rep

Ich habe nun was geändert. Es scheint auch geholfen zu haben, jedoch weiß ich nicht warum es "verstellt" war, warum es vielleicht in allen anderen Migrationsanleitungen dann nicht nötig war das zu verstellen oder warum es in anderen Umgebungen eingeschaltet war. Nach einer Prüfung des Datenstreams über Wireshark kam mir das gesendete verdächtig nach Binären Daten vor. Ich habe mir den ReceiveConnector angesehen und nach einer Prüfung aller Einstellungen einen Parameter gesehen der damit was zu tun haben könnte. Diesen konnte ich nicht umstellen, es wurde auf einen weiteren Parameter verwiesen... Dann klappte es... Ich möchte das hier einfach mal zur Diskussion stellen, kann das sein? Ist das bei euch Standardmäßig an? Da ich auch andere Dinge geändert habe werde ich das nun noch mal die Umgebung zurücksetzen und bei NULL beginnen. Über jegliche Hilfe bin ich dankbar... Gruß rep Es wurde aus "DATA" auch ein "BDAT" im SMTP Dialog... warum der Exchange 2003 das aber nun verwendet, obwohl die EHLO Ausgabe identisch ist... kann mir das jemand erklären?

Auf keinem der Server läuft ein Virenscanner, oder ein Fremdprodukt das in die Richtung geht. Alles was ich zu diesem Fehler findet geht immer über Router, und hat mit MTU Problemen oder Verbindungsproblemen zu tun. Ich kann es einfach nicht versehen, denn wie geschrieben sind die quasi über 10Gbit auf einem VMware (intern) miteinander verbunden.

Ja das ist mir bewußt, wollte die Fehlermeldung nur per Hand Reproduzieren... Ich wollte wissen ob der Fehler (genau in diesem Wortlaut) auch dann so kommt. Das hat sich dann ja bestätigt. im Virtuellen SMTP Server steht der interne Name... Du meinst doch unter "Erweitert" -> "Vollständig qualifizierter Domänenname". Dieser kann auch aufgelöst werden, genau wie der andere Server, in beide Richtungen.

So, ich habe nun im Logfile von "Virtueller Standardserver für SMTP" gesehen das nach genau 5 Minuten ein Fehler kommt. Diesen Fehler kann ich über PuTTY, bzw. telnet wenn ich Manuell E-Mails senden möchte ebenfalls reproduzieren wenn ich den Punkt am Ende der Verbindung kein korrektes "<CRLF>.<CRLF>" sende. Nun findet man im Internet sehr viele Informationen zu diesem Problem. Was ich nun nicht versehe. Diese Testumgebung ist in einem eigenen VLAN und diese beiden Server sogar auf ein und demselben VMware ESXi welche auch noch an der selben Portgruppe vom vSwitch hängen. Logisch gesehen auch im selben Subnetz. Für mich macht das keinen Sinn. Hat hier jemand eine Idee... Ich suche natürlich weiter und werde auch bei Erfolg hier Rückmeldung geben...

Also ich bin mir sicher ins Ereignisprotokoll geschaut zu haben, aber nun hab ich mal alles hoch gestellt und per Filter die "Informationen" ausgeblendet... da stehen nun folgende Fehler Dieser kommt jede Stunde ca. 6 Mal ... Dann kommt in der nächsten Stunde folgendes: Danach werde ich nun suchen, bzw. mal sehen wo und wie ich die Logfiles dazu am Exchange 2010 finde, wollte aber hier den aktuellen Status schon mal mitteilen :)

Quick and Dirty hat wohl auch gereicht... wenn "interne" Adressen angeschrieben werden, scheint der SMTP-Connector gar nicht genutzt zu werden, die E-Mails gehen nun in die Warteschleife "Nachricht mit nicht erreichbarem Ziel". Obwohl in dem Connector "*" drin steht. Das scheint also auch nicht zu klappen... Welche Schrauben muss ich denn für ein Logfile an den beiden Exchange Servern drehen. Am besten nur relevante Logfiles. Es gibt ja sehr viele Sachen die man auf "Maximum" stellen kann. "dort eine Fehlermeldung geben".... das klingt nun vielleicht komisch, aber wo genau finde ich das Log, bzw. zu welchem Dienst/Prozess gehört das Logfile?

Also auf dem Exchange 2003 war gar kein SMTP-Connector mehr. Es war nur einer auf dem Exchange 2010. So wie es also in der Endausbaustufe sein sollte. Demnach war auch nur da der Smarthost eingetragen. Ich habe nun alle SMTP-Connectoren gelöscht, es gibt also auf beiden Exchange Servern keine mehr. Nun müsste laut meiner Kenntnis jeder Exchange versuche über direkte DNS/MX Einträge versuchen das Ziel zu finden, es sei denn es ist innerhalb der Organisation, wie die von mir genutzten Benutzer ja sind. Aber auch das klappt nicht. Die E-Mail bleibt auch hier im RoutingGroupConnector stehen... :( Das mit dem SMTP-Connector auf dem Exchange 2003 der auf den Exchange 2010 zeigt muss ich morgen genauer testen. Da wird ja sicher auch noch was am Exchange 2010 eingestellt werden müsse damit das Relaying von der IP-Adresse erlaubt ist... Weitere Ideen? Und danke für das mitdenken bis hierhin...

Der DC soll da bleiben wo er ist. Nach der Migration soll der Exchange 2003 ja deinstalliert werden. Ansonsten kann, wenn es eine saubere Coexistenz wird, auch alles so bleiben. Ich will nur relativ schnell anfangen die Postfächer auf dem Exchange 2010 zu verschieben. Zu dem SMTP-Connector,... wir haben einen SMTP-Connector der natürlich über einen SmartHost sendet, was aber in den Anleitungen der Migration nicht gemeint ist. Es darf auf dem "Virtuellen Standardserver für SMTP" kein Smarthost eingetragen sein. Da der SMTP-Connector mit dem Smarthost aber in den Tests auch später so oder so auf den Exchange 2010 eingerichtet wird und dann ausgehende Nachrichten vom Exchange 2003 über den Exchange 2010 versendet werden, sehe ich da kein Problem. Nur kann ich das erst machen, wenn der RoutingGroupConnector sauber läuft und die E-Mails vom Exchange 2003 auch am Exchange 2010 ankommen :/ Hier der Hinweis auf den SmartHost http://social.technet.microsoft.com/Forums/en-US/22307e1f-4091-4b2b-80f5-d67c27e71de3/routing-between-exchange-2003-and-exchange-2010

Hallo Zusammen, ich bin ein wenig am verzweifeln. Ich möchte nun endlich die Migration von Exchange 2003 auf Exchange 2010 machen. Ein Kollege (nicht mehr da) hatte damit begonnen so dass ich nun schon die Koexistenz der beiden Server habe. Auf dem Exchange 2010 ist aber noch überhaupt nichts drauf, er läuft quasi nur mit. Auf dem Exchange 2003 läuft leider auch der einzige DC. So haben wir also einen Windows Server 2003 mit Exchange 2003 Standard und einen Windows Server 2008 R2 mit einem Exchange Server 2010 Standard. Beide Exchange und Windows Server haben alle letzten Service Packs und Updates. Ich habe diese "Umgebung" in einem eigene VLAN ohne Internet (VMware ESXi) migriert so dass ich hier nichts "kaputt" machen kann. Und ich habe schon einiges ausprobiert. So wie ich das sehe scheint "fast" alles zu laufen, jedoch lege ich in der Umgebung einen Testbenutzer auf dem neuen Exchange an, dann kann der zwar E-Mails an die anderen senden, aber eine Benutzer vom Exchange 2003 kann keine Nachrichten an den Exchange 2010 senden. Die RoutingGroupConnectoren sind nach der Installation vorhanden gewesen, hab ich aber auch schon von Hand neu angelegt. Die Anleitung die der Kollege grob verwendet hat ist folgende: http://www.frankysweb.de/exchange-2010-migration-von-exchange-2003-zu-exchange-2010/ Ich habe nach dem suchen im Netz immer nur leute gefunden die einen SmartHost verwndet haben, und wenn Sie diesen gelöscht habe, ging alles. Wir haben noch nie einen SmartHost verwendet und senden seit Jahren über einen SMTP-Connector. Daher weiß ich momentan nicht wo ich suchen/ansetzen soll. Aktuell sehe ich auch vor lauter Bäumen den Wald nicht... Jemand eine Idee? Welche Logfiles kann/soll ich hochdrehen... wo kann ich schauen? Wenn ich mir die Warteschlange auf dem Exchange 2003 ansehen, dann liegen die E-Mails übrigens in der Warteschlange vom RoutingGroupConnector. Er scheint in meinen Augen die "Route" also zu finden. Manuell habe ich von dieser IP-Adresse schon (über putty) E-Mails an den Exchange 2010 auf Port 25 gesendet. An die Adresse die dort auch liegen soll...

Ich gebe dem mal in der Testumgebung eine Chance :-) Wieder ein Punkt für die Tage zwischen den Tagen.... mal sehen ob die Liste nicht schon zu lang ist ;-) Trotzdem danke an alle....

Ich habe mal eben ein paar VMs in eine Testumgebung gesetzt, mein WSUS 3.0 mit dem Tool ausgestattet und ausprobiert... da fehlen mir noch ein paar Zusammenhänge, ansonsten sieht es sehr gut aus, Für die Prüfung auf Version und ob ein Update gelaufen ist (ReturnCode) gibt es da Tools oder Empfehlungen?

Ich habe ein paar CMD Skripte die Programme unbeaufsichtigt installieren, dann ein paar Registryeinträge machen und ein paar Andere Sachen eventuell auch noch. Eben diverse Installationsskripte, da könnte man nun Adobe AIR oder Adobe Flash Player als Beispiel nehmen. Diese Skripte habe ich nun auch in PowerShell übertragen. Ziel sollte es sein, das ich in einer Windows Domäne die Installationen von einem Server als Domänenadmin auf die Clients pushen und installieren kann. Das klappt aber nicht. Ich habe das Gefühl das einige Variablen oder Funktionen dann gar nicht klappen oder andere Werte in den Umgebungsvariablen stehen. Gibt es zu den Unterschieden irgendwo ein gutes Tutorial? Praxisnah wäre cool :-) Gruß rep

Kenne auch viel Softwareverteilungen, sehr Umfangreich, dementsprechend Schulung nötig und teuer obendrein. OpenSource finde ich klasse, in dem Bereich sind aber oft zu viele Fragen offen geblieben... Fast jede Software ist mit Registryeinträgen, INI Dateien und entsprechenden Parametern heute einfach ohne Ein/Ausgabe zu installieren. Eine einfach eigene Verwaltung ist daher eher das was ich priorisieren würde. Bei der Umsetzung und den Paketen die man auch bei anderen Herstellern selbst kenne und teilweise erstellen muss, lernt man dabei noch viel über die eingesetzten Programme und Windows selbst. Unterm Strich gehe ich davon aus, dass es an identischem Zeitaufwand bleibt. Das liegt aber letztlich an dem Netzwerk und den genauen Anforderungen. Für relativ spezielle, aber überschaubare Anforderungen sind viele Softwareverwaltungen in meinen Augen zu teuer! Ich habe schon viele Skripte mit CMD und PowerSsell geschrieben, bekomme diese aber oft nicht Remote ausgeführt. Mit fehlen hier Infos welche Variablen vorhanden sind in der RemoteShell etc. Aber ich teste hier immer ab und zu. Die Registry auslesen und Dateien ob eine Software korrekt installiert wurde ist denke ich das kleinste Problem. Aber wir driften vom Thema ab... Softwareverteilung ist aber ein großes Thema... :-) bin seit 1 Jahr heiß drauf... da Adobe und Co ja nun fast jeden Monat Updates raus bringen...

Transparente Proxys gehen ab IPv6 auch nicht mehr... oder sehe ich das falsch? Am besten schon jetzt den Proxy dann anders, durch Angabe eines Proxys nutzen. Jedes Programm das etwas taucht nutzt den von Windows oder lässt ihn Konfigurieren. Am liebsten mag ich die Programme die eine wpad Datei nutzen können :-)

Klingt für mich sehr nach Namensauflösung... Ich würde die Netzwerkeinstellungen, Arbeitsgruppe und DNS-Suffix (Suchliste) identisch halten und auch die selben DNS Server (vom lokalen Router) nutzen. Ich kann mir nur vorstellen das bei einem Ping auf "test" ein "test.weitewelt.de" angehängt wurde, und daher auch der Tracert über extern geht... ansonsten einfach mal den kurzen namen in die hosts eintragen und erneut probieren.

Jetzt muss ich mal konkret fragen was du mit "PE" meinst... Das es ohne tiefere eingriffe nicht geht und auch nicht jeden Monat die IP-Adresse geändert wird, sollte nun mittlerweile klar sein. Mich stört halt nur das es überhaupt nicht geht, also nicht unter Verwendung von SLAAC. Daher meine Annahme, es gibt einen Wert in der Registry, der dafür verantwortlich ist. Meinetwegen auch eine Funktion in netsh.exe. Wenn diese also jemand kennt... gerne... Die ID für den WSUS, eine ID für den DHCPv6 und andere Dinge kann man ja auch ändern (Auch nur mit "Skripting")

Privat mitgebrachte Notebooks sollten so oder so nicht angeschlossen werden dürfen. Ansonsten ist der Aufwand der Pflege schon groß, aber wie gesagt... kommt drauf an was man erreichen will. Eine Firma mit ein/zwei Großraumbüros ohne ITler vor Ort, da kann es schon sinn machen. Ein extra VLAN und ein Port für andere Geräte. Das es keine Sicherheit an sich ist habe wir nun denke ich hinreichend beschrieben.

Ja, Softwareverteilung (auf die unterschiedlichsten Arten) ist immer ein Thema... Es ist streng genommen eine Mischung aus allem. Mache viel mit CMD, PowerShell oder AutoIt. Aber alles noch im Anfangsstadium. Die Sicherheitsgruppenfilterung habe ich mir ebenfalls angesehen. Ist auch eine Art, jedoch zum Testen für mich ungeeignet. Ich kann mit WMI auf die Art wie ich sie beschrieben habe an einem Rechner eine Richtlinie ziehen, egal welcher Benutzer und welcher Computer, es wird "vor Ort" entschieden. Genau daher sind das natürlich auch keine Sicherheitsrelevanten Einstellungen. Danke aber für den Tipp mit den Sicherheitsgruppen... Meine Idee war aber, alles was ich will nach Möglichkeit mit einem Weg umzusetzen um sowohl eine Dokumentation als auch die Stellen die zu prüfen sind so klein Wie möglich zu halten. Ich gebe zu, ich bin noch in der Findungsphase, daher ist auch jeder Tipp Willkommen, aber irgendwie sind die Dateien bisher am einfachsten. Für Benutzereinstellungen (Also die Startseite) wird auf dauer eher die Sicherheitsgruppen die erste Wahl sein... Danke für alle die bisher schon mitgedacht haben... weiterer Input immer Willkommen. Gruß rep

Aktuell ist es einfach nur ein Test ohne die Struktur und Organisation im AD zu komplex zu machen (bzw. zu ändern) und flexibel zu gestalten. Ich habe beispielsweise eine Kleine Richtlinie die einen Registry Key setzt um IPv6 abzuschalten (DisabledComponents = ff), zum testen will ich aber einzelne Rechner wieder freigeben (DisabledComponents = 21). Da ich noch nicht lange mit den Gruppenrichtlinien arbeite, habe ich bisher sehr wenige, und nur einheitliche Richtlinien. Das hält mich davon ab, Dinge einzustellen die bei Rechnern/Benutzern unterschiedlich sind. Ebenfalls können hier nicht alle Mitarbeiter im Support (oder sollen) diese Editieren. Vorstellbar ist aber (und Probleme hatte ich auch schon) Startseiten im Internet Explorer oder ähnliche Dinge einzustellen, Die "Chefkarte" (ja dazu gibt es auch Diskussionen) wird dann gezogen und wegen mangelnder Kenntnisse hält mich das dann aktuell davon ab gewisse Dinge einzustellen. Kurz könnte man sagen: Ich beschäftige mich gerade mit der Art und Weise was möglich ist. Und gerne lerne ich nun von Dir was ich machen kann ;-) Aktuell gehe ich davon aus das die Registry nicht geht, und ich Dateien in "C:\Program Files (x86)\tmpGPOs" anlegen muss. Filter für Windows Versionen und Co sind ja keine wirkliche Ausnahme wie ich sie meine... der Wille der Benutzer ist oft das Problem :)

Das macht man dann aber für jeden Eintrag, nicht die gesamte Richtlinie. Oder habe ich das falsch verstanden? Gibt es da keinen WMI-Filter oder eine andere Möglichkeit die es für die ganze Richtlinie möglich macht?

Irgendwie bekomme ich das einfach nicht hin... Ich möchte einen WMI-Filter für eine GPO schreiben, bekomme es aber einfach nicht hin. Er soll greifen wenn in der Registry ein Eintrag mit einem Wert vorhanden ist, ich bin nun zum Testen schon so weit Runter, dass es mir erst mal Reicht auf einen Schlüssel zu prüfen. Zum Testen habe ich eine Schlüssel "HKLM\Software\tmpGPOs" angelegt. Darin sollte dann eigentlich noch der Eintrag GPOs (DWORD) mit dem Wert 1 oder 0 abgefragt werden. Bisher nach eigenem Wissen und Googlen kommt dabei folgendes rum SELECT * FROM Win32_RegistryAction WHERE Key = 'Software\\tmpGPOs' Wenn ich das über cscript.exe testes, dann dauert das ewig und die CPU geht hoch. Funktioniert aber auch nicht... Ziel sollte es eigentlich sein, das ich einige GPOs über Werte in der Registry steuern kann, Primär zum Testen oder Übergangsweise.... Gruß rep

Mir ist es auch klar das es eine Lifetime gibt, wenn die Abgelaufen ist (wobei die bei jedem empfangenen Router Advertisement wieder neu beginnt) löscht er die Adresse. Wenn also der Router der die Router Advertisements versendet aus ist, oder diese Route nicht mehr verteilt, verfallen die Adressen. Das geht auch. Aber wenn ein neues Router Advertisement auch mit neuer Netzadresse kommt, ist der Hostteil der Adresse ja immer wieder gleich. Die Temporären Adressen die ausgehend genutzt werden sind dabei nicht das Problem, denn die Adresse die eingehend verwendet werden kann, um die geht es mir. Wir malen mal eben ein Scenario (Einstellungen vom TCP-Stack sind Standard) Ein Router sendet nun Router Advertisements mit dem Netz 2001:db8:1234:1234::\64, was einen Windows 7 Computer dazu nötigt sind eine IPv6 Adresse zu generieren. Diese sehen dann Standardmäßig Beispilesweise so aus Öffentlich Verworfen 3m8s 0s 2001:db8:1234:1234:cb53:f538:13fe:6ee8 Temporär Verworfen 3m8s 0s 2001:db8:1234:1234:fc16:9666:aa42:3ec8 Andere Bevorzugt infinite infinite fe80::cb53:f538:13fe:6ee8%11 Dabei ist der Hostteil "cb53:f538:13fe:6ee8" nicht aus der MAC-Adresse abgeleitet, aber sowohl bei der LLA, also auch bei der ULA identisch. Die Temporäre Adresse, die die auch sich immer wechselt und ausgehend verwendet wird, ist absolut Zufällig. Das zeichnet ja nun auch die Privacy Extension aus. Ich würde aber gerne den Hostteil der Öffentlichen Adresse änden, also die auf die auch reagiert wird wenn man von außen Verbindungen aufbauen möchte. Da also der Router immer Online ist und auch zyklisch die Router Advertisements sendet, wird die Gültigkeitsdauer nie erreicht, was ja auch gut so ist, denn sonst würden die Adressen auch ausgehend nicht mehr verwendet werden und man könnte kein IPv6 nutzen. Wenn ich nun ein anderes Prefix verteile: 2001:db8:5678:5678::\64, dann wären die Adressen wie folgt. Öffentlich Verworfen 3m8s 0s 2001:db8:5678:5678:cb53:f538:13fe:6ee8 Temporär Verworfen 3m8s 0s 2001:db8:5678:5678:fc16:9666:aa42:3ec8 Andere Bevorzugt infinite infinite fe80::cb53:f538:13fe:6ee8%11 Der Hostteil ist dabei aber immer noch identisch... nämlich "cb53:f538:13fe:6ee8"

Es ist keine Sicherheit, aber eine zusätzliche Hürde. Wenn man den Switch so einstellt das der Port Abgeschaltet wird, dann bekommt man es auf jeden Fall mit und es ist kein "Ausprobieren am Client" machbar. NAP ist glaub ich nicht mit jedem Gerät machbar und schon sehr Aufwändig in der Einführung und im KnowHow das man haben muss. Jeder muss für sich entscheiden was er mit dem Mittel erreichen will. An einem Uplink müssen alle MAC-Adressen eingetragen werden die erlaubt sind. Wenn der Switch managed ist, dann auch die vom Switch selbst... Ein Problem kann hier jedoch sein (gerade in einem Projekt gehabt)... wenn vom Filter aus, ein Uplink in einen Teil eines Gebäudes geht, hier aber über ein zweites VLAN jedoch ein "öffentlicher" WLAN-Hotspot mit eigenem Netz und Internetleitung genutzt werden soll, steht man dumm da. Denn der Filter geht bei einigen Switchen nur auf Portebene, und damit für alle VLANs. Das sollte aber in der Regel nicht passieren da die Unterverteiler vermieden werden sollten. Ansonsten muss der Switch am anderen Ende ebenfalls MAC-Filterung können.

Es widerspricht sich nur auf den ersten Blick. Es wird einmalig, das erste mal nach der Installation eine Zufallszahl/Wert generiert aus dem Anstelle de MAC-Adresse der 64bit Hostteil der IPv6 Adresse generiert wird. Das ist dann aber immer so, egal welches Netz man nutzt, wie oft sich das auch wechselt, daran erkennt man einen PC wieder. Diese Zufallszahl ist entstanden, weil man nicht wollte das der Hersteller einer Netzwerkkarte, oder gar des Komplettsystems erkannt wird. Zur vermeidung der Wiedererkennung auf Webseiten (als Beispiel) ist dann zusätzlich noch eine weitere Temporäre Adresse die wirklich jedes Mal zufällig erstellt wird. Diese wird dann für ausgehende Verbindungen verwendet. Wenn man Linux VMware Server hat, dann sieht man Beispielsweise an der IPv6 Adresse das es ein VMware Gast-System ist. Ob das schön oder nicht so schön ist, sollte gar nicht Gegenstand der Diskussion sein, das also nur kurz zur Ausführung. Meine Frage ist nun wie ich "einmal", wenn es nötig werden könnte, einem PC, Server oder anderem Dienst trotz SLAAC Nutzung eine andere Adresse geben kann, so dass er für Leute die diese Adresse kennen nicht mehr erreichbar/wiedererkennbar ist. Das würde dann im Fall der Fälle nur einmal bei Bedarf passieren. Momentan geht es aber überhaupt nicht, es sei denn man schaltet für den Server/PC SLAAC aus und macht alles per Hand, was meiner Meinung nach unschön ist. Ich teste auch gerade mit einem Tunnel von HURRICANE, wenn wir offizielle Adressen vom Provider bekommen müsste ich sonst alles per Hand anfassen. Sind es Dynamische Adressen der Telekom, geht es gar nicht mehr... denn wenn sich das Netz immer ändern, kann ich es schlecht per Hand jedes Mal ändern :) Gruß rep

Danke schon mal für Deine Antwort, aber... ... dann hat man ja auch keine Vorteile durch SLAAC, wie beispielsweise die durchaus Sinnvolle Privacy Extionsion die für ausgehende Verbindungen eine Temporäre Adresse generiert. Ich hatte zwar auch gedacht das die Privacy Extension auch mit manuellen Adressen funktioniert, aber das scheint nicht so zu sein. Zumal auch viele andere Dinge von SLAAC Sinnvoll sind und ich auch darauf aufbauen möchte.Man muss doch diese "Zufallszahl" irgendwo ändern können.