TheCracked

Hallo Zusammen,

die Testumgebung beinhaltet:

2x DC 2012 R2

1x Exchange 2010

1x Exchange 2016 

2x Clients win 7 mit Office 2010

Ich gehe nach dieser Anleitung vor "Vorbereitung Migration Öffentliche Ordner"

https://www.frankysweb.de/migration-von-exchange-2010-zu-exchange-2016-teil-2/

Nach dem ich den letzten Befehl abgesetzt habe 

Set-OrganizationConfig -PublicFoldersEnabled Remote -RemotePublicFolderMailboxes PFProxyMailbox1

dauert es eine kurze Zeit und in dem Office 2010 mit schon migriertem Postfach sind die öffentlichen Ordner sichtbar.

Sprich bei allen drei Clients kann ich diese einsehen.

Starte ich jedoch Outlook neu, erscheint mir bei den Outlook Clients immer die Abfrage nach dem Username + Kennwort für die öffentlichen Ordner..

Gebe ich diese ein, werden mir auch die Ordner angezeigt..

Muss man hier immer die Benutzerdaten eingeben? Gibts doch nicht oder... 

Edit: Ich hatte letzte Woche das gleiche Problem, daraufhin habe ich die ProxyMailbox dazu neu erstellt. Dann hat es wieder funktioniert.. heute wars das leider wieder...

Grüße

TC

ah jetzt...

hat anscheinend ne weile gedauert..

jup... Beim neuen Outlook Profil funktioniert es gleich..

Dachte nur,dass es da vielleicht irgend eine x Zeit gibt, wo outlook so was prüft und dann ggf. die Meldung bringt, dass es neu gestartet werden muss.

Hallo Zusammen,

wenn ich die Interne URL´s von den Virtuellen Verzeichnissen ändere von beispielsweise exchange2016.domain.local zu outlook.domain.de..

Wie lange dauert es dann, biss der Outlook Client diese Änderung bekommt? Kann man das irgendwie forcen?

In dem Verbindungsstatus von Outlook sehe ich ja den Servernamen.. hier sollte dann ja "outlook.domain.de..." stehen..

Neustart von Outlook hat erst einmal nichts gebracht. 

Grüße

TC

Merci

Nachträglich noch mal eine Frage..

Kann ich an irgend einer Stelle sehen, welchen Empfangsconnector eine bestimmte email angenommen hat?

Logfile? Powershell?

Merci

TC

Ich würde mal ne andere Mail App testen... 

Und evtl mal n Android testen wenn eins aufzutreiben ist..

Das Wildcard Zertifikat ist für unsere Domain ausgestellt, wo kommt da der fqdn des Exchange ins Spiel?

Im Wildcard Zert steht ja so was wie beispielsweise outlook.deinedomain.de und autodiscover.deinedomain.de

Du musst in dem DNS dann den dafür benötigten A-Record noch setzen 

Stichwort "Split DNS"

Hallo Zusammen,

in einer Testumgebung versuche ich gerade von Exchange 2010 auf 2016 zu migrieren.

Ich habe nun ein Testpostfach auf 2016 migriert. Der Outlook 2010 Client sagte mir ich muss neu starten..

Sende ich nun eine eMail an ein Postfach, dass noch auf dem 2010 liegt, kommt die eMail an.

Sende ich von einem Postfach, dass noch auf dem 2010er liegt, kommt nichts an.

Ich sah mir als erstes mal mit get-queue auf dem 2016 Exchange an, was er zu sagen hat.

Hier stand dann, "Target host responded with error -> 451 5.7.3 Cannot achieve Exchange Server authentication.

Kurzer googler.. 

Ah ok.. ich muss vermutlich auf dem Empfangsconnector vom 2010 Exchange noch die Authentifizierung "Exchange- Serverauthentifizierung" mit anhacken..

Nachdem ich den Hacken gesetzt habe, hat es dann auch funktioniert..

Aber...

Mir ist aufgefallen, dass ich erst eine Fehlermeldung erhalten habe, nachdem ich die Einstellung speichern wollte:

 

Wenn das AuthMeachanism-Attribut eines Empfangsconnectors den Wert "ExchangeServer" enthält, muss der FQDN-Parameter auf dem Empfangsconnector auf einen der folgenden Werte festgelegt werden: den FQDN des Transprotservers "exchange2010.domain.local", den NetBIOS-Name des Transportservers "Exchange2010 oder $null

ich habe den FQDN dann auf "exchange2010.domain.local" geändert. Danach konnte ich speichern.

Wie ist hier richtig vorzugehen..??

Der FQDN ist ja jetzt nicht so optimal mit der internen Adresse, da externe mit diesem FQDN nichts anfangen können.

Da ich aber für ein Paar Tage die Kommunikation zwischen den beiden Exchange gewährleisten muss, bleibt mir ja nichts anderes übrig oder ist es hier empfehlenswert, noch mal einen Empfangsconnector nur für "intern" zu erstellen auf den beiden Exchange-Servern?

Viele Grüße

TC

Hi,

 

lese lies dir das mal durch: https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/

Und überlege, ob du die Kontensperrung dann noch willst ;)

 

Gruß

Jan

:D  :jau:  na super..

Aber wieso empfiehlt dann der BSI so eine Richtlinie :)

Na dann ist das doch wohl keine gute Idee.

Das kann man wohl machen, ist aber nicht ganz einfach:

 

https://technet.microsoft.com/en-us/library/2199dcf7-68fd-4315-87cc-ade35f8978ea

 

BTW: Warum braucht man für "Scan-to-Mail" einen "Service-Account"?

Da der Exchange ne Auth. benötigt.. Deswegen gibt es hier ein extra Konto.

Danke für euer Feedback 

Hallo Zusammen,

per Default Policy soll festgelegt werden, dass das Konto des Users nach 3 Fehleingaben des Kennwortes für 60 Min gesperrt wird.

Frage: 

Kann ich hier Konten ausnehmen wie z.B. Serviceaccounts oder den Administrator? Bei den Kennwortrichtlinien gibt es hier ja im Benutzer einen Hacken "Kennwort läuft nie ab". 

Der Grund ist:

Wenn ich beispielsweise beim Drucker einen Serviceaccount für Scan to Mail hinterlege und mich beim Kennwort vertippe ist der User ja gleich gesperrt... wenn das teil gleich paar mal hintereinander testet..

Sollte man diese Kennwort und Kontosperrungen in eine extra Policy packen und hier den einzelnen OUs zuweißen und die OUs mit den Serviceaccounts oder Admins auslassen?

(Server 2012R2 Domain)

Viele Grüße

TC

Hi,

 

ansonsten, ja, dein Identity Parameter ist falsch ;)

Guck mal was "Get-OwaVirtualDirectory | fl Server, Name, Identity" für eine Identity liefert.

 

Gruß

Jan

Oh.. liefert quasi 

 

exchange2010/owa (default Web Site)

Jetzt klappt es auch.

Misst auf das hätte ich selber kommen können  :cry:

Merci euch beiden

Guten Morgen zusammen,

wenn ich die externe URL eines exchange 2010 ändern möchte gehe ich doch so vor:

Set-OwaVirtualDirectory -ExternalUrl "https://extern.domain.de/owa"

Danach muss ich noch den Identity Parameter angeben. Hier gebe ich den Servernamen des Exchange 2010 an.

Ändere ich die URL über die Verwaltungskonsole funktioniert es.

Wo liegt bei dem PS Befehl der Fehler? Ist mein  Identity Parameter falsch?

Viele Grüße

TC

Merci euch.

Hat in meiner Testumgebung reibungslos funktioniert.. 

Grüße

TC

Hallo Zusammen,

anhand welchen Einstellungen / Logs sehe ich denn, ob NTFRS oder DFSR zum Replizieren hergenommen wird?

Es ist hier eine 2012 Domäne mit zwei DC´s.

Migriert wurde damals von 2003 auf 2012.

Es werden auf den DCs beide Dienste ausgeführt.. 

Da der NTFRS ja uralt ist, wollte ich dem ganzen mal auf den Grund gehen..

Sollte ich migrieren müssen, kann ich mich an nachstehenden Link halten?

https://blog.friedlandreas.net/2014/12/sysvol-migration-von-frs-auf-dfsr/

Viele Grüße

TC

Ruf bei MS an.. die geben dir das schriftlich per Mail .. Klappt wunderbar :)

Grüße

TC

Wie sicherst du denn deinen Exchange? Ist es eine

VM? -> Bau dir ne Testumgebung auf und spiel dich! Da du keinen ext. zur Unterstützung holen kannst ist learning by doing das beste was mir einfällt..

Veeam-Backup? -> Wenn ja kannst hier das Postfach mit dem Veeam Explorer für Microsoft Exchange wiederherstellen..

http://www.msblog.eu/exchange-2010-serverzertifikat-erstellen/

Grüße

TC

edit: Du musst für den ext. Zugriff auch deine Firewall dementsprechend konfigurieren! Ports..

Hallo Zusammen,

wenn ich über die Exchange PowerShell ein neues Postfach anlege, muss hier mit -Database der Name der Datenbank angegeben werden. 

Gibt es eine schon vorhandene Variable, die ich hier einsetzen kann, oder muss ich mir das selber zusammenbauen?

Viele Grüße

TC

Man kann doch eine "Neue Aufgabenanfrage" an jemanden senden..

Rechtsklick da drauf, wo die Aufgaben stehen..

Grüße

TC

Also ich habe jetzt noch ein paar Sachen getestet..

Jetzt funktioniert die Domäne!

Hier meine Lösung, was vielleicht einem anderen auch helfen könnte:

Source ESXI ist in der Version 5.5. Hier wurde auch das Veeam Backup gezogen.

Mein "älterer" Server hatte jedoch noch die Version 5.0.

Nach dem Update des älteren Servers auf die Version 5.5 und erneutem Restore des Backups von DC01 kam die Domäne wieder hoch!

Ich habe es zig mal probiert um sicherzugehen, dass es nicht nur Zufall war.

Es lag anscheinend wirklich an der ESXI Version. 

Merci euch und ein schönes Wochenende!

TC

Ja im Grunde reicht es wenn ich nur einen Restore, da ich ja einen weiteren wieder installieren kann.

Ich wollte das eben einmal komplett testen, damit ich im Ernstfall weiß, was zu tun ist.

Laut veeam ist es kein Problem, dcs zu Backupen..  :)

hmm was spricht dagegen..? die Domäne muss doch dann auch laufen oder..

also sollte ich mal ein image von 2 Wochen nehmen für den dc01 und für den dc02 das von Sonntag?

Ja richtig. Als erstes habe ich nur den dc01 gestartet und dann erst dc02..

hm also die IP-config sieht noch gut aus.

Und sollte hier was nicht stimmen, würde doch auch mein nslookup nicht laufen oder..

muss ich die FSMO rollen vielleicht dem dc01 neu zuweißen, damit die Domäne wieder hoch kommt?

Ein neustart des Servers hat auch nichts geholfen..

Also das Image ist von letzter Woche Sonntag.

der dc01 hat alle FSMO Rollen inkl. GC.

DC02 hat den GC

Restore ich nur den DC01 ohne dc02 läuft dieser ebenso nicht.

repadmin /showreps zeigt mir an, dass alle repl. erfolgreich waren. 

Guten Morgen Zusammen,

""Server 2012 R2 Umgebung""

um die veem Backups zu prüfen, stellte ich auf einem älteren ESXI per veeam die zwei DCs wiederher. 

Ich startete erst dc01. Ich konnte mich erst nicht anmelden, da Windows sagte, dass keine Anmeldeserver zur Verfügung standen... Nach ca. 1 Minute startete der Windows Server von selbst neu und ich konnte mich als Admin anmelden. Ein blick in die AD Benutzer und Computer sahen gut aus. Dann schaltete ich auch gleich dc02 an. als ich dann noch einmal mir die Benutzer in der AD ansehen wollte bekam ich eine Fehlermeldung:
"es konnte aufgrund des folgenden Problems keine Namensinformationen gefunden werden. Die angegebene Domäne ist nicht vorhanden..."

Seit dem geht nichts mehr. Im Ereignisslog hagelt es nur so von Fehlermeldungen vom AD:

FSMO rollen seien als nicht gültig eingestuft ... ID 2092

Keine Verbindung mit dem GC kann hergestellt werden...  ID 1126

Dateirepl. kann die Replikation von dc02 auf dc01 nicht aktivieren..  ID 13508

Ich prüfte das DNS erst einmal. 

Keine Probleme.. Ich kann beide DCs auflösen.

netdom query fsmo sagt mir:

Die angegeben Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Ich dachte mir, gut vielleicht müssen die beiden DC´s sich erst wieder abgleichen und dann wird alles gut..

Nach einer Stunde immer noch das gleiche.

Was ist in so einem Fall zu tun.. Es ist zum Glück hier nur ein test, aber im Ernstfall wäre das ganze nicht so schön.

Jemand einen Tipp, was ich noch machen könnte, damit die Domäne wieder hoch kommt.??

Ist so was normal bei einem Recovery der Dcs?

Grüße

TC

hmm muss man da nicht noch ein Domaintrust zwischen den zwei Domänen einrichten?