komplexer wird dann jetzt mit einem Testnutzer... Der RSOP ist für den normalen Nutzer nicht sehr ergiebig, gibt ein Zugriff verweigert und der Rest ist fast leer. Als Administrator sehe ich dort auch GPOs die auf Computerebene angewendet werden. Irgendwie stehe ich auf dem Schlauch. Für den Domain Admin werden zwei Policies angewendet die für den Nutzer eigentlich auch gelten müssten... Die Policies werden auf der OU für den Rechner angewendet.

Benutzer

Hallo, ich habe hier einen komischen Effekt. Die W2k8R2 Domain hat verschiedene GPOs. Seit einiger Zeit werden keiner GPOs mehr angewendet, die unterhalb von OUs und damit auch unterhalb der Domain verknüpft sind. Ich teste hier mit ein, zwei GPOs. Sobald ich diese direkt an die Domain hänge (also zusammen mit der Default Domain Policy) und ein gpupdate /force + gpresult /r mache kann ich sehen wie die GPOs angewendet werden. Entferne ich dann die GPO Verknüpfungen auf Domain Ebene und lasse die GPOs auf der Nutzer OU hängen passiert nichts... Was mich etwas stuzig macht. Im GPRESULT zeigt er an, dass er für "Standortname: Nicht zutreffend" hat. Habe das mal mit einem GPRESULT in unserem Netz verglichen... da steht "Standardname-des-ersten-Standorts". Ich muss gestehen, dass ich auf diesen Punkt noch nie geachtet habe aber kann das die Ursache sein? Hat jemand sonst noch eine Idee zu dieser merkwürdigen Konstellation?

Sorry, Exchange 2010 Welche Wege gibt es sonst einen öffentlichen Kalender bereitzustellen bei dem ein Nutzer den Hut auf hat, andere Nutzer aber nicht nur sehen sondern zumindest Terminanfragen schicken können denen der Moderator zusagt bzw. ablehnt?

Hallo, über Suchanfragen bin ich nicht so recht weitergekommen, da die Problematik schwer in zwei, drei Worte verpackt werden kann. Ich habe folgendes vor. Ich möchte an einem öffentlichen Ordner einen Nutzer als Besitzer hinterlegen. Die anderen Nutzer sollen Prüfer sein. Nun müssen die Prüfer in der Lage sein Terminvorschläge für den öffentlichen Kalender an den Besitzer einzureichen der diese aber erst vor Eintragung in den Kalender abnickt/bestätigt. Diese Einträge sollen dann sowohl im öffentlichen Terminkalender als auch im vom jeweiligen Prüfer eigenen persönlichen Terminkalender erscheinen... Hatte das hier eben versucht indem ich den öffentlichen Kalender zu einen von mir erstellten Termin eingeladen habe. Der Termin erscheint jedoch nur bei mir, nicht im öffentlichen Kalender nachdem die Einladung bestätigt wurde. Irgendwie habe ich scheinbar noch einen Denkfehler bzw. übersehe etwas.

Wie soll das gehen, wenn ich eine WAN IP habe? Den HTTPS Port kann ich nur ein Mal ansprechen. In Deinem Beispiel würde bei einer WAN IP immer auch dort nur 443 auflaufen. Wenn ich zwei unterschiedliche Anwendungsszenarien habe (bspw. 1x Exchange und 1x Citrix Secure Gateway Zugriff via 443 in der DMZ) dann helfen mir die unterschiedlichen Pfade auch nicht. Soweit ich das verstanden habe (habe es selber technisch nicht umgesetzt) nutzen wir das aktuell... Vielleicht reden wir hier auch von unterschiedlichen Dingen. Ich kann den 443 oder irgendeinen anderen Port mittels Portforwarding immer auf einen Zielhost in die DMZ lenken. Nun habe ich bspw. schon bei den Kunden dort einen Dienst von Citrix am Laufen, der über WAN mittels 443 angesprochen wird. Jetzt brauche ich für die OWA/Active Sync Geschichte einen weiteren Host in der DMZ... ergo kann ich den 443 nicht noch mal benutzen...

Wir haben das nicht primär aus Sicherheitsgründen gemacht sondern aus dem Grund, da unsere Kunden auf dem 443 zumeist bereits einen anderen Dienst laufen haben. Da war es für uns am logischsten das neue Zugriffszenario anzupassen. Das MS scheinbar derartige Szenarien nicht berücksichtigt ist natürlich unschön. Der Active Sync Zugriff funktioniert aktuell über den 456 mit iOS, Android und Windows Phone. In allen Fällen kann man an die Server IP bzw. den Namen einfach mittels :456 den notwendigen Port hängen, mehr braucht es nicht. Das haben wir bei insgesamt 4 Kunden so umgesetzt und bisher gab es da keine Probleme. Es ist ja so, dass es letztendlich egal ist, welche Anwendung man nimmt. Sobald ich mehr als eine habe die 443 nutzt muss ich immer irgendwie etwas verbiegen. Es sei denn ich haben einen Company Connect wo ich mehr als 2 WAN IPs ansprechen kann. Aber diesen haben nun mal leider die wenigsten unserer Kunden. Somit ist es eigentlich eine Frage was die Hersteller für Möglichkeiten offerieren derartige Szenarien ohne große Vergewaltigungen abzubilden...

Hallo, nach diesem Artikel: http://blogs.technet.com/b/exchange/archive/2013/07/19/reverse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx gibt es die Möglichkeit einen reverse Proxy für Exchange in der DMZ zu installieren. Dieser nimmt die Anfragen entgegen und leitet sie an den Exchange weiter. Da wir nicht unbedingt den Standardport 443 für den Zugriff verwenden wollten haben wir einen alternativen Port verwendet (bspw. 456). Der Active Sync Zugriff lässt sich damit auch umsetzen und funktioniert. Allerdings ist es nun so, dass beim OWA Zugriff hier das Problem auftritt, dass der Exchange scheinbar eine URL zurückliefert die über den 456 bzw. aus dem Internet nicht zugegriffen werden kann. Nachdem wir einiges probiert haben, haben wir es einfach mal auf den Port 443 zurückgestellt und siehe da geht natürlich sofort. Es scheint somit, dass beim Aufruf des OWA mit einem anderen als dem Standard WAN Port 443 nicht ohne weiteres funktioniert... :confused: Jetzt ist die Frage, ob jemand weiß was da genau schief liegt? Alternativ stellt sich die Frage, ob es sinnvoll ist den Port für den OWA auf dem Exchange umzustellen um ggf. damit die notwendige Anpassung zu erreichen? Hoffe das war soweit verständlich. Gruß Tom

Das schaut schon mal vielversprechend aus... Testen wir mal. Danke!

Danke für den Link aber da geht es um Verteilerlisten. Ich bräuchte das für öffentliche Ordner... Oder ist der PS Befehl in irgendeiner Art und Weise dafür auch verwendbar?

Hallo, folgende Aufgabenstellung: 1x öffentlicher Ornder (Kalender unter Exchange 2010, Outlook 2003 bei den Clients) In dem öffentlichen Ordner dürfen verschiedene Nutzer Eintragungen vornehmen, ein Nutzer ist jedoch hauptverantwortlich. Es soll nun sichergestellt werden, dass der Hauptverantwortliche per E-Mail über eingehende Eintragungen/Änderungen per E-Mail informiert wird. Hierzu gab es wohl im alten Exchange 2003 die Funktion: moderierter Ordner. Etwas googlen hat bisher gezeigt, dass es moderierte Ordner nicht mehr gibt. Denn Einstellungen bei diesem Punkt in den Eigenschaften des öffentlichen Ordners verschwinden, wenn man den Dialog mit OK verlässt. Outlook 2003 scheint die Funktion noch zu kennen aber Exchange 2010 unterstützt es scheinbar nicht mehr. Daher suche ich jetzt nach einer Alternative eine Benachrichtigungsfunktion wie oben beschrieben zu einzurichten. Der Ordnerassistent mit seinen Regeln scheint hier nicht geeignet, denn die Regel müsste generell angewendet werden. Ein Test ergab, dass keine Mails geschickt werden... Hat jemand eine Idee hierzu?

Hallo Robert, danke für die Antwort. Zufälligerweise haben wir gestern von Servolutions eine Mail diesbezüglich bekommen. Hier wird auf die Thematik auch noch mal eingegangen und es ist letztendlich so wie ich mir schon dachte und wie Du geschrieben hast. Wenigstens gibt es hier dann zumindest schon Lösungen die man dann, wenngleich gegen Geld, nutzen kann. Das dieser große Käse Augenwischerei ist sehe ich genauso. Aber da wird der unbedarfte User halt mal eben schnell für dumm verkauft... Was soll's, meine Info habe ich!

Hallo liebe Exchange Experten, ich stehe momentan irgendwie auf dem Schlauch bzw. bin mir bei der Thematik nicht ganz sicher, denn auch googeln bringt mich nicht so recht weiter. 1und1 wird/will im Q1 auf SSL umstellen. Für den Abruf von via POP3 ist klar, was gemacht werden muss. Wir popen mittels POPCON, der natürlich die 995 (POP3S) beherrscht. Wenn ich das aber für STMP richtig sehe ist SMTPS kein eigenes Protokoll wie POP3S. Wie bringe ich meinem Exchange nun bei, dass er die Mails die er verschickt auch verschlüsselt? Soll SMTPS beim Exchange Versand dadurch erreicht werden, dass ich im Sendeconnector in den Smarthosteinstellungen lediglich TLS aktiviere? In der Hilfe steht hierzu jedoch folgendes: Demnach würden die versendeten Mails trotzdem weiterhin unverschlüsselt verschickt werden. Lediglich die Anmeldung mit Benutzername und Passwort würde via TLS verschlüsselt werden? Das ist zwar ganz nett sorgt doch letztendlich auch nur Augenwischertechnisch für Sicherheit. Sehe ich da was falsch?

Hmm also meinst Du, dass das dann eher doch nicht funktionieren wird? Das müsste man dann wahrscheinlich doch einfach mal vorher in einer Testumgebung testen denke ich.

Hallo Robert, danke für Deinen Kommentar. Verschieben der DB geht nicht, da die gesamte Exchange Installation auf D liegt. Es würde mir also wenig helfen die Datenbanken zu verschieben, denn die eigentliche Installation liegt dann ja immer noch auf D. Aber der kleine Fahrplan den Du aufgezeigt hast schaut ziemlich brauchbar aus, Danke dafür!

Hallo liebe Exchange Spezies, ich habe mal ein recht spezielles Anliegen zu dem ich schlecht eine Suche im Netz absetzen kann. Die Problematik ist eigentlich eher hardwaretechnischer Natur, betrifft aber letztendlich eine komplette Exchange Installation. Problem: Auf Server A ist W2K8R2 installiert zusammen mit Exchange 2007. Die Exchange Installation liegt auf der D Partition, das System liegt auf C. Auf C ist nun über Jahre hinaus der Plattenplatz knapp geworden, die Partition ist insgesamt zu klein bei der ursprünglichen Installation gewählt worden. Der Lösungsansatz: Durch Hardwareerweiterung (neue lokale Platte mit neuem RAID oder Einbindung einer SAN LUN) soll die ursprüngliche D Partition gekillt werden. Der frei gewordene Platz würde dann an C via Windows HDD Erweiterung angehängt werden --> Plattenplatzproblem auf C gelöst. Der neu einzubauende/anzubindende Plattenplatz soll dann die (natürlich zuvor gesicherten) Exchange Daten wieder aufnehmen und so zum neuen D werden. In der Theorie klingt das gut und logisch und sollte meines Erachtens nach funktionieren. In der Praxis befürchte ich, dass MS eventuell irgendein Mechanismus ins System eingebaut hat, der merkt, dass das neue D nicht mehr das alte D ist und damit bspw. das Starten der Exchange Dienste verhindert... Meine Frage nun: Hat jemand von euch so eine ähnliche Aufgabenstellung schon mal selber in der Form oder ähnlich umgesetzt? Was meint Ihr zu dieser Herangehensweise, sollte das so klappen? Bin für eure Beiträge und Antworten dankbar! Gruß Wolke

Hallo an alle Exchange Spezis, folgendes Problem: Hauptstandort mit Exchange 2010 hat ein SSL Zertifikat für die Anbindung der Smartphones usw.. Nennen wir das Zertifikat server-XX.domain-domain.de (CN) Am Hauptstandort kommen die Clients problemlos mit Outlook klar. In den via VPN angebundenen Remote Standorten kommt allerdings ein Autodiscover Fehler: Es geht dieses typische Sicherheitshinweisfenster auf, mit den drei grünen haken, wobei in diesem Fall der letzte Punkt ein rotes Kreuz hat: Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein. Ganz oben steht der Hostname autodiscover.domain-domain.de Die Outlook Clients sind an den VPN Standorten analog wie die im Hauptstandort eingerichtet. Warum jedoch erkennt das Autodiscover hier einen Fehler? Bin für jede Anregung/Info dankbar! Gruß Wolke

Habe noch diese beiden Artikel gefunden und werde es damit mal testen: http://www.mcseboard.de/topic/172511-frage-zu-owa-outlook-zertifikat-neueinsteiger/ http://support.microsoft.com/kb/940726/en-us

Hallo, ich habe da einen merkwürdigen Effekt. Nachdem ich das öffentliche Exchange Zertifikat für einen Exchange 2010 verlängert habe kommt bei den Outlook Clients im internen Netz eine Zertifikatsmeldung: "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein." Weiter oben in der Meldung steht der Servername, der im Outlook als Exchange Server hinterlegt ist: servernameintern.domain.local. Lässt man sich nun das "Zertifikat anzeigen..." erscheint genau das Zertifikat welches vor kurzem verlängert wurde. Das Zertifikat ist natürlich auf die domain servernameextern.domain.de ausgestellt. Was ich nicht verstehe: Warum tritt der Fehler nach dem Zertifikatswechsel auf und was ist hier zu tun? Ist dieser Artikel zutreffend: http://blogs.technet.com/b/sbs/archive/2010/01/05/troubleshooting-certificate-mismatch-warnings-in-outlook-2007-clients-on-small-business-server-2008.aspx? Ich muss gestehen das das Thema (Autodiscover und der Rattenschwanz hinten dran) meinen Horizont derzeit etwas übersteigt. Wer kann mir da einen nützlichen Tipp geben? Gruß Wolke

Nun meine Äuglein habe ich schon in Richtung der Werte "msExch" geworfen hatte dann aber weiter mit Journal gerechnet, was nicht aufzufinden war. Mit "msExchMessage..." habe ich nicht gerechnet. Und eigentlich habe ich mir auch alle aktiven/gesetzten Werte noch mal angeschaut aber... nun scheinbar nicht genau genug hingeschaut. Ich bekomme es jetzt nicht mehr nachvollzogen, weil ich den Fehler nicht mehr nachstellen möchte. Aber ich bin froh, dass es Leute wie Dich gibt, die mehr Ahnung von dieser Materie haben als ich. Insofern war der Schritt ins Forum gleich doppelt erfolgreich: 1. Weiß ich jetzt wo ich beim ADSIEDIT das nächste mal noch genauer hinschauen muss. 2. Kenne ich jetzt auch den Schalter in der EMC. Insofern war meine Blindheit nicht ganz unnütz... :D :thumb1: :)

Ich muss nicht mal Programmierer sein um mir das vorzustellen, denn wie ich sehe hast Du diesen Teil meines Posts "nur leider ist es so, dass ich den Eigenschaftswert JournalRecipient, um den es hier scheinbar geht, nicht im entsprechenden Pfad von ADSI Edit finden kann. Es gibt ihn schlichtweg nicht." scheinbar nicht gelesen. ;) Der Wert müsste ja als Attribut in den Eigenschaften der Datenbank im ADSIEDIT auftauchen, tut er aber nicht. Habe es rauf und runter kontrolliert mit und ohne konfigurierte Werte im Filter usw... er ist schlichtweg nicht da... Letztendlich hat aber Dein Tipp mit der EMC geholfen und daher mein besten Dank an Dich an dieser Stelle. Nach einem Neustart des Servers tritt der Fehler nicht mehr auf.

Hallo zusammen, komme bei dieser Meldung nicht weiter: Protokollname: Application Quelle: MSExchange ADAccess Datum: 28.04.2013 18:27:07 Ereignis-ID: 2937 Aufgabenkategorie:Überprüfung Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: Domain-Exchange.Domain.local Beschreibung: Prozess MsFTEFD.exe (PID=5064). Objekt [CN=Mailbox Database 1286070522,CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Domain,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Domain,DC=local]. Eigenschaft [JournalRecipient] ist auf Wert [Domain.local/Deleted Objects/Postbuch DEL:f909b833-0363-4adb-aae6-dd4f1e5777cd] festgelegt und zeigt auf den Container "Gelöschte Objekte" in Active Directory. Diese Eigenschaft muss so schnell wie möglich korrigiert werden. Onkel Google gibt zum Event 2937 ja einige Sachen aus nur leider ist es so, dass ich den Eigenschaftswert JournalRecipient, um den es hier scheinbar geht, nicht im entsprechenden Pfad von ADSI Edit finden kann. Es gibt ihn schlichtweg nicht. Was kann ich tun? Gruß Wolke