SBK

Ich habe schon mehrfach die maximal zulässige Grösse beim Mailanhang von den Standartwerten von 10MB bei Exchange 2010 auf 30MB erhöht.

Bei einem Small Business Server 2011 mit Exchange 2010 will die Einstellung nicht greifen. Habe alle Werte auf 30MB angepasst und mit folgenden Befehlen überprüft:

get-transportconfig | ft maxsendsize, maxreceivesize

get-receiveconnector | ft name, maxmessagesize

get-sendconnector | ft name, maxmessagesize

get-mailbox Administrator |ft Name, Maxsendsize, maxreceivesize

Die Mails mit 10 oder mehr MB werden aber weiterhin mit folgenden Meldungen verweigert:

Reason: Message size exceeded

The message size exceeds the limit and therefore the message was not delivered to the recipient.

Transcript of session:

SIZE 10485760

Hat jemand eine Idee voran das noch liegen könnte?

Gruss SBK

Hallo Leute,

Ich möchte eine Abfrage auf zukünftige Programmversionen im Loginskript einbauen. Irgendwie funktioniert der Operator => 15.16.*.* oder so änlich nicht.

Hat jemand eine Idee wie man die zukünftigen Versionen (grösser als 15.16.20045) einbauen könnte?

Gruss SBK

setlocal
set "Datei=%programfiles(x86)%\Adobe\Acrobat Reader DC\Reader\AcroRd32.dll"
set "GetV=%Temp%\GetV.vbs"
echo Set objWMIService=GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")>"%GetV%"
echo Set colFiles=objWMIService.ExecQuery ("SELECT * FROM CIM_Datafile WHERE Name='"^&Replace(WScript.Arguments(0),"\","\\")^&"'")>>"%GetV%"
echo For Each objFile in colFiles: WScript.Echo objFile.Version: Next>>"%GetV%"
set Version=
for /f %%i in ('cscript //nologo "%GetV%" "%Datei%"') do set "Version=%%i"
if defined Version if [%Version%]==[15.16.20039.54196] goto ende12
if defined Version if [%Version%]==[15.16.20041.55549] goto ende12
if defined Version if [%Version%]==[15.16.20045.57024] goto ende12
del "%GetV%"
\\server\share\acrobat\AcroRdrDC1501620039_de_DE.exe /sAll /rs /rps
 

Das manuelle hinzufügen des Postfachs habe ich auch schon versucht, das Phänomen bleibt leider bestehen. Die Automapping Funktion verwende ich seit Jahren bei unterschiedlichen Installationen und bisher hat dies einwandfrei geklappt.

Das Autodiscover müsste ich nochmals genauer unter die Lupe nehmen. Merkwürdig ist aber dass das eigene Postfach überhaupt keine Probleme verursacht.

Nun ja vielleicht sehe ich am Montag dann schon wieder klarer...

Gruss SBK

Ja, die Outlookprofile sind alle gecached, den Onlinemodus habe ich nicht aktiviert, da es fast nur Laptops sind, welche auch von unterwegs (ohne Outlook Anyhere) verwendet werden.

Im Ereignisprotokoll von Server und Clients konnte ich keine Netzwerkunterbrüche feststellen und auch sonst beim öffnen von Dokumente oder Shares sind keine Probleme feststellbar.

Gruss SBK

Hallo Leute,

ich schlage mich bei einer Installation mit dem Phänomen, dass freigegebene Postfächer auf den Clients in Outlook verschwinden.

Die Umgebung sieht folgendermaßen aus:

1 x SBS2011 mit Exchange 2010 und allen Updates
5 x Clients mit Windows 10 Pro und Office 2010 Business

Die User melden sich wie gewohnt in Windows an und können über Outlook 2010 auch auf ihr persönliches Postfach zugreifen. Es gibt aber ein Abteilungspostfach über welches verschiedene User Vollzugriff haben. Das Automapping hat auf anhieb funktioniert.

Nun passiert allerdings folgendes:

Im Laufe des Tages verschwinden die freigegebenen Postfächer auf den einzelnen Arbeitsplätzen, dies geschieht allerdings nicht zeitgleich. Somit ist nur noch das eigene Postfach aufrufbar. Nach einiger Zeit tauchen die freigegeben Postfächer dann wieder auf und das ganze Spiel geht dann irgendwann erneut los.

Die Clients und der Server sind updatemäßig auf dem aktuellen Stand ...

Den einzigen Hinweis den ich über Google finden konnte war, das ev. Netzwerkunterbrüche schuld sein könnten.

Aber das kann ich ausschliessen. Hat jemand noch eine Idee?

Gruss SBK

Hallo Leute,

Ich bin mir nicht sicher ob mit dem letzten Rollup12 für Exchange 2010 SP3, sich ein Problem eingeschlichen hat. Bisher war es so das wenn User innerhalb vom OWA, auf einen Link geklickt haben, aus Sicherheitsgründen der Link mittels redir.aspx umgeleitet wurde. Das ist by Design und auch gut so.

Was mir aber neu auffällt, ist das Mails welche man mittels OWA weiterleitet und diese einen Link beinhalten, der Link mit redir.aspx abgeändert wird.

Das ist mir neu und natürlich mühsam, denn alle welche ein von OWA weitergeleitetes Mail erhalten, können nicht mehr auf den Link klicken (auch innerhalb vom Outlook).

Gibt es eine Möglichkeit wie man das Verhalten ändern kann?

Gruss SBK

Scheint sich definitiv um einen Bug zu handeln, bin hier fündig geworden: https://www.reddit.com/r/exchangeserver/comments/40h5d2/looks_like_rollup_12_for_exchange_server_2010_sp3/

Werde also Rollup12 deinstallieren und zurück zum Rollup11 wechseln. Bestehende Mail mit falschen Links, werden natürlich nicht korrigiert.

Hoffentlich fixt Microsoft das Problem bald...

Gruss SBK

Hallo Sunny,

Danke habe zwischenzeitlich eine Lösung gefunden, zwar nicht gerade die elegante aber sie funktioniert. Den Registrypfad HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband auf einem Test-PC exportiert und die Icons nach C:\Benutzer\Dein Name\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar kopiert.

Batch in die GPO und siehe da endlich erscheinen alle Icons :jau:

Gruss SBK

Hallo Leute,

Ich versuche seit über eine Stunde etwas ganz banales und zwar bestimmte Icon auf die Taskleiste jedes Benutzers unter Windows 10 zu pinnen. Habe hierzu auch eine gute Anleitung gefunden: http://www.blackforce.co.uk/2014/01/23/how-to-pin-programs-to-windows-8-taskbar-using-group-policy-preferences-gpo

Habe Batchfile und VBS wie angegeben erstellt und es erscheint auch jeweils die Meldung Item pinned:Wahr.

Nur passiert leider nichts, die Icon erscheinen immer noch nicht in der Taskleiste. Habe schon alles mögliche versucht, leider ohne Erfolg.

Funktioniert das VBS-Skript unter Umständen nur mit englischen Windowsversionen? Hat bisher niemand Icons an die Taskleiste hinzugefügt?

Gruss SBK

Genau mit dem Verzeichnis funktionierts. Den Link hat ChrisRa erst später hinzugefügt. :)  

Volltreffer, das wars. Danke ChrisRa!

Werde gleich die Gruppenrichtlinie Network access: Do not allow storage of passwords and credentials for network authentication unter Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ anpassen.

Gibt es eine Möglichkeit alle Einträge des Windows Tresors über ein Skript zu löschen? Resp. hat das löschen der Zugangsdaten aus dem Tresor Auswirkungen auf die Zugriffe der Domänen-Benutzer?

Gruss SBK

Hallo Leute,

Ich habe ein Berechtigungsfrage bezüglich Freigabe- und NTFS-Berechtigungen auf Server 2008 R2.

Ich musste heute ein Phänomen feststellen das mich ein bisschen perplex gelassen hat. Wir verwenden mehrere Laptops in den Sitzungszimmern. Diese habe ich der einfachheitshalber mit einem lokalen Konto (Bsp. USER1) und einem Autologon versehen. So können auch externe den Laptop starten und können Ihre Präsentation öffnen, ohne ein Passwort eingeben zu können. Sie haben auch Zugriff aufs Internet, aber natürlich nicht auf die Domäne oder auf die Freigaben der Domäne.

Wenn nun aber eine MitarbeiterIn über den Share \\Server\Share auf eine Freigabe zugreift und Ihre Zugangsdaten (Domäne\Benutzerkonto und Passwort) eingibt und anschliessend den Laptop herunterfährt, sollte der nachfolgende Benutzer ja keinen Zugriff mehr auf den Share haben. Wenn man nun den Laptop wieder aufstartet, erfolgt das Autologon mit dem lokalen Benutzer USER1. Erstaunlicherweise kann er sich aber auf den \\Server\Share verbinden ohne Domänenzugangsdaten einzugeben.

Gibt es eine Einstellung in der Registry welche die Credentials irgendwie cached? Oder was für eine Erklärung gibt es für das Phänomen?

Gruss SBK

Hallo Sunny,

Leider nein, wenn die Adresse falsch ist, kann diese nicht aufgelöst werden und es erscheint die Meldung die Seite kann nicht angezeigt werden. Muss wohl mit dem Mysterium leben...

Hallo Dunkelmann,

Das mit nslookup wollte ich auch überprüfen, leider konnte ich es selber nicht feststellen. Jedesmal wenn ich es teste, funktioniert die OWA-Adresse einwandfrei.

Wir haben intern eine Zywall USG und anstelle der offiziellen OWA-Seite, landen Sie auf die Loginseite der Zywall. Aber nur ab und zu und nur auf Geräten welche über WLAN verbunden sind.

Ist nicht dramatisch, aber dennoch ärgerlich das ich das nicht rausfinde...

Gruss SBK

Hallo Jan,

Eigentlich der gleiche DNS-Server wie auf allen Clients die in die Domäne eingebunden sind. Also der DNS-Eintrag verweist auf den SBS2011-Server und auf diesen habe ich die AD-integrierte Zone erstellt. Der 2. DNS-Eintrag verweist auf den zweiten DC in der Domäne, der ebenfalls als DNS-Server fungiert...

Gruss SBK

Guten Tag,

Seit längerer Zeit löse ich einen externen FQDN (Bsp. owa.test.ch) mittels einer Active Directory integrierten Zone auf. Hier wird die Vorgehensweise gut beschrieben: http://hope-this-helps.de/serendipity/archives/312-DNS-HowTo-externer-FQDN-intern-aufloesen-DNS-Konfiguration.html

Die Auflösung funktioniert für Clients welche in der Domäne sind einwandfrei. Wenn nun aber intern gewisse übers Handy oder externe Notebooks darauf zugreifen, landen Sie ab und zu auf unserer internen Firewall, anstelle der OWA-Seite. Merkwürdigerweise nicht immer.

Gibt es eine Möglichkeit den OWA-Eintrag auch für Domänenfremde Geräte einzurichten?

Gruss SBK

Ich werde in den nächsten Wochen sicher noch etwas in die Sicherheit investieren müssen und mich mit GPO und Restrikationen auseinandersetzen. Mein konkreter Fall, wäre aber wohl trotzdem eingetreten, solange ich das Flash zugelassen hätte. Das grösste Sicherheitsloch bleibt wohl 50cm vor dem Bildschirm.

Ich überlege mir auch als weitere Massnahme eine vertiefte Security Schulung wie z.B.: https://www.digicomp.ch/weiterbildung/it-professionals/network-security/security/security-spezialseminare/security-scanning-skills-fuer-webmaster-und-systemadministratoren oder https://www.digicomp.ch/weiterbildung/it-professionals/network-security/security/security-in-der-praxis/hacking-grundlagen

Oder kann jemand andere Security-Lehrgänge weiterempfehlen?

100% Sicherheit das gibt es nicht, das bin ich mir bewusst.

Aber ein Muster à la Cryptowall hätte doch die Security Suite erkennen sollen, erst Recht da es eine abgeänderte Variante ist und die ursprüngliche Version von Cryptowall ja hoffentlich in der Signatur enthalten ist. Auch das mehrere 100'000 Dateien innerhalb weniger Minuten verschlüsselt worden sind, hätte die Security Suite auf den Plan rufen sollen.

Aber da bin ich wohl ein bisschen zu blauäugig.

Es wird geblockt, aber Flash ist immer noch enthalten. Und lässt sich sicherlich so einfach wie beim FF wieder aktivieren. Alternativ installiert der Anwender das Plugin für den FlashPlayer nochmal, schon ist Flash wieder aktiv (nur wenn der die passenden Rechte hat). Aber egal, die Diskussion zeigt, es ist nicht so einfach ein solches Programm hundertprozentig von heute auf morgen vom PC zu verbannen.

Jep, dürfte schwierig werden das Flash auf allen möglichen Browsern zu sperren. Eine Blockierung via GPO für den IE, wäre ja kein Problem. Aber das löst noch nicht das Problem.

Was mich am meisten ärgert ist, das man jahrelang für teure Security Suites wie Symantec Endpoint Protection Geld bezahlt, diese aber dann im worst case auf der ganzen Linie versagen. Vielleicht ein Grund zu einem anderen Produkt zu wechseln?

Seit dem 1.9.2015 nicht mehr. Schau hier: http://www.tomshardware.de/chrome-45-flash-anzeigen-blockierung,news-253576.html

Das ist ein hilfreicher Hinweis. Am liebsten würde ich Adobe Flash gleich auf allen Clients deinstallieren und sperren. Nur verwenden die User TYPO3 und das Adobe Flash wird für gewisse Funktionen (Bsp. Mehrfachupload von Dateien) innerhalb von TYPO3 verwendet. Aber ich überlege mir dennoch die Holzhammermethode und werfe Flash über Bord. Erst Recht da gewisse Browser wie Google Chrome das ja von Haus aus machen...

Danke und Gruss SBK

Hallo Leute,

Am Freitag hat der Cryptowall-Virus bei einem Kunden gewütet und dabei mehrere hunderttausende (!) Dateien verschlüsselt. Natürlich konnte ich alles mittels Datenwiederherstellung zurücksichern, dennoch bleibt ein sehr mulmiges Gefühl wie dies überhaupt passieren konnte.

Alle Mails und Internetdaten werden von mehrstufigen Scanner überprüft:

1. Auf der Zywall USG 200 (AV Kaspersky)

2. Auf dem Exchangeserver (sofern per Mail) mittels Symantec Mail Security for Microsoft Exchange

3. Auf den Clients/Server mittels Symantec Endpoint Protection

Dennoch hat sich der Virus aktivieren können. Was mich umso mehr erstaunt, ist das der Virus ja eigentlich im August 2013 erkannt worden ist. Wobei dies ev. eine abgeänderte Form oder Version des Viruses war.

Was könnte man noch unternehmen um ein solches Horrorszenario zu verhindern?

Gruss SBK

Wie sieht dein Workaround aus, wenn der Kunde jetzt ein iPhone oder Windows Phone anbinden möchte ;)

Ganz einfach die App OWA gibts auch für IPhone und Windows Phone. :-)

Gruss SBK

Hallo Jan,

Leider lässt der Webdesigner nicht durchblicken ob er den MX-Record nicht anpassen kann oder will. Hatte auch nicht direkt mit ihm Kontakt. Tatsache ist das er Domaininhaber ist und dadurch auch selber entscheiden kann.

Dank dem Support habe ich nun aber einen Workaround. Anstelle von Exchange Activesync, habe ich die OWA for Android oder Outlook for Android ausprobiert und siehe da, dort kann man den Absender resp. Standardabsender einstellen.

Der Intervall von 60 Minuten ist by Design und lässt sich anscheinend (noch) nicht verändern resp. reduzieren.

Gruss SBK

Danke für den LInk und die Hotlinenummer, warte nun seit 10 Minuten in der Warteschlange... :(

Hallo Leute,

Ich muss erst anfügen dass ich ein Exchange- und kein Office365-Spezialist bin. Nun habe ich den ersten KMU-Kunden zu Office365 gelotst und bin mir bereits reuig.

Zur Ausgangslage, es handelt sich um eine Firma mit wenigen User (<3 User). Die Domain gehört nicht der Firma, sondern einem Webdesigner und dieser vermietet diese Domain mit allen Webleistungen der Firma weiter. Ein Umstellung des MX-Records auf Office365 ist somit leider keine Option.

Nun dachte ich nichts einfacher als das, habe alle Konti als verknüpfte Konti definiert. Aber dabei habe ich folgende Probleme:

- Die verknüpften Konti werden nur alle 60 Minuten abgeruft. Kann man diesen Intervall nicht auf 1 oder mindestens 5 Minuten reduzieren?

- Der Absender auf dem Handy ist jeweils das onmicrosoft.com-Konto. Lässt sich der Standardabsender nicht auf ein Verknüpftes Konto setzen? Dito für OWA und Outlook.

Gibt es da wirklich keine Optionen wo man diese zwei Punkte anpassen könnte?

Gruss SBK