CoolBlue

Wow, danke für die Bestätigung und Analyse.

Mittlerweile haben wir das Problem auch für web.de festgestellt. Ist aber logisch. Gleicher Provider, gleicher IP Adressenraum, hohe Wahrscheinlichkeit das es die gleichen MTAs sind.

Ja den Fehler von GMX bekomme ich nach ein paar Tagen ebenfalls.

Ich denke nicht das es ein Zertifikatsproblem ist. Deine Schilderung mit dem TLS klingt irgendwie logischer. Exchange 2003 wäre demnach also zu alt?

Moment! Jetzt bin ich verwirrt. TLS ist doch Transport Layer Security die auf dem selben Port statt findet wie die unverschlüsselte Verbindung. Sprich Port 25. Laut Google supportet Exchange 2003 also TLS.

Kann es vielleicht eine neuere Version dessen sein? Allerdings wäre das auch merkwürdig, da MAIL TO und RCPT TO ankommen. Beide Befehle kommen erst nach Aushandlung der Verschlüsselung.

Andererseits hat hier auch ein Exim User Probleme mit GMX und WEB.de (Vor 4 Tagen gepostet)

http://blog.windfluechter.net/content/blog/2013/08/15/1652-exim4-and-tls-gmxwebde

Irgendeine idee wie man das weiter analysieren könnte?

Den Test kenn ich. Der Macht ein Verbindungsaufbau.. sendet Mail TO und RCPT TO, aber schickt dann keine Mail (DATA).. Bis dahin kommt GMX ja auch, laut Exchange Log recht eindeutig sichtbar.

So habe den Fall GMX geschickt. Vielleicht können dir mir Tracelogs schicken.

Hallo,

wir haben seit einiger Zeit das Problem das Mails von GMX bei aktiviertem STARTTLS im Exchange 2003 nicht ankommen. Werfe ich das Zertifikat raus, dann kommen sie unverschlüsselt problemlos rein. Wodran könnte das liegen?

Im Log steht folgendes:

2013-08-15 10:30:00 212.227.17.20 mout.gmx.net SMTPSVC1 EXBEBA 192.168.0.12 0 EHLO - +mout.gmx.net 250 0 345 17 0 SMTP - - - -
2013-08-15 10:30:00 212.227.17.20 mout.gmx.net SMTPSVC1 EXBEBA 192.168.0.12 0 STARTTLS - - 220 0 0 8 0 SMTP - - - -
2013-08-15 10:30:00 212.227.17.20 mout.gmx.net SMTPSVC1 EXBEBA 192.168.0.12 0 STARTTLS - - 220 0 29 8 0 SMTP - - - -
2013-08-15 10:30:00 212.227.17.20 mout.gmx.net SMTPSVC1 EXBEBA 192.168.0.12 0 EHLO - +mout.gmx.net 250 0 355 17 0 SMTP - - - -
2013-08-15 10:30:00 212.227.17.20 mout.gmx.net SMTPSVC1 EXBEBA 192.168.0.12 0 MAIL - +FROM:<xxx@gmx.de> 250 0 73 37 0 SMTP - - - -
2013-08-15 10:30:00 212.227.17.20 mout.gmx.net SMTPSVC1 EXBEBA 192.168.0.12 0 RCPT - +TO:<K.Henkel@xxx.de> 250 0 0 44 0 SMTP - - - -
2013-08-15 10:30:00 212.227.17.20 mout.gmx.net SMTPSVC1 EXBEBA 192.168.0.12 0 QUIT - mout.gmx.net 240 156 0 44 0 SMTP - - - -

Ich vermute auch das noch andere Absender betroffen sind die mit STARTTLS Mails an den Exchange senden. Genau verfizieren konnte ich aber noch nicht ob die vermisst werden. Aber ich weiß das es bei einem anderen Firma mal eine Beschwerde gab. Die Firma hat dann aber für unsere Versandrichtung TLS deaktiviert, weil wir beide dachten es liegt an denen. Aber anscheinend ist unser Exchange Server das Problem.

Als SMTP Zertifikat wird ein Thawte SSL123 Zertifikat verwendet, gültig bis 2016. Für OWA ist es auch aktiv und da gibs keine Probleme mit.

Wenn ich mit "openssl s_client -connect mail.beba-energie.de:25 -crlf -starttls smtp" die Verbindung teste, dann kommt die Mail interessanterweise an!

Da die GMX Server versuchen die Mails wiederholt zuzustellen gehe ich davon aus, das die Zustellung sichtbar nicht geklappt hat. Aber wieso? Manuell via OpenSSL gehts doch!

Irgendjemand eine Idee?

Habe gerade nochmal von einem anderen Exchange Server an den betroffenen Exchange 2003 Server eine Mail gesendet. Auch dieser baut eine STARTTLS Verbindung auf. Jedoch kommt diese Mail an!

Die Logs sehen leider identisch aus.. b***d das man nichts "sehen" kann...

2013-08-15 10:51:28 213.131.229.10 cp01.it-lange.net SMTPSVC1 EXBEBA 192.168.0.12 0 EHLO - +cp01.it-lange.net 250 0 346 22 0 SMTP - - - -
2013-08-15 10:51:28 213.131.229.10 cp01.it-lange.net SMTPSVC1 EXBEBA 192.168.0.12 0 STARTTLS - - 220 0 0 8 0 SMTP - - - -
2013-08-15 10:51:28 213.131.229.10 cp01.it-lange.net SMTPSVC1 EXBEBA 192.168.0.12 0 STARTTLS - - 220 0 29 8 0 SMTP - - - -
2013-08-15 10:51:28 213.131.229.10 cp01.it-lange.net SMTPSVC1 EXBEBA 192.168.0.12 0 EHLO - +cp01.it-lange.net 250 0 344 22 0 SMTP - - - -
2013-08-15 10:51:28 213.131.229.10 cp01.it-lange.net SMTPSVC1 EXBEBA 192.168.0.12 0 MAIL - +FROM:<Jan.Lange@itlange.de> 250 0 66 42 0 SMTP - - - -
2013-08-15 10:51:28 213.131.229.10 cp01.it-lange.net SMTPSVC1 EXBEBA 192.168.0.12 0 RCPT - +TO:<K.Henkel@xxx.de> 250 0 0 44 0 SMTP - - - -
2013-08-15 10:51:28 213.131.229.10 cp01.it-lange.net SMTPSVC1 EXBEBA 192.168.0.12 0 QUIT - cp01.it-lange.net 240 250 90 4 0 SMTP - - - -

Du hast zwar recht, das die Option nutzbar ist, aber die Warnungen in der Hilfe sind ja schon recht deutlich. Ebenfalls gibt es ja bereits eine Alternative.. nur scheint die Buggig zu sein.

Ich vermute mal, dass wenn ein DomainJoin stattfindet, sich das ganze wieder ein wenig anders verhält, so dass niemand den Bug großartig bemerkt.

Nur ich wollte erstmal eine Universal Unattended haben, da ich den Deployment Server sowohl intern als IT Dienstleister verwenden will, als auch bei Kunden vor Ort in einer VM.

Also mit

<SkipMachineOOBE>true</SkipMachineOOBE>

funktioniert es. Wenn ich das auf false setze und die laut Hilfe empfohlene Variante nutze (Alle Felder des OOBE durch die Unattend.xml Vorauszufüllen) dann erscheint zwar auch kein OOBE aber das Profil ist geschrottet...

Tja dann werde ich den Parameter wohl so nutzen müssen, auch wenn er Deprecated ist.

Also mit der erste geposteten XML funktioniert es bei mir nun korrekt. Jetzt bin ich gerade dabei meine eigene XML schritt für schritt in die neue zu migrieren um dem Fehler auf die Spur zu kommen.

Wegen Vista fragte ich, weil du SkipOOBE usw nutzt. Die Funktionen sind deprecated in Windows 7.

Hi! Ich teste mal deine unattended.xml Datei. Kann es sein das die für Windows Vista ist und nicht für Windows 7 ?

Hi,

ich beschäftige mich nun seit nun mehr 3 Wochen mit dem Windows 7 Deployment. Ich habe soweit auch alles funktional, allerdings kämpfe ich seit Anfang an mit einem bestimmten Problem, welches ich selbst mit Google Suchen nicht gelößt bekomme.

Wenn ich in der unattend.xml (erstellt mit WAIK Windows SIM) alle OOBE Schritte vorgebe, so dass das Windows Setup keine Fragen mehr stellt, dann wird das Administrator Profil, als auch das Default Profil nicht richtig initialisiert.

Beispiele:

- Symbolabstand (Horizontal) steht auf 43 anstatt auf 82

- Startmenü Einträge der zuletzt aufgerufenen Programme sind zum Teil in Englisch. (z. B. Displayswitch oder Task Scheduler)

Lasse ich nur ein einzigen Dialog beim OOBE übrig, egal ob Computername, Username, Zeitzone, Netzwerk Lokation oder WU Auswahl, dann passiert dies nicht.

Ich konnte das ganze mittlerweile soweit nachverfolgen, das ich folgende Vermutung habe:

Wenn das OOBE mit nur einer Frage gestartet wird, dann wird am Ende der Schritt "Das Festlegen der Einstellungen wird abgeschlossen" angezeigt. Der Schritt dauert auch einige Sekunden.

Ich vermute ganz stark (ist aber nur ein Bauchgefühl) das dieser Schritt beim deutschen Windows Profiländerungen durchführt um es auf die bekannten deutschen Gegebenheiten anzupassen.

Wenn aber alle Fragen fürs OOBE via unattend.xml beantwortet wurden, dann wird dieser Schritt, so vermute ich, übersprungen.

Ich hab meine aktuelle Unattended.xml mal angehängt. Bevor ihr fragt. Ich habe es auch mal mit einer gaaanz simplen Unattend.xml ausprobiert. Das heißt

OOBE in Shell Setup in oobesystem und Computername auf * in Specialize.

Bringt leider alles nix.

Als Installationsmedium verwende ich Windows 7 Enterprise x64 aus VLSC bereitgestellt über PXE mit Boot über WinPE 3.0

Vielleicht kennt jemand dieses Problem.

Unattended_test.xml

Hi Diddi,

andere Einstellungen sind nicht ausgegraut oder fehlen. Der Alias wurde nicht geändert, es handelt sich dabei um einen frisch angelegten Account und um einige Accounts die schon seit längerem existieren.

Jan

Hallo,

ich kann beim Exchange 2003 mit Active Directory 2003 bei neuen Usern keine Weiterleitungsadresse mehr hinterlegen. Finde den Fehler leider nicht. Alles andere funktioniert und Fehler in der Synchronisation der AD's oder von Exchange gibt es keine.

Weiß jemand Rat wo ich mal gucken kann bzw. sollte?

Gruß Jan

Hi,

sobald ein Router da ist (egal ob switch oder fw), würde ich direkt auch auf nen 32er Netz gehen. Gar keine Frage.

Meine eigentliche Frage lautet aber, wo liegt die Schmerzgrenze ohne Router? Man fängt ja meist mit 192.168.0.0/24 an und das sind schon deutlich mehr als 32 Clients und es funktioniert in der Praxis einwandfrei.

Hallo Wolfgang,

das Problem ist, dass ich keine Single-Point-Of-Failures möchte. Eine Firewall Cluster Lösung kostet viel Geld. Zwei Layer3 Switche (Ausfallsicher konfiguriert) kosten ebenfalls viel Geld.

Wenn es kein Problem ist dem Kunden Layer3 Switche zu verkaufen, dann tue ich das natürlich. Aber das ist ja nunmal nicht immer der Fall. Bevor ich aber anfange "auszuprobieren" wieviele Rechner in ein Subnetz gehen bevor es kritisch wird, möchte ich gegenüber meinen Kunden schon vorher eine klare Ansage machen können und ihm z. B. sagen "Sorry aber mehr als (z. B.) 1000 in einem Subnet ist Selbstmord.. das können se knicken, da führt kein Weg an eine Corerouter vorbei"

Bezüglich Firewalls. Da gibs meist das Problem, das sie von der Performance (ich verkaufe Juniper SRX) in der Regel nicht für Gigabit Transferleistungen ausgelegt sind (Kostenfaktor), weil dies für den Zugriffs aufs Internet auch gar nicht erforderlich ist.

Durch die VoIP Telefonie und andere Netzwerkdevices (iPads, iPhones) usw. ist das heutzutage auch schon für kleien Kunden (mit kleinem Budget) eine berchtigte Frage, wie ich finde.

Früher waren es 50 Rechner + 3 Server. Heute sind es 150 Devices + 20 virtuelle Server. (Übertrieben gesagt)

Hi,

ich wollte mal eure Praxiserfahrung anzapfen. Wie viele Netzwerkdevices sollten maximal in einem Subnet sein?

Wie das mit Subnetting und Routing usw. alles funktioniert weiß ich. Mir geht es mehr um die Praxis in Bezug auf Kosten/Nutzen.

Ein 10.0.0.0/ 8-24 Netzwerk zu konfigurieren ist ja keine Kunst. Aber wieviele Windows Clients und andere Netzwerk Devices sollten es maximal sein, bis man über die Anschaffung eines Corerouters gedanken machen sollte. Mir gehts um den Broadcast Traffik bzw. dem allgemeinen "Netzwerkrauschen" den Microsoft Clients und andere TCP Geräte verursachen.

Kosten/Nutzen heißt das die Anschaffung eines Routers mit mehrfach Gigabit Tauglichkeiit und Redundanz gegen Ausfall nicht gerade billig ist. Die Verbindung von Netzwerken via Edge-Firewalls die in jedem Unternehmen in der Regel vorhanden ist, mache ich nur, wenn vorher klar ist, das zwischen den Netzwerken nur wenig Traffik fließt und es mehr um den Schutz geht und weniger um Leistung oder Ausfallsicherheit.

Gruß Coolblue

Hi,

vielleicht kann sich das jemand hier erklären. Eventid.net bringt mich hier nicht wirklich weiter.

Ein Windows 7 Nutzer loggt sich via L2TP ins Firmennetzwerk ein. Die Firewall nimmt die Verbindung entgegen. Es gibt keine Regeln innerhalb des Tunnels. Kurz nach der Einwahl wird im AD (Win2003R2) das Benutzerkonto (mit dem sich der Nutzer zurvor offline am Win7 angemeldet hat) gesperrt.

Im Client Eventlog meldet sich LsaSrv und meint das Benutzerkonto sei gesperrt. Das ist auch korrekt. Die Offline Sync geht nicht, Outlook streikt und Freigaben gehen auch nicht.

Klick ich im AD auf den Haken zum entsperren, kann der Benutzer normal weiter arbeiten.

Meldet er sich nicht per VPN an und nutzt Outlook via HTTPS gibt es kein Problem.. das Konto wird nicht gesperrt dadurch.

Was hab ich schon probiert?

- Während einer L2TP Sitzung habe ich den Nutzer entsperrt und dann am Win7 System das Kennwort geändert. Dies wurde auch erfolgreich an die Domäne weiter vermittelt und lokal hinterlegt. Bei der nächsten Einwahl wurde der User jedoch wieder gesperrt :-(

- Unter den Anmeldeinformationen in der Syssteuerung, habe ich für "Session" das Passwort vor der Einwahl manuell eingetragen. So richtig reproduzieren konnte ich es nicht, aber ich glaub dann ging es für das eine mal.

Ist der User mit seinem Notebook in der Firma ohne VPN, hat er keine Probleme mit dem Netzwerk/AD. Ist leider auch derzeit der einzige Win7 Nutzer, alle anderen L2TP User (an die 20 User) nutzen WinXP.

Gruß Jan

Joa das ist mir wohl bekannt. Es habe nur leider nicht alle schon 2010. Außerdem hab ich Angst das ich damit die Benutzer überfordere.. UND ich muss alle Rechner zwei mal abklappern. Postfach hinzufügen und später altes Postfach entfernen.

Also die Lösung mit den leeren Ex2010 Postfächern, die sich dann über die nächsten 1-2 Tagen durch den PST Import füllen, finde ich bis jetzt am besten.

Wichtige Mails können sich die Mitarbeiter ja als .eml ins Dateisystem ablegen, die für ein aktuell laufendes Projekt relevant sind.

Danke

Naja die Planung steht noch aus, wann genau und wie genau halt. Grundsätzlich vermeide ich es aber aus privaten Gründen am WE zu arbeiten. Nur weil wir in der IT sind, ändern sich nicht pauschal unsere Arbeitszeiten :-)

Es wird aber ungefär so laufen, das die Migration übers Wochenende läuft. Vorallem nutze ich diese Zeit auch für die DNS Umstellung, die ja teilweise sehr lange brauch und man kann die Zeit für den Download der PST Mailboxen nutzen. Da werde sicherlich einige Gigabytes zusammen kommen.

Wie gesagt alles noch Planungsphase. Mir gings hier erstmal nur um technische Möglichkeiten.

allerdings konnte er das enorme Risiko, das sich aus der Kennwortfrage ergab, auch elegant handhaben.

Danke dir für die fixe Antwort. Du meintest sicher "_nicht_ elegant handhaben" oder?

Das mit dem Export bei DF muss ich mal erfragen. Wäre praktisch wenn die PSTs zur Verfügung stellen könnten. Dann könnte man diese mit MailMig oder EXMERGE in den Exchange schießen, oder?

Hatte eben mal bei der msxfaq nachgelesen. Funktioniert MailMig/EXMERGE auch für Ex2010 ?

Gruß

CoolBlue

Hi!

Kennt jemand eine gute Lösung, um mehrere Postfächer möglichst effizent aus einem Online Exchange Anbieter zu exportieren und diese in einer frisch aufgesetzten internen Struktur zu importieren?

Natürlich gibt es die Outlook Export / Import Möglichkeit. Aber es sind mehr als 60 Postfächer die migriert werden müssen. Das ganze muss halt so kompakt wie möglich passieren, damit bei der Umstellung die Ausfallzeit überschaubar bleibt und keine E-Mail verloren geht.

Mein bisheriger Plan sieht so aus:

- Ex2010 Installieren & Einrichten

- AD User inkl. Postfächer anlegen mit einem allgmeinen Standardkennwort

- MX zum neuen Exchange umbiegen

- Den Mitarbeitern das E-Mailen verbieten

- 2-3 Stunden warten

- An jeden Arbeitsplatz Outlook starten. Export als PST File von domainfactory. Outlook Profil löschen, neues erstellen und an EX2010 anbinden. PST Datei importieren.

So ist sichergestellt das alle "neuen" Mails schon im internen Exchange ankommen, diese aber erst im worst-case 1 Tag später gelesen werden können, denn das Umstellen aller Postfächer wird bedingt durch die DSL Bandbreite sicher mehrere Stunden in Anspruch nehmen.

Gibt es einen effizienteren Weg? Am liebsten hätte ich ein Programm, dem ich alle E-Mail Konten und Passwörter bei DF hinterlege. Dieses loggt sich in die Accounts ein, exportiert alle Mails und importiert diese in den Ex2010 und nach einigen Stunden däumchendrehen ist alles fertig :-)

Die E-Mail Domain und die Adressen bleiben identisch. Der Kunde möchte den Exchange Server einfach nur intern haben.

Gruß CoolBlue

Ich werd dann mal ein wenig mit Wireshark spielen. Danke

Hmm ja Wireshark.... das Tool kenne ich und ich kanns auch nutzen. Aber ohne Filter über einen sehr langen Zeitraum wird das Log so groß das das Tool teilweise sehr träge wird...

Hatte gehofft, bevor ich das tue, das es noch andere Optionen gibt.

Nicht nur die DELL sondern alle PCs sind betroffen. Am Anfang dachte es sei nur ein DEL Client gewesen, aber später stellte sich heraus, das alle Mitarbeiter das Problem haben. Es störte halt wie immer halt nur dem Chef.. die Mitarbeiter haben brav das Programm einfach neugestartet und sich dran "gewöhnt" :-)

Ne macht keinen Sinn. Die beiden Programme die über CIFS eine DB öffnen haben das gleiche Problem. Excel/Word zicken ebenfalls wenn während des auftretens des Problems vom Netzwerkshare eine Datei offengehalten wird.

Nachtrag zu den Netzwerkdosen:

Die gab es schon als es noch ein Windows2003 / Windows XP Netzwerk war und da lief es mit dem gleichen Switch.

Hört sich vermutlich **** an, aber hast Du schon die Netzwerkdosen prüfen lassen? Oder kannst Du die Clients mit dem Server verbinden und dabei nur den Switch verwenden? Clients und Server sind in Sachen Windows/Microsoft Updates up2date?

Wofür stehen denn die Sternchen? :-)

Geprüft wurden sie nicht nein. Es passt auch nicht vom Fehlerbild. Server ist ohne Dose direkt am Switch. Clients laufen alle einwandfrei und stürzen zeitgleich ab.. auch nur die Anwendungen mit aktiver Verbindung zum Server. Browser oder Clients wie ICQ/Skype die ins Internet gehen, laufen weiter, soweit ich das sehe.

WSUS läuft und Server+Clients sind aktuell.

BTW: Danke für die sehr ausführliche Austellung mit schon versuchten Lösungen. ;)

Danke. Ich mach den Job schon recht lange und eigentlich auch sehr gut. Aber das ist echt mal ein Problem, wo selbst ich passen muss (bis jetzt).

Hallo Padawandeluxe,

danke für deine Antwort. DHCP und DNS werden vom SBS2008 bereitgestellt.

192.168.1.2 Server

192.168.1.254 Firewall

192.168.1.11-253 DHCP (automatisch so vom SBS Assistenten vorgegeben)

DHCP Bereichsoptionen

DNS = 192.168.1.2

Router = 192.168.1.254

DNS Domainname = (xxx).local

Die Firewall hat DHCP deaktiviert sie dient nur als DNS Proxy fürs internet (eingetragen im sbs dns server als forwarder)

Bissher gab es keinerlei anderweitige Netzwerkprobleme. Namensauflösung funktioniert einwandfrei und ohne jegliche Verzögerungen.

WINS habe ich in dem frischen Win2008/Win7 Netzwerk nicht im Einsatz.