BigKitKat

Ja, scheinbar!

Manchmal ist das Leben halt zu einfach... Schön das MS es sich zur Aufgabe gemacht hat, diesen Umstand abzuändern... xD

Viele Grüße

Mav

Hallo zusammen,

ich hab da ein kniffliges Problem, bei dem ich nicht so recht weiter komme. Ich hoffe, dass mir jemand von Euch den entscheidenen Tipp geben kann.

Betrifft einen Exchange2010 unter W2K8R2

Folgendes ist passiert: Dem user "r.wolf" musste sein Exchange Konto geleert werden. Daher wurde das vorhandene Postfach deaktiviert und ein neues zugewiesen. Soweit ist alles gut. Nun habe ich jedoch das Problem, dass dieser User keine internen Mails mehr erhält. Die Sender erhalten folgende Fehlermeldung:

IMCEAEX-_O=<OU-Platzhalter>=EXCHANGE+20ADMINISTRATIVE+20GROUP+20+28FYDIBOHF23SPDLT+29_CN=RECIPIENTS_CN=R+2Ewolfc6f@<topleveldomain>
#550 5.1.1 RESOLVER.ADR.ExRecipNotFound; not found ##

Nach einigem Suchen im Netz meinen viele das das Problem ein veralteter LegacyExchangeDN Eintrag ist. Dort soll der alte Pfad zum alten Postfach liegen.

Das ist aber hier nicht der Fall. Dort liegt bereits der neue Pfad!

Hier der Wert aus dem Atribut LegacyExchangeDN des betroffenen Users per ADSI-Editor

/o=<OU-Platzhalter>/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=r.wolfb92

Ich habe das getrennte Postfach einem Test-Benutzer hinzugefügt und nun tauchen die Mails genau dort auf.

Wo also kommt dieser Alte Wert "R.wolfc6f" her?

Schonmal vielen Dank :)

[EDIT]

Ich habe bei einem Outlook Client den vorhandenen User-Vorschlag einmal gelöscht und über das Adressbuch zurück geholt. Nun kann dieser eine User dem User r.wolf eine Mail senden.

Es scheint also tatsächlich so zu sein, dass dieses Atribut irgendwo lokal gecached wird. WTF? Wieso wird das nicht automatisch aktualisert?

[/EDIT]

Viele Grüße

Mav

Mahlzeit,

konntest Du das Setup zum laufen bekommen? Sitze an einem identischen Setup nur noch am Anfang und versuche im vorfeld Stolpersteine auszuloten.

MfG Matthias

Joar, wär auch zu schön gewesen... :(

Dennoch danke ich Euch für Eure Hilfe! :)

Schönen Start in die neue Woche wünsche ich ....

MfG Mav

Mahlzeit,

@iDiddi

Sei mir nicht sauer, aber les Dir bitte mal nochmal mein Problem durch. Du scheinst es nicht verstanden zu haben. POP3 hat nichts mit dem versenden von Mails zutun...

Mir geht es nur um das Versenden von Mails (SMTP) mit verschiedenen Konten (envelope sender)...

Das die Konfiguration fürn popo ist, habe ich den Kunden schon mehrfach mitgeteilt und geraten es ordentlich zu machen. Hätte ich die Möglichkeit es anders zu machen, wäre das alles schon geändert worden und ich hätte das Problem nicht... Daher kannst Du davon ausgehen, dass ich schon ein paar mal versucht habe, es dem Kunden auszureden.

Ich versuche nämlich auch immer den Weg des geringsten Widerstandes zu nehmen... Nur funktioniert das eben nicht immer...

MfG Mav

Moin,

Moin,

 

vor allem weil "extern" bedeutet, dass die Mails nicht in Exchange liegen, nicht gesichert und archviert werden, nur vom Virenscanner auf dem Client angeschaut werden, usw,

 

Wenn es doch offensichtlich eine Verbindung nach außen gibt (sonst könnte der Client nicht senden), warum die dann nicht als ordentlicher Smarthost verwendet?

das ist ja mein Ziel, dass die Clients nur den Exchange nutzen und dieser den externen Mailserver als SmartHost nutzt. Das Problem ist das die User halt mehrere Absender-Adressen zum kommunizieren nutzen müssen.

Extern gibts nur die Gruppenmailadressen. Intern hat jeder User seine eigene. Das ist so von dem Kunden gewünscht, ich weiss das es schwachsinn ist nur alles unnötig komplizierter macht. Dann wird auch noch ein spezielles Konto zum versenden von SMS benötigt...

[Edit]

Ich hab mir Dein Post nochmal durchgelesen. Also die Mails werden allesamt vom Exchange an die User zugestellt. Hierfür holt der Exchange die Mails von Extern ab und stellt sie intern zu. Die Clients übergehen den Exchange nur beim versenden von Mails nach extern und für SMS.

[/Edit]

MfG Mav

Tjoar, genau das hatte ich irgendwie schon geahnt... :S Dennoch danke ;)

Leider kommt ein Third-Party Tool hier nicht in frage. Das bekomme ich definitiv so nicht durchgeboxt. Vielleicht fällt jemanden noch was dazu ein.

MfG Mav

Hallo zusammen,

ich hätte da mal eine kleine Frage an Euch, in der Hoffnung das jemand die Antwort auf mein Problem kennt. Folgendes:

Auf dem Exchange haben alle User ein eigenes -internes- Mailkonto. user_a@example.local.

Neben diesen Mailkonten existieren auch noch interne Verteilergruppen support@example.local, technik@example.local, ...

Extern existieren ebenfalls -nur- diese Gruppen (support@example.de, technik@example.de, ...). Ein Poproute auf dem Exchange Server holt die Externen Mail ab und übergibt sie an die internen Verteilergruppen. Die User können nach extern also nur über diese Gruppen kommunizieren.

Nun ist es so, dass die lokalen Outlook Clients 3 Mailkonten besitzen, über welche die User Mails versenden können. Diese müssen sie je nach Ziel selbst auswählen. Hierfür umgehen sie, jedoch nicht wenn die Mail intern versendet wird, den Exchange server und gehen direkt an unsere externen Mailserver.

intern (@example.local) --> @example.local (Versendet wird durch internen Exchange)

extern (@example.de) --> * (Client tritt direkt an einen externen Mailserver)

sms --> Wird zum versenden von SMS verwendet (Client tritt direkt an einen externen Mailserver)

Mein Problem ist nun, dass die Mitarbeiter die Auswahl so nicht immer auf die Reihe bekommen bzw. häufig wird vergessen auszuwählen welches Konto zum versenden verwendet werden soll. Das ist unschön, weil die Damen und Herren mir dann immer erzählen das nichts funktioniert weil Mails nicht ankommen... xD

Wenn ich mir dann in unserem Mailgateway die logfiles anschaue, dann sehe ich immer, dass viele User mails an Extern über das interne Konto versenden. Logisch das das nicht funktionieren kann...

Meine Frage nun: Gibt es eine Möglichkeit unter Exchange 2003, dass der Exchange Server selbst erkennt wohin eine Mail soll und dann automatisch das entsprechende Mailkonto zum versenden nutzt? Ich möchte nicht mehr, dass die User das selbst auswählen können. Hierbei gibts zu viele Layer-8 Probleme....

MfG Mav

ja das ist schon klar das sich der Client damit an einer Domäne anmeldet.

Aber dieser haken bewirkt doch nicht das jegliche verbindungen zu dem Server mit den Auth Daten der VPN Verbindung hergestellt werden :confused:

Hast du dich nach dem ersten versuch abgemeldet und danach wieder angemeldet zum 2ten Versuch ? denn die Daten bleiben so lange gecached bist du dich einmal abmeldest oder neustartest. Ansonsten wird er Die daten aus seinem Cache abrufen weil diese ja schonmal in die Anmeldemaske eingegeben wurden.

Wie gesagt davon mal abgesehen das Microsoft was ganz anderes zur Funktion dieses häkchens sagt funktioniert dies bei keinem meiner Clients so. Hab dies gestern bei meiner Privaten Workstation sowie bei meinem Privatem Notebook probiert. Jedes mal wurde ich nach Auth. Daten gefragt, so wie es sein soll, und es wurden nicht die Daten der VPN herrangezogen.

Kann noch jemand anderes aus erfahrung bestätigen das der haken "Windows-Anmeldedomäne einbeziehen" beim Client bewirkt das die Daten der VPN Verbindung herran gezogen werden, für andere verbindungen zum gleichen Server ? Ich kann es mir nicht erklären warum dies bei ITHome funktionieren soll. Habe auch heute noch ein bisschen gegoogelt und keine Info gefunden das dies eine Funktion davon sein soll.

MfG Mav

Jein,

der MCE nimmt die lokalen Auth. Daten. Nachdem er 3 (:confused: ) mal ungültige Daten überträgt wird dieses Konto gesperrt. Ich werde die Richtlinie mal entschärfen und schauen was passiert wenn das Konto nicht gesperrt wird.

Ergebniss hab ich gegen ca. 16 Uhr.

Es werden bei dem Anmelden ja nur elementare Authentifikationsmethoden gebraucht.

So, wie ich das von Gulp verstanden habe, müsste es funktionieren denn die MCE kiste sollte nach den Authentifikations Daten fragen, gerade weil er keinen manager dafür besitzt. Stattdessen nimmt der MCE Client seine eigenen lokalen Auth. Daten und bietet nicht die möglichkeit alternative Auth. Daten anzugeben bzw. zu verwenden.

Wie gesagt wenn der mitarbeiter vorher eine Laufwerksfreigabe mappt und bei dem mapping vorgang einen User mit entsprechendem Passwort angibt dann funktioniert es ja und MCE nimmt weiterhin die Userdaten für die Verbindung zum Server.

MfG Mav

MaverrickTM,

 

 

 

1. Verwarnung: Mäßige dich in deinem Ton, alle Experts u. Moderatoren versuchen nur zu helfen u. kein Expert hat so eine Anrede hier im Board verdient u. das dulden wir auch nicht!

 

- Gadget -

Hey, moment mal ! Ich habe mit dem "DAU" niemanden angesprochen ! ich habe lediglich gesagt das ich es mittlerweile schon DAU gerecht erklärt habe und ich es wars***einlich nicht noch einfacher erklären kann, nicht mehr und nicht weniger! Wenn sich einige damit angesprochen fühlen dann tut es mir Leid aber beleidigt habe ich damit niemanden !

Ich versuche die ganze zeit eine Info zu bekommen wie ich Windows den Automatismus nehmen kann das der client nicht seine lokalen Auth. Daten verwendet beim Zugriff auf eine laufwerksfreigabe. Statt dessen soll Windows nach Authentifikations Daten Fragen. Wenn dann einige leute mit VPN und Domänen anfangen dann ist das mehr als am Thema vorbei.

Dieses Problem hat weder etwas mit VPN noch mit AD zu tun. Dies hatte ich auch schon mehrfach erklärt nur wenn niemand Posts richtig liesst und immer wieder die gleichen antworten kommen bzw. auf eine antwort verharrt wird OBWOHL ich bereits sagte das es nicht funktioniert, dann gehe ich davon aus das Posts nur überflogen werden.

@MaverrickTM

 

Mal ganz ehrlich, ich glaube nicht wirklich das Du selbst verstehst was Du schreibst. Denn der "Einzige" der das Problem nicht verstehst bist Du ! Du fragst nach Hilfe ! IThome hilft Dir und bringt Dich auf den richtigen Weg und Du verstehst es nicht ? Und dann machst du Ihn noch für seine Hilfe an ? Sorry, aber das finde ich schäbig.

Alleine diese Aussage schon wieder lässt mich zweifeln ob du verstanden hast worum es hier geht bzw. ob du die Posts überhaupt richtig gelesen hast.

Ebend nicht, der Lösungsansatz ist schon falsch gewesen. Nur irgendwie kann ich mir hier den Mund fusselig reden und passieren tut trotzdem nichts.

Klaro bin ich für die hilfe dankbar ABER die Lösungsmöglichkeiten von ITHome funktionieren NICHT! Mag ja sein das es in seinem Test funktioniert hat aber dann lag es wohl an was anderem und nicht an dem was er empfohlen hat ansonsten würde es doch auch bei mir funktionieren oder irre ich mich ?

Des weiteren habe ich ITHome nicht "angemacht" ok gegen ende der Diskusion war ich es leid und hab das eventuell in den Texten wieder gegeben, was mir auch Leid tut. Letztlich ist mein Problem Simpel, der einzigste der wirklich genau auf mein Problem eingegangen ist ist wohl Ducke.

ITHome, ich entschuldige mich für meine Art gestern abend !

MfG Mav

Lasst uns doch bitte ping verbieten! :D

na wenn dann wird gleich ein genereller Verbindungsaufbau verboten :D

Selbst wenn man damit auch AD konten knacken könnte, was ist dabei solche Infos zu publizieren ? Illegal ist doch nicht die info! Strafbar macht sich der User der dieses Wissen missbraucht.

Wegen solcher Regeln werden dem Admin immer mehr und mehr nützliche Werkzeuge verboten bzw. Nützliches Wissen verweigert. Wenn es danach geht dann dürfte niemand Wissen wie z.B. ARP funktioniert weil somit niemand ein ARP-Poisoning / Spoofing nutzen kann.

Vielleicht wäre es wirklich mal an der Zeit ein Forum aufzumachen wo niemandem Etwas verboten wird. Nusschale hat recht, dies ist ein IT Forum und die meisten leute die hier Posten leben von Ihrem Wissen, es ist ihre Aufgabe im Ernstfall zu wissen wie was funktioniert und wie etwas ausgehebelt werden kann um Systeme optimal abzusichern.

MfG Mav

@nusschale wenn du es nicht Posten kannst dann bitte via PN oder E-Mail.

Vielen Dank !

[EDIT]

Hat sich wohl erledigt. Zu Spät gepostet.

[/EDIT]

Jo, mich würde es interessieren da es mir auch schon ein paar mal passiert ist.

MfG Mav

Ja, sie werden vom Benutzer angefordert und nicht vom Server ... :D Wie kommst Du bloss darauf, dass etwas vom Server angefordert wird ???

mal eine bescheidene Frage, liesst du dir meine Posts eigentlich richtig durch oder überfliegst du sie nur ?

Zu deinem kleinen haken, beliess dich mal genau was dieser haken macht. (Rechte maustaste auf diesen Haken und dann Direkthilfe)

Der sagt nicht aus das die VPN Verbindungsdaten für andere Verbindungen herrangezogen werden sondern weisst den Server an Domäne Infos zu übertragen bzw. bietet dem Client die Möglichkeit eine Domäne mit in die Anmeldung einzubeziehen. ...

Hab nu die nase voll mich wegen sonem kleinen häkchen so aufzugeilen.... Microsofts Aussage sollte deutlich sein.

Back to Topic !

MfG Mav

Dann würde ich mir den Client nochmal zur Brust nehmen und die lokalen Richtlinien reseten.

Siehe dazu How to reset security settings back to the defaults

Sollte dann immer noch das Problem existieren, liegt es definitiv nicht am Client!

Danke für die Info, werd ich morgen mal Probieren. Allerdings muss es ein Client Problem sein denn wie schon erwähnt funktioniert es bei allen anderen Clients nur nicht bei diesem einen besagten Client.

hmm..... habe ebend erfahren das es ein XP Mediacenter ist dürfte vielleicht hier das Problem liegen ? Alle anderen Mitarbeiter nutzen Home oder Pro.

Dieser Haken weist den Server gar nichts an, ebenso wenig überträgt der Server irgendwas . Der Haken bedeutet, dass Domänendaten angegeben werden beim Zugriff. Diese Daten werden sowohl für die RAS-Authentifizierung als auch für den Ressourcenzugriff benutzt. Wie der Name schon sagt, funktioniert sowas nur in einer Domäne. Wenn der Client schon Mitglied der Domäne ist, kann man sich das auch sparen, da er sich mit Cached Credentials der Domäne anmeldet und somit bekannt ist. Das ist bei Deinem Arbeitsgruppenrechner eben nicht so (oder da ist irgendwas gespeichert, was nicht passt) ...

...

12. Klicken Sie auf Eigenschaften, um weitere Optionen für die Verbindung zu konfigurieren:

Wenn Sie eine Verbindung mit einer Domäne herstellen, klicken Sie auf die Registerkarte Optionen, und aktivieren Sie dann das Kontrollkästchen Windows-Anmeldedomäne einbeziehen, falls vor dem Herstellen der Verbindung Windows 2000-Domänenanmeldeinformationen angefordert werden sollen.

...

Quelle: SO WIRD'S GEMACHT: Einen VPN-Server in Windows 2000 installieren und konfigurieren

P.s.: Die funktion wird sich zu Windows XP nicht geändert haben!

MfG Mav

Oh, ok ^^ bin von einer hand voll clients ausgegangen ^^

Dann schildere das Problem gleich richtig und zwar so, dass man es verstehen kann.

Wenn überhaupt einer nach Authentifizierungsdaten bei Zugriff fragt, dann ist das der Server und nicht der Client. Das macht er immer dann, wenn die gelieferten daten nicht mit Daten auf dem Server übereinstimmen. Gulps Lösung behebt dieses Problem, da die benutzerdaten mit denen auf dem Server übereinstimmen und somit nicht gefragt wird. Eine andere Möglichkeit ist eben nicht die lokalen daten, sondern die DFÜ-Benutzerdaten zu benutzen. Das was Du schreibst ist Schmarrn oder Du weisst nicht, welchen Haken Du setzen sollst (nicht den bei der interaktiven Anmeldung) ...

oh mann.... -.- Also, meines erachtens habe ich das Problem mittlerweile DAU gerecht beschrieben sogar mehrfach. Noch einfacher werd ich es wohl nicht hin bekommen.

Ist mir schon klar das der Client sich nicht selbst nach Authentifizierungsdaten fragt um auf den Server zuzugreifen, was im übrigen auch nirgens geschrieben steht.

Klar behebt gulps Lösung das Problem gewissermassen, nur nicht in meinem Problemfall denn wie schon mehrmals erwähnt kann ich dem Mitarbeiter NICHT zwingen die Login Daten des Servers als die seines Lokalen Privaten Rechners zu nutzen! Was auch nicht nötig wäre wenn Windows nach Auth. Daten fragen würde.

Ich weiss genau welchen kleinen haken du meinst.

Zu deinem kleinen haken, beliess dich mal genau was dieser haken macht. (Rechte maustaste auf diesen Haken und dann Direkthilfe)

Der sagt nicht aus das die VPN Verbindungsdaten für andere Verbindungen herrangezogen werden sondern weisst den Server an Domäne Infos zu übertragen bzw. bietet dem Client die Möglichkeit eine Domäne mit in die Anmeldung einzubeziehen. Letztlich macht der haken nichts anderes als "Domäne/benutzername" als benutzerdaten zu übertragen bzw. lässt eine Domäne Editfeld erscheinen.

Ok, ich versuche es nochmal. Ich will Windows Zwingen nach Authentifikationsdaten zu fragen und nicht die eigenen (die lokalen Auth. Daten des Clients) zu verwenden. Sondern dieser Automatismus soll abgeschaltet werden und windows soll nach den Daten Fragen.

@Ducke:

Es ist eine Frage der konfiguration des Clients keine Frage. Allderdings bekomme ich dieses Problem nicht in den Griff. Ich bekomme diesen Automatismus nicht abgeschaltet, genau das ist es was ich Wissen möchte wie man diesen Automatismus abschaltet so das der User gefragt wird.

MfG Mav

Nabend,

nein, deaktiviert ist deaktiviert, unter windows selbst wirst du da wohl trauer haben. Aktiviert werden kann das Konto nur durch ein Admin bzw. ein Konto das dieses Recht besitzt. Eventuell funktioniert es wenn du die Windows CD einlegst und die Installation reparieren lässt. Damit ist nicht die Wiederherstellungsconsole gemeint.

Durch diese Reperatur verlierst du alle Updates aber die einstellungen sollten Theoretisch erhalten bleiben.

Eventuell gibt es Third Party tools die das bewerkstelligen können, bekannt ist mir aber keins.

Ansonsten bleibt dir nur die möglichkeit die Daten durch ein Win XPE oder ein Live Linux zu sichern.

Keine Backups vorhanden ?

MfG Mav

Das kann ja nur funktionieren, wenn der private User-/Anmeldename mit dem auf dem Server übereinstimmt und genau das ist das Problem. Ändere den Usernamen auf dem Server oder gib dem Mitarbeiter einen neuen User und deaktiviere den alten, dann muss der User immer seine Anmeldedaten eingeben.

Bitte liess dir das Problem nochmal durch. Die antwort ist völlig Sinnfrei bzw. hat nichts mit meinem Problem zu tun - Sorry nicht Böse gemeint. :) Die Lokalen Authentifikations Daten müssen NICHT mit dennen auf dem Server übereinstimmen wenn der User die Daten im Kopf hat und Windows einfach nur nach Authentifikations Daten fragen würde, was diese mistbüchse nicht tut.

@ ITHome, hat leider auch nicht funktioniert. Die einstellung weisst den Server an Domäne Infos vor dem Verbindungsaufbau an den Client zu Senden. Somit sollte das nichts mit meinem Problem zu tun haben. Es liegt nicht an dem Server sondern an dem Client.

Das einzigste Problem ist dieser schei** automatismus von Windows. Wenn Windows bei dem Verbindungsaufbau zur freigabe nach Username und Passwort fragen würde hätte ich das Problem nicht. Es funktioniert ja bei allen anderen Clients, inkl. meiner Home Workstation. Nur nicht bei dem einen Mitarbeiter.

MfG Mav

habe ich mich so unglücklich ausgedrückt ?

Also. Der W2K3 Fileserver sperrt nach 3 ungültigen Anmeldeversuchen die Lokalen Konten des Servers.

Der Mitarbeiter hat via VPN zugriff auf das lokale Netzwerk. Wenn der Mitarbeiter nun auf eine Serverfreigabe zugreifen will dann nutzt der Client seine Lokalen User Daten die nicht dem dennen auf dem Server übereinstimmen (Ich kann den User nicht zwingen seine Privaten Anmelde Daten zu ändern!) Dadurch wird sein Konto für 30 min Gesperrt!

Das ist genau der Knackpunkt, der Client fragt nicht welche Daten er zur Authentifizierung nutzen soll sondern entscheidet einfach das die Lokalen Daten des Clients verwendet werden. Genau das ist das Problem. Ich brauche die Info wie ich dem Windows Client zwingen kann nach Authentifizierungs Daten zu Fragen

ich hoffe das war verständlicher.

MfG Mav

Mahlzeit,

und wenn du an den NTFS berechtigungen drehst ? Ist zwar nur eine Quick n Dirty Lösung aber W2K wird ja nicht ewig laufen bei euch.

MfG Mav