McFlown

Hallo werte Community, seit dem ich Vista Workstations mit IE7 einsetze kommt ein Fehler in unserer SBS2003(nonR2)-Umgebung zutage. Und zwar kann sich kein Client über das Internet mittels Kerberos an den Webserver anmelden. Über NTLM klappt alles. Webserver wird natürlich mit Negotiate,NTLM betrieben damit er auch als erstes Kerberos nimmt, so wie ich es auch eigentlich will. Im lokalen Netzwerk klappt alles problem auch über Kerberos (mit Kerbtray überprüft). Nur wenn ich den Laptop an einer Internet-Umgebung betreibe funktioniert Kerberos nicht mehr. Ich vermute stark dass es ein DNS-Problem ist, denn ich habe mal ein paar Pakets gesnifft auf dem Laptop und herausgefunden dass er nach den Adressen _kerberos_tcpdc_msdcsxxxLOCAL! (xxx ist der Name unserer lokalen Domäne) und _kerberos_tcp!Standardname-des-ersten-Standorts_sitesdc_msdcsxxx! versucht aufzulösen. Diese findet er aber nicht und bricht die Authentifizierung ab und der Benutzer sieht nur eine "Page cannot be displayed" Error bei allen per Kerberos authentifizierten Diensten. Jetzt ist die Frage: Muss ich die externe Domänen Adresse server.yyy.de noch Kerberos irgendwie mitteilen? Ich hatte das schonmal über SetSpn.exe -A http/server.yyy.de versucht - aber ohne Erfolg. (obwohl ich den Port 80/443 verwende) Kann es sein, dass ich ne DNS-Zone einrichten muss die die externe DNS-Auflösung beim Provider wiederspiegelt? Vielen Dank für Eure Hilfe im Vorraus! Gruß, Florian

Hast du da einige Links? - Wäre nett - Aber ich werde erstmal Google bemühen wie es sich gehört. Genau darum geht es in diesem Projekt auch. Wir sind keine große Firma und ich möchte keine Server-Farm aufstellen. Dennoch benutzen wir Branchensoftware Nemetschek Allplan (kostet locker mal 3500 € pro Arbeitsplatz) welche jeden CAD-Mausklick übers Netzwerk zum Fileserver überträgt. So können Benutzer auch zusammenarbeiten. Leider ist es oftmals passiert dass der Server aus irgendnem Grund zu langsam reagierte und eben 1-2 x Jahr oder so abstürzte. Resultat ist zwangsweise leider bei Allplan eine überhaupt nicht mehr lesbare Datei. Es kann jedoch sein, dass an einem großen Grundrissplan mal locker 2 Monate gearbeitet wird. Stellt man die Daten per Backup wieder her dauert das a) lange und b) ist meist trotzdem ne halbe Woche an Arbeit weg. Momentan setze ich auch Schattenkopien ein, aber bei dem Traffic fragementiert das RAID-Array sehr schnell. ...daher die Cluster-Überlegung. Gruß, Florian

Genau an dem Punkt mein ich dass wir uns missverstanden haben! :) Also ich will ja auch nicht vom SBS Vertrauensstellungen zu anderen Domänen aufbauen, ich will ja lediglich dass der SBS gar nicht als DC fungiert, sondern lediglich (wie ne Workstation) Domain-Member ist und Exchange als Server-Dienst ausführen. Dann hätte man auch die Probleme der Beschränktheit der SBS-Domäne nicht. :suspect: Danke schonmal für die reichlichen Antworten! :) Gruß, Florian

Damit meinte ich auch eher das SBS-75-User-Limit. Wenns lizenzrechtlich so ist kann ich ja sowieso nichts dran ändern. Aber interessieren würd es mich worauf du dich dabei beziehst! Dann zu ner anderen Lösung: Kann ich denn unsere SBS-Domäne so backupen, dass beim Ausfall des SBS das Netzwerk unbeeinträchtigt bliebe, außer Ausfall von Exchange (das einzige Prog aus dem Software-Bundle was wir benutzen.) Die Dateifreigaben und auch das meiste andere liefe dann über den Cluster. Den Cluster als Backup-DC ginge mit dem SBS? (auch lizenzrechtlich) Dann könnte der SBS auch ausfallen? (schon klar, dass DHCP und DNS etc. redudant auf dem Cluster liefen) Danke. Gruß, Florian

Hallo werte Community, ich stehe vor einer lizenzrechtlichen Frage! Aufgrund der Expansion unserer Firma entschied sich mein Chef einen neuen Cluster-Server anzuschaffen. Ausgestattet ist der natürlich mit 2x Win 2003 EE. (Wurde hauptsächlich wegen Ausfallsicherheit (geplante Downtime durch Updates etc. angeschafft - nicht so sehr wegen den Enterprise Features, oder Account-Limitierungen) Bisher läuft bei uns ein SBS2003. Bei den Mailboxen komme ich nicht ans SBS-Limit. Die Frage: Kann ich eine neue Domäne (auf dem Cluster) anlegen und den SBS quasi als normalen Domänencomputer betreiben (denn als DC will er ja immer Root sein) und auf dem SBS dann die Mailboxen via Exchange hosten? - Also in einer Microsoft Veröffentlichung steht lediglich die Einschränkung, dass Exchange und die anderen SBS-Bundleprodukt nicht auf einer Maschine eingesetzt werden dürfen, die keinen SBS-Server fährt. Im Prinzip ist doch ein SBS-Server auch ein SBS-Server wenn er nicht als DC fungiert oder?? <- das ist die Haupt-Kniffel-Frage. Gruß, Florian

...so hier nun der SourceCode für VS 2003! Gruß, Florian P.s. Den Sourcecode von Stephen habe ich auch mit herein gepackt, aber er hat ja auf seiner Webseite keine Copyright-Angabe! OutlookContactProviderForMCSE.zip

Hallo werte Community! Falls ihr die Betreffzeile gelesen habt und euch dann (wie ich früher) wieder gedacht habt: "Nicht schon wieder das Thema, geht doch eh nicht!" liegt ihr diesmal zumindest teilweise falsch. Nachdem ich letztens ein bissl Freizeit hatte und ich mich in VS2005 einarbeiten wollte kam mir der Bog-Eintrag von Stephen Toub (Stephen Toub : OutlookContactProvider) in die Hände, welcher beschreibt wie man über das STS-Portal-Protokoll über HTTP beliebige Kontakte via ASP.NET in Outlook synchronisiert anzuzeigen. Sein Beispiel, was alle Kontakte der NorthWind-Beispieldatenbank zurückgab habe ich ein wenig umgemodelt, sodass jetzt ein .NET-Zugriff (über System.DirectoryService) auf das Active-Directory dazu benutzt wird, die Kontakte in unserem Active-Directory in unseren Outlook Clients anzuzeigen. Das ist für die Sekretärin schonmal wesentlich einfacher als irgendwo mit dem Administrationpak irgendwo in (angepassten) MSCs zu surfen. Dennoch: Ein Haken bleibt! - Es ist nur Lesezugriff, weil das STS-Sync-Protokoll nur Lesezugriff ermöglicht. Dennoch habe ich mir schon woanders ein VB-Skript ersurft, welches ich benutzten kann um mit ADO Kontakte im AD anzulegen. (Nachteil: Eine Directory-Verbindung ist erforderlich.) Problem ist: Dieses Skript bekomme ich keinem Formular für diesem Ordner zugeordnet, weil dieser ja schreibgeschützt ist. Vielleicht ists das beste, wenn ich gleich mal meine domänenbezogenen Daten aus dem VS-Projekt rausnehme und es gleich an diesem Beitrag anhänge, damit ihr selbst probieren könnt! Gruß, Florian P.S. siehe Screenshot (Code kommt später) ADoutlook_small_2.zip

Ja, schonmal vielen Dank für die Tipps! Ich habs hinbekommen, dass die Sekretärin nun Exchange-Kontakte anlegen kann. Der Trick war einen KB-Patch zu applien, der die Berechtigungen für den Exchange Server umstellt. Es hatten nämlich schon andere Administratoren das Problem auch mit richtigen Benutzerzugriffsrechten keinen USER erlauben zu können neue Exchange-Kontakte anzulegen. Wenn ihr wollt suche ich den KB Artikel nochmal raus. Der Inhalt war in etwa dass man einen Befehl wie SC SET irgendwas eingeben musste um die SC MANAGER Berechtigungen zu ändern. Das Problem tritt übrigens erst seit dem ServicePack 1 vom Ex2003 auf. Gruß, Florian

Vielen Dank für den Hinweis mit der Objektverwaltung deligieren unter der Gruppenrichtlinien-Webseite! Habe mir jetzt auch ne MMC-Konsole gebastelt - Ist ja alles recht komfortabel. Gibt es auch ne Möglichkeit die Kontektmenüs in der MMC nur für diese eine .mmc-Datei auszuschalten? - Weil sonst kann man z.B. versehentlich in die erweitere Ansicht/den Experten-Modus wechseln, was für die Sekretärin verwirrend wäre. Aber... Morgen erstmal schauen obs bei ihrem Rechner überhaupt klappt einen Kontakt anzulegen. Gruß und Danke, Florian

Hallo liebes MCSE-Board, ich bastle schon seit einiger Zeit daran unseren TipTop-Kopierer LDAP-Abfragen an unser Active-Directory zu senden. - Und es klappt auch endlich :) Soweit so gut - Nun gibt es ja bei Exchange 2003 keinen eigenen LDAP-Server mehr, sondern externe Geräte können ja nur das ActiveDirectory queuen, wenn ich richtig informiert bin. Ergo - Die Kontakte die auf dem Kopierer (und natürlich auch den Outlook-Clients) zugänglich sein sollen müssen ins AD gelegt werden. Damit das nicht zu einem absehbaren Chaos führt, habe ich eine neue Organisationseinheit "Kontakte" eingerichtet. Auch diese Untereinheit findet der Kopierer (Toshiba eStudio 3511 übrigens) tadellos. So... jetzt endlich zum Problem: Ich möchte natürlich nicht alle Kontakte per Hand und im Auftrag von Sekretärin A oder B eintragen. Also habe ich den Sekretärinnen einen ausschließlichen Schreibzugriff auf diese Organisationseinheit gewährt, und Sie mit den nachinstallierten AdministrationKits für Windows 2003 Server "Benutzer und Computer-Verwaltung" darauf zugreifen lassen. - An alle die jetzt aufschreien - alle anderen Organisationseinheiten sind natürlich versteckt oder schreibgeschützt!! Aber irgendwie scheint es nicht auszureichen Ihnen nur die Berechtigungen für die OgEinheit "Kontakte" gewährt zu haben, denn sobald sie eine externe E-Mail-Adresse mit den Exchange-Kontextdialog eingeben wollen, kommt eine Meldung "es konnte kein Exchange Server in der Organisation gefunden werden". Problem ist, dass wenn man nicht unter Exchange eine E-Mail-Adresse einträgt und der Eintrag im Adressbuch erscheint, findet der Kopierer ihn logischer Weise auch nicht. Also zwei Möglichkeiten zur Lösung: a) Gibt es eine Möglichkeit die Kontakte per LDAP-Abfrage abzufragen, die keinen Ex-Adressbucheintrag haben? b) Die Sekretärin muss irgendwie externe Mail-Adressen eintragen können. - Ist es ein Konfigurationsfehler (also findet der den Ex-Server wirklich nicht) oder liegt es Zugriffsberechtigungen des Ex-Servers? Naja - Punkt b1) kann ich ja quasi ausschließen, denn wenn ich mich mit meinen Admin-Account an den Sekretariatscomputer einlogge, kann ich solche Adressen durchaus mit dem Admin-Pak erstellen. Gruß, Florian

Hallo vertraute Community! Ich habe leider in einer Art geistiger Umnachtung die (Verzeichnis-)Berechtigungen der öffentlichen Ordner-Hauptstruktur geändert. Die Berechtigungen bei den Usern konnte ich natürlich wiederherstellen, aber die MAPI-Berechtigungsmöglichkeit ist nun futsch. Da wir aber momentan sowieso noch nichts in den öffentlichen Ordnern haben überlege ich einfach die Datenbank (Informationsspeicher) zu killen und neu aufzuspielen. - Aber da bin ich mir unsicher ob diese ganzen funktionsbehafteten Ordner wie OAB und FreeBusy auch wiederangelegt werden. Vielen Dank für die Hilfe im Vorraus! Gruß, Florian

Jo - diese Lösung habe ich auch bei mir im Einsatz. Dennoch ist ein kleiner Haken zu bemerken: Plant man ein solches Script als Task, so ist nach beenden (manuelles Beenden, z.B. durch Wartung) des Tasks nicht unbeding das Defragmentieren beendet. (man sieht die Prozesse noch im TaskMan und verbrauchen weiter CPU) Das war bei mir ein bissl problematisch, denn eine Datensicherung sollte im Anschluss folgen. Aber das Problem tritt nur auf wenn man zu Wartungszwecken den Task beenden will. Tut man dies kann man die defrag.exe nicht einfach mitterminieren, da diese sicherlich noch Daten auf der Festplatte im Arbeitsspeicher zuordnet, welche dann verloren gingen. Alles ist somit ein bissl unflexibler geworden. (meine Erfahrung - hatte vorher halt defrag.exe direkt als Task) Gruß, Florian

eigentlich nur eine gaanz kurze lizenztechnische Frage: Benötigen die Konten IWAM und IUSR einen Zugriffslizenz? Bei Microsoft habe ich dazu folgendes Zitat: Bei IUSR bin ich mir danach relativ sicher, dass es keine Lizenz braucht, aber ich weiß ja nicht wofür IWAM genutzt wird und ob es den obigen Ausnahmeregelungen entspricht. Gruß, Florian

Hi Community, ich habe folgendes Problem: Ich habe OWA (Outlook Web Access) nach außen hin mit einer Zertifikatsannahme und SSL gesichert. - Nur leider funktioniert bei dieser Konfiguration natürlich nicht mehr der Zugriff auf Ordner etc. intern. (Zumindest wenn ich das auch mit Exadmin mache) Also habe ich zwei neue virtuelle Verzeichnisse über den System-Manager angelegt namens "OWA" und "OWA_Public". Wird Exchange- oder Public nun von externen IP-Adressen aufgerufen bekommen die ein IP-Range-Deny und eine Umleitung auf den öffentlichen Ordner. --Soweit so schön-- Viele unserer Mitarbeiter benutzen OWA aber auch firmenintern. Das würde ich gern unterbinden. - Leicht getan, dachte ich, indem ich das Exch-Verzeichnis mit nem IP-Grant versah, der alle Server-IPs beinhaltet. Nur: Falls ich mich jetzt ins VPN einwähle, hat der Server ja ne neue IP im lokalen Netzwerk als Gateway, z.B. .12 statt .1 Dummerweise greift mit eben dieser, und nicht mit der .1 intern auf dem Exchange-Ordner zu, was natürlich verhindert wird, und diese Konfiguration z.B. für Server ActiveSync unbrauchbar macht. Des Weiteren stört mich, dass die Dömane für das interne Exchange-Verzeichnis festgesetzt ist und der Standartempfängerrichtlinie nachempfunden ist. - Bei OWA und OWA_Public kann ich das natürlich frei wählen. Problem dabei: Es gibt viele Ausnahmeregelungen für Benutzer, die ausschließlich andere Domänen haben und somit nicht sicher mit OWA gemappt werden. - Da alle Benutzer ne interne Mail-Adresse (.local) haben hätte ich die gerne auch dem Exchange-, Public-Folder zugewiesen. Kann ich das mit nem regedit oder so machen? Ohne dass der das von selbst ändert und ich dauernd am Nachbessern bin? Dafür die Default-Richtlinie zu ändern mag ich auch nicht, da sonst der interne Domänenname über telnet via SMTP sichtbar wird. Gruß, Florian

Ich meine du must zu jedem Benutzer, auch wenn er nur Mails über POP3 abfragt nen Benutzerkonto anlegen. (Zumindest beim SBS) Es gibt da wohl noch eine Möglichkeit Kontakte mit externen E-Mail-Adressen über Exchange anzulegen, aber inwieweit dann Exch E-Mails für diese annimmt und ob das lizenztechnisch das selbe ist weiß ich nicht! Würde mich aber btw. mal interessieren! Gruß, Florian