rt1970

Hallo!

Wie kann ich die Autocomplete-Listen vom Outlook 2010 auf XP mit Exchange 2003-Konto nach Outlook 2016 auf Win10 mit Exchange übernehmen?

Hatte gedacht, dass die beim Exportieren aus 2010 und importieren in 2016 übernommen werden. Dem ist aber nicht so!

So habe ich die Postfächer vom alten Server übernommen (pst Export - pst Import).

Auch das kopieren der Datei stream_autocomplete...dat half nicht. Im Gegenteil! Danach konnte ich Outlook nicht mehr starten!

"Fehler beim Anmelden. Überprüfen Sie die Netzwerkverbindung sowie den Server- und Postfachnamen. ..."

Es half nur ein neues Profil anzulegen!

Hat jemand eine Idee, wie das funktionieren könnte?

 

Vollkommen beratungsresistente Kunden sollte man evtl. auch einfach ziehen lassen.

Das kann ich mir leider nicht leisten. Ein paar Brötchen möchte ich doch schon auf dem Teller haben...

VIELEN Dank bis hierhin für Deine Unterstützung!

Problem ist aber noch nicht ganz gelöst:

Die GAL bearbeiten für die Mail-Adressen...

Gib mir mal bitte einen Tip!

Gefunden: https://www.frankysweb.de/exchange-2013-trennen-von-adresslisten-adressbuchrichtlinien/

Für diejenigen, denen es nach mir Interessiert!

dass man bei Exchange hin und wieder (viel) Geduld braucht.

Wie meinst Du das? Dauert es bis die Berechtigungen gesetzt wurden? (hatte ich irgendwo mal gelesen - irgendwas mit 30(?) Minuten warten)...

Es scheint allerdings so, als könntest du dich generell ein wenig intensiver mit dem Produkt Exchange auseinandersetzen

Wie kommst Du darauf? Angefangen habe ich vor 18 Jahren mit Linux Postfix. Danach Exchange 5.5 bis heute zum Exchange 2016. Aber solch spezielle Umgebung begegnet man auch nicht oft... Aber prinzipiell hast Du recht! Hätte ich nur mehr Zeit (und Lust zum lesen von x 1000den MS-Seiten die schlecht vom Englischem übersetzt sind - oft zweideutig!)...

Grad was zur Dauer gefunden:

Die Erfahrung hat gezeigt, dass der Fehler dann im Normalfall immer dann auftritt, wenn der Admin etwas zu ungeduldig ist und nicht warten kann, bis die Einstellung im Server gezogen hat. Dies kann in ungünstigen Fällen etwas länger bis zu einigen Stunden dauern!

Aber auch hier haben wir für Euch einen Tipp, wie man diesen Vorgang beschleunigen kann. Wenn man sich damit abfinden kann, dass die internen „Kunden“ einen kurzen Ausfall des Exchange Servers verkraften können, so kann man den Dienst „Microsoft Exchange-Informationsspeicher“ einfach einmal „Neu starten“. Denn bei einem Neustart werden diese Berechtigungen neu eingelesen und stehen danach direkt zur Verfügung.

von https://itler.net/outlook-sie-besitzen-nicht-die-berechtigung-die-nachricht-im-auftrag-des-angegebenen-benutzers-zu-senden/

Grad getestet: Sie besitzen nicht die Berechtigung, die Nachricht im Auftrag des angegebenen Benutzers zu senden

Da fällt mir auf: ...die Nachricht im Auftrag... -> das Recht hat der User nicht! Ich will aber "senden als" mit Outlook nutzen... Trage ich da nicht nur den User im Feld "von:" ein?

Lösung: Aufs Kreuz klicken bei der Liste "von:" und den User neu wählen! -> jetzt klappts!

Muss jedesmal den User im Adressbuch neu suchen. Erst dann geht die Mail raus! :nene:  :confused:  Was ist das nun wieder für ein "Feature"?

Der User befindet sich auch nicht unter der GAL sondern unter alle Benutzer...  Wie denn das?

-> User in eine OU geschoben -> nun geht´s (ich versteh es nicht!)

Du kannst auch benutzerdefinierte (Globale) Adresslisten erstellen

Wie bzw. womit kann ich die GAL bearbeiten, damit bestimmte User nur bestimmte andere User (Mailadressen) sehen können?

Ja. Man sollte ungemein aufpassen, dass man sich ein AD nicht mit tausenden von Usern oder anderen Objekten evtl. in passenden OUs "zumüllt". Dafür ist so ein AD gar nicht ausgelegt :rolleyes:

:D  :jau:  Aber danke für den Tip mit den OUs... Klar! Das wäre eine Lösung!

Grad getestet: Sie besitzen nicht die Berechtigung, die Nachricht im Auftrag des angegebenen Benutzers zu senden

obwohl ich den User im "senden als" des Users "von:" eingetragen habe (sogar wechselseitig)... :confused:

Du kannst auch benutzerdefinierte (Globale) Adresslisten erstellen

Ok. Muss ich mal testen...

Da sollte man dem Kunden sagen, dass das großer Käse ist / war.

Dann erklärt er mir, dass die Erneuerung der Systeme Käse ist! Unter XP geht das alles... (was ja auch stimmt)

Und er ist nicht der Einzigste, der das "von" braucht...

Möchtest du "User-Lizenzen" sparen?

Darum geht´s nicht. Ist nur evtl. mehr Aufwand als nötig (auch für kommende EMail-Adressen) und nicht unnötig das AD zugemüllt...

Du kannst Mailboxen in der GAL ausblenden

Dann für alle -> das ist aber nicht gewünscht... Eine Auswahlfunktion soll bleiben...

Manchmal müssen Wünsche eben Wünsche bleiben ;)

Hier wurden Wünsche eben wahr... :thumb1:  :D  Und sollte so bleiben :schreck:

In meinem Fall würdest du 40 User benötigen.

Was wäre mit Raumpostfächern im Exchange 2016? Wäre das evtl. auch eine Alternative? Zumindest gehen die ohne User...

Kann man die Sichtbarkeit der Postfächer im Globalen Adressbuch auf einzelne User beschränken? Es soll nicht jeder sehen, welche Email-Adressen es insgesamt gibt....

P.S.: Das ist keine "tricky Konfiguration" sondern Gefriemel und Gebastel.

Stimmt. Aber nur so funktionierte es nach Kundenwunsch mit Boardmitteln...

Er hatte vorher eine Software drauf, die die PST (die mittlerweile 20GB groß geworden ist) mit seinem Home-PC synchronisiert hatte... Hat aber selten funktioniert...

erstelle für die zusätzlichen E-Mail-Adressen jeweils eigene Mailboxen

Wie richte ich da die Weiterleitung am einfachsten für 40 Mailboxen ein?

Dann muss ich ich ja auch 40 User anlegen!?

Hallo!

Habe hier eine tricky Konfiguration:

- Outlook 2010 mit Exchange vom SBS2003 verbunden

- 5 bis 10 zusätzliche pop3-Konten je Arbeitsplatz eingerichtet

Alle neuen Mails landen im Exchange-Konto. Der Exchange selbst holt keine Mails ab.

Hintergrund: die Einrichtung der Mailkonten möchte der Kunde selbst vornehmen und auch definieren von welcher Mail-Adresse gesendet wird. Das Exchange-Konto dient der Sicherung, der Synchronisation zum Home-PC und zu den Handys.

Nun sind neue PCs da mit Windows 10 und Office 2016. Auch ein neuer Server mit Server- und Exchange 2016.

Mit Outlook 2016 funktioniert es scheinbar nicht mehr, dass neue Mails der POP3-Konten im Exchange-Konto landen.

Gibt es hier einen Trick?

Der Plan "B" wäre senden von Verteilergruppen. Problem hier: Jeder können alle Mitarbeiter die Email-Adressen sehen und auswählen (auch wenn dann das senden verboten wird).

(Warum es Microsoft auch in der 2016er Version NICHT geschafft hat die zusätzlichen Email-Adressen im AD ins Feld "von" zu bringen verstehe ich überhaupt nicht!)

Mir ist gerade aufgefallen, dass wenn ich von einer Verteilergruppe sende der Absender die "Hauptadresse" ist und dahinter steht "im Auftrag von Verteilergruppenname"... Das darf so nicht sein!

dism /online /Enable-Feature:Gateway-UI

auf dem SBS nachinstalliert.

Dann in der Gateway-Verwaltung das Zertifikat vom Exchange auf dem SBS gewählt und schon ging es.

Problem noch:

Er fragt 2x nach Username/Passwort... Allerdings nur mit reinem mstsc.

Mit der erstellten rdp gibt es "nur" das Problem mit dem ungültigem Zertifikat des TS...

Provisorische Lösung: rdp mit Editor öffnen und Authentication Level auf :0 gesetzt.

Wie kann ich auf dem TS das gleiche Zertifikat zuweisen? Oder ein gültiges Zertifikat erstellen?

Der TS ist in der Domäne aber kein DC und die RDP-Clients in einer anderen Domäne...

Durch importieren des CA-Zertifikats ist das Zertifikat nun gültig. Das wäre erledigt.

auf dem SBS läuft bereits der Remote Web Access. Damit dort auch Terminalserver angezeigt werden musst du die Registry anpasssen.

Funzt das dann auch ganz normal mit "mstsc" aus Windows >7?

Eventuell sogar für RemoteApps?

MSTSC: "Vom Computer kann keine Verbindung mit dem Remotecomputer hergestellt werden, da kein Zertifikat für die Verwendung auf dem RemoteDesktop-Gatewayserver konfiguriert wurde."

Hallo!

Bin mir nicht sicher ob meine Idee so möglich ist... Deshalb frag ich hier mal die Profis!

Folgender Plan:

Client -> Internet -> Router mit Portforwarding https -> SBS2011 -> RDP auf Server 2008

Hintergrund: ich möchte nicht den RDP Port 3389 im Internet freigeben.

https 443 ist eh schon für den Exchange zum SBS geforwardet.

Diesen möchte ich nutzen um auf einen anderen Server, auf dem schon RDP läuft, zuzugreifen.

Soweit ich gelesen habe, sollte es mit dem TS-Gateway funktionieren.

Meine Idee: diesen Gateway auf dem SBS2011 installieren und so konfigurieren, dass der auf den Server 2008 verweist.

Ist das mit dem SBS 2011 möglich?

Brauch ich dafür ein gültiges Zertifikat? Denn das jetzige Zertifikat bringt die Meldung: "Das Zertifikat kann nicht bis zu einer Zertifizierungsstelle verifiziert werden".

Da die Clients aus der Domäne genommen werden brauchen die wohl in anderes Zertifikat, oder?

Ich kenne das auch erst seit wenigen Monaten und habe mich vorher mit zu vielen GPOs und deren unendlichen Verknüpferei an OUs beschäftigt.

Das fiel mir auch sofort dazu ein! Sehr gute Lösung!!!

Warum dein Weg (Sicherheitsfilterung auf der ersten Seite) aber sicherer sein sollte

Hab ich nicht behauptet wie NorbertFe schon bemerkt hat. Fakt ist, dass nach dem Patch die GPOs als Computeraccount gelesen werden und nicht mehr als der entsprechende User. Darum ist es einen Tacken sicherer wenn man dort im besten Fall den entsprechenden Computeraccount(s) Zugriff zum lesen gewährt, als wenn man die "authentifizierten Benutzer" wählt. Nur Lese-Zugriff des Benutzers funktioniert nicht mehr!

Ja, weil Domänencomputer die "kleinere" Einheit ist, die aber trotzdem alle benötigten Objekte beinhaltet. Mit Authentifizierten usern können eben ALLE Authentifzierten User die GPOs lesen. Bei Domänencomputern eben nur die Computer.

Der Domänencomputer-Account hat eben das Mindestmaß an Rechte damit es funktioniert. Gibst ja einen User auch keine Admin-Rechte damit er mit Word arbeiten kann, obwohl auch das ginge...

Weiß auch nicht mehr, wie ich es anders formulieren soll...

kompromitierten Rechnern jederzeit der Zugriff als Computer auf die GPOs möglich sein dürfte

wenn der Man-in-the-Middle einen Domänen-Member-Computer hat... Wenn nicht (privater Laptop z.B.) dann hat er dann auch keinen Zugriff MEHR auf die Richtlinie trotz bekanntem Username/Passwort...

Aber wie Du schon gesagt hast: Haarspalterei! Beides geht und reicht. Per Default ist ja auch der Lese-Zugriff für die "Authentifizierten" erlaubt!

 Da muss man nicht umständlich pro Sicherheitsgruppe eine GPO anlegen, so wie du das scheinbar machst

Ich lege ganz normal eine Richtlinie an, verknüpfe sie auf die entsprechende übergeordnete OU und trage im Sicherheitsfilter die User/Gruppen ein. Fertig.

Unterschied: GPP liegt nicht im root sondern in der OU, was aber eigentlich auch egal ist... Dafür ist ja der Filter...

Du hast allerdings recht, dass ich für jedes Laufwerk eine GPP brauche. Deinen Weg kannte ich noch nicht :confused:  Wieder etwas zum testen und wieder dazu gelernt!

Das macht man bei Laufwerken aber viel besser direkt in der Laufwerkszuordnung.

Mag sein. Ist aber schneller zu kontrollieren und einfacher im Sicherheitsfilter ;)  :cool:

Mag Haarspalterei sein, führt aber beides zum Ziel.

...und Sicherheitsaspekt ;)

Überhaupt verstehe ich nicht, warum bei vielen "Authentifizierte Benutzer" fehlen

Weil ich diese Benutzer aus der "Sicherheitsfilterung" (erste Lasche der GPP) raus geschmissen habe und dort eine Gruppe von Usern bzw. einzelne User eingetragen habe.

Denn diese Richtlinie soll NUR für bestimmte User oder Gruppen von Usern gelten für z.B. Drucker- oder Laufwerkszuweisungen!

Genau in dem Augenblick fehlen die in der Lasche "Delegierung"

Und da die Richtlinien NUN vom Computeraccount gelesen werden und nicht mehr vom Useraccount gibt es Probleme, wenn der Computeraccount (PC1$) nicht mehr darauf zugreifen kann.

Richtige Antwort: Domänencomputer

Wenn man die "DomänenComputer" hinzufügt ist die Richtlinie noch ein Stück sicherer als mit "authentifizierte Benutzer" wo man nur Username und Passwort braucht...

Sollte ich mich irren bitte ich um Korrektur!

Habe ich falsch übersetzt oder habt ihr schlampig gelesen?

Will ich nicht ausschließen, dass ich schlampig gelesen habe!

Ich kann nur sagen, dass ich NUR "Authentifizierte Benutzer" mit Leseberechtigung in die Delegierung hinzugefügt habe und alles war wieder Paletti ;)

Ich würde das so übersetzen:

If you are using security filtering, add the Domain Computers group with read permission

Wenn Du Sicherheitsfilter benutzt, dann füge die entsprechenden Domänen-Computer hinzu...

Es geht ja hier um ein Sicherheits-Update, dass den Man-in-the-Middle verhindern soll:

The vulnerability could allow elevation of privilege if an attacker launches a man-in-the-middle (MiTM) attack against the traffic passing between a domain controller and the target machine

Da könnte er sich authentifizieren, aber nicht als Computer...

PS: meine Meinung/Interpretation

 

Bei Delegation muss noch "Domönencomputer" mit lesen rein?

Falsch.

Entweder "Domänencomputer" oder "Authentifizierte Benutzer".

Beides geht auch - muss aber nicht!

Grund:

"Before MS16-072 is installed, user group policies were retrieved by using the user’s security context. After MS16-072 is installed, user group policies are retrieved by using the machines security context."

https://support.microsoft.com/en-us/kb/3163622

 

Schau dir im Link mal das Skript an, das macht das alles automagisch.

ACHTUNG!

Englisches AD!

Muss "Authentifizierte Benutzer" und "Domänencomputer" heißen!

Dann habe ich es wohl falsch verstanden.

 

1. Bei Security-filtering steht "Authenticated Users" mit lesen drin. (war schon immer so)

2. Bei Delegation steht "Authenticated Users" mit lesen drin. (war schon immer so)

 

Richtig oder falsch: Bei Delegation muss noch "Domönencomputer" mit lesen rein? (wegen: If you are using security filtering, add the Domain Computers group with read permission.)

Wenn die drin stehen hast Du auch keine Probleme!

Die Domänencomputer brauchst dann nicht hinzufügen!

@NorbertFe

:D

Geht aber nicht... Wenn ich die "authentifizierten User" aus der Delegierung löschen will, sind sie auch im Sicherheitsfilter raus :(

Wie kann ich nun die Richtlinie nur bestimmten Usern/Gruppen zuweisen???

Ach gefunden!

Falsch herum gedacht!

"Betroffen sind wohl Benutzer-GPOs die einen Sicherheitsfilter haben. Workarround ist die Gruppe Authentifizierte Benutzer in die Delegierung (nicht beim Sicherheitsfilter!) mit Lesen-Recht hinzuzufügen."

von

http://www.mcseboard.de/topic/207529-kb3159398/?do=findComment&comment=1305493

Oh man.... Peinlich! Hab ich im falschen Thema nachgesehen...

Also MUSS im Sicherheitsfilter die "Authentifizierter User" rein?

Und unter Delegierung dann die Usergruppe?

Oder verstehe ich da was falsch?

Hallo!

Konfiguration:

SBS 2011 und Windows 7 Pro x64 Clients

Problem (seit gestern):

Richtlinien bei denen ich "Authentifizierte Benutzer" gelöscht habe und eine Sicherheitsgruppe (User) hinzugefügt habe werden nicht angewendet.

Ich möchte aber dass Laufwerke und Drucker bestimmten Benutzergruppen zur Verfügung gestellt werden.

Bis vorgestern ging alles einwandfrei. Seit gestern Mittag verschwinden Laufwerke und Drucker bei einigen(?) Computern...

Die Windows-Updates des SBS habe ich erst vorhin installiert. Daran sollte es nicht liegen...

Die Clients installieren immer Mittags ihre Updates...

GPResult bringt bei den betroffenen GPOs folgende Meldung z.B.:

{41B3ECDE-2AC3-48E1-8629-969D580475B2}   Zugriff nicht möglich

Via Explorer komme ich sowohl über \\Servernamen als auch \\Domaene.local auf die Richtlinie...

Ereignisanzeige ist auch Clean...

Ist irgendein Update gekommen, das die Richtlinien, die User bzw. Gruppen zugeordnet sind, nicht mehr gehen?

Gruß René

Vielen Dank erst einmal für das zahlreiche Feedback!!!

Die Alternative mit ThinPrint: Wow! Die haben aber stolze Preise!!! Mehr als für Server - und das "nur" zum drucken!

Ich denke das Problem ist die Einstellungen unter Sicherheit des Druckers. Ich selbst als Domänen-Admin darf nur "Speziell" aber nicht ändern oder Konfigurieren in der Sicherheitslasche.

Soweit ich weiß druckt EasyPrint als "System". Interssant ist nur, dass das Mapping mit einem Windows 10 Client funktioniert... :confused:  :schreck:

Also das Problem ist jetzt bei Kyocera als Problem "eingetütet". Mein Kunde hat einen Full-Service-Vertrag mit einer Firma, die einen "heißen Draht" zu Kyocera hat, also Kyocera-Servicepartner ist.

Mir wurde aber davon abgeraten, den KX-Treiber zu nutzen.

Ich solle lieber den Universal-Treiber für PCL6 nehmen.

Das würde ich umsetzen, wenn ich wüßte wie ich den Treiber für die Drucker, die via Gruppenrichtlinie zugewiesen wurden, auf den Clients ersetzen kann ohne an jeden Client zu gehen...

Gibt es einen Trick? "Ersetzen" reicht nicht. "Löschen" und den Drucker neu zuweisen? Recht umständlich aber machbar.

Wie macht Ihr das?

Beim EasyPrint dauert es ca. 20 sek bis eine Seite gedruckt wird. Auch die Folgeseiten...

allerdings Sinn immer die entsprechenden Treiber zu installieren

Und genau das macht Probleme! Das 2. Fach des Druckers wird ja weder erkannt, noch kann es konfiguriert werden!