Homer1976
-
Gesamte Inhalte
54 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Homer1976
-
-
Hallo tesso,
nein wir haben keinen Balancer oder Proxy. Austellen war vermutlich das falsche Wort. Dort haben wir es erstellt. Verteilt wird via GPO an die Clients. Aber das vorherige gibt es nicht mehr.
Wie auf dem Bild zu erkennen, sieht man den alten Server, aber ausgestellt für und vom neuen Server.
Wenn ich den Alias herausnehme, dann kappt Outlook die Verbindung. Die Virtuellen Verzechnisse wurde schon geprüft, die sind ok.
Ich hab jetzt mal auf unserem Terminalserver das Outlook Profil gelöscht. Zusätzlich unter Appdata unter Roaming und local die Outlokk Daten. Dann starte Outlook ohne die Zertifikatsabfrage.
Beende ich Outlook und rufe es erneut auf kommt die Meldung im Screenshot. Wartet man dann ca. 30 Minuten geht Outlook wieder.
Wenn es dann mal wieder geht, mache ich einen E-Mail Autokonfigtest. Dieser zeigt mir das die korrekten Urls verwendet werden bzw. man sieht das der Autodiscover laut Protokoll funktioniert.
Warum und woher kommt dieses Zertifikat?
Wieso klappt die Outlookverbindung Verbindung zum Exchange nicht nachdem ich den Alias vom alten, ausgeschalteten und deinstallierten Exchange rausnehme?
Die Zertifikatsmeldung kommt nicht mehr, wenn man das Profil neu anlegt + die Inhalte von AppData\Outlook lösche.Geht dann aber nur so lange man Outlook nicht beendet. Man muss zwischen dem beenden min. 5 Minuten warten ohne das eine Meldung kommt wie im Screnshot zu sehen.
-
Hallo Zusammen,
wir haben von Ex2013 auf Ex2019 migriert. Trotz der Abschaltung des alten Servers, wird das alte selbstsignifizierte Zertifikat an manchen Clients beim starten von Outlook angezeigt bzw. man könnte es wie gewohnt installieren. Das eigentliche und aktuelle selbstsignifizierte Exchange 2019 Zertifikat verteilen wir via GPO. Dort war das alte auch mit drin. Wurde aber schon länger aus der GPO entfernt. Komischerweise stellt der 2019ner das Zertfifikt für den 2013ner aus. In der ECP oder im Zertspeicher vom Exchange ist dort kein altes zu finden.
Kann das am DNS Alias liegen? Zwar haben wir viele Systeme die einen Mailclient haben geändert, aber um sicherzugehen diesen Eintrag gesetzt.
Hat jemand ein Idee wohetr das kommen könnte?
Danke
VG
Homer
-
Hallo,
ich schrieb von eingebundenen Postfächer. Das es Postfächer von Usern sind hab ich denk ich nicht erwähnt. Es geht um Sytempostfächer, unsere IT Postfächer, um gemeinschaftspostfächer. Und ja ich habe einen neuen Testuser angelegt. Da geht der Zugriff auch nicht. Private Mails oder Pop gibts nicht bei uns.
Datenschutz ist bei uns auch ein Thema. Kam evtl anders rüber. Aber darum geht es hier doch garnicht.
Aber wie ich geschrieben habe, liegt es an den Domadmin Gruppen....restriktiv setzt sich durch.
Nur wo überschneidet sich hier die Vererbung.
Werd morgen mal weitersuchen. Hat einer einen Ansatz?
VG
-
So jetzt is er drangehängt....
-
Hi Zusammen, folgendes Problem:
Der Vollzugriff für die Dom Admins auf Postfächer die in Outlook eingebunden sind, funktioniert leider nicht mehr. "Ein Client Vorgang ist fehlgeschlagen" " Der Ordner kann nicht erweitert werden". Kennt man ja, wenn die Rechte nicht passen. Unter der EAC sieht alles gut aus. Die Dom Admins haben Vollzugriff auf die Postfächer in der Stellvertretung. Ich vermute es liegt an widersprüchlichen Rechten. Siehe Screenshot........
Hier haben die Dom Admins Inherited -->True und Deny-->True. Sie sind aber noch ein zweites mal vorhanden. Inherited --> True und Deny-->False. So wie ich das zu wissen meine, setzt sich das restriktivere durch. Sind das AD Rechte und Exchange Rechte zusammengewürfelt? Leider weiß ich nicht wo dieses Recht gesetzt ist. Ich hab unter ADSI-Edit geschaut unter der EX Datenbank. Jedoch nichts spezifisches gesehen. Wenn ich es versuchen würde mit -Remove Mailboxpermission, welche von beiden Einträgen würde er bearbeiten? Ich vermute ganz stark dass das durch das CU17 entstanden ist.
Exchange Server 2013 CU 17
AD Schema 2012
Outlook 2013
Danke schon einmal
Homer76
-
Danke für deine Antwort. Ich selber kann nicht Programmieren. Und so einfach wie in einer Batch >> log.txt geht ja leider nicht :-)
Hab jetzt mal eine Batch gebaut, die Kopiert das Verzeichniss lokal und führt dann die VBS aus. Ergebniss: geht!
VG
Homer
-
Hallo Zusammen,
ich versuche nun seit 2 Tagen eine GPO für Win 10 Clients zum laufen zu bekommen.
Domäne 2012 R2
Windows 7 - Testmaschine, kein Virenscan, keine Firewall,
2 x Windows 10 - Testmaschinen, kein Virenscan, Keine Firewall (altes System und neu installiertes system)
Ich habe ein Script für den Out of Office Manager von CI-Solution im Test. Dieses Script installiert via VBS Script eine Toolbar in Outlook.
Beide in einer gleichen OU und mit GPO verknüpft.
GPO am Windows 7 Client funktioniert. Leider nicht am Win 10 Pro.
GPO Einstellung für Benutzer
Delegierung an Authentifizierte User mit : Lesen
Optional auch zusätzlich gestestet mit:
Delegierung mit Domänencomputer : Lesen
Zugriffe auf Sysvol bzw. Freigabe ok
Manuel installieren geht auf beiden Systemen, lediglich nicht via GPO
Habs auch mit Startscript, alte Methode für GPO mit Gruppen, alles erfolglos....
Hab keine Idee mehr woran das liegen könnte
Evtl jemand von euch?
VG
Homer
-
WTF
Egal jetzt. Ich habe nun das Windows mit MBR neu installiert. Jetzt ist True Crypt drauf und gut is.
Peace and Out
-
Hallo,
danke das du hier erneut anfragst. Was das ganze soll, hab ich klar und deutlich erklärt. In anderen Foren wurde das komischerweise sofort verstanden. Aber egal.
Das Problem war folgendes: Ich verschlüssel die Platte, Speicher den Key auf USB. Dann baue ich die Platte testweise aus. Cool, jetzt ist sie verschlüsselt. Jetzt geht das NB sagen wir mal kaputt und die HDD is aber ok. Dann möchte ich sie aber als Admin oder User der den Wiederherstellungskey auf Stick hat an einen PC oder anderen NB mounten, klappt aber nicht. Der wiederherstellungsschlüssel wird nicht akzeptiert. Bezeichner ID stimmt überein. Dieser Test mit TPM und ohne mehrmals versucht.
Scenario 2:
M2 SSD wieder eingebaut, von Win10 DVD gebootet. Wollte testen ob man auf die Platte kommt über die Systemwiederherstellung.
Hab den Wiederstellungsschlüssel erneut eingegeben und es ging wieder nicht, Bezeichner ID stimmte ebenfalls...
Fehlermeldung : Das entsperren mit diesen Wiederherstellungschlüssel ist nicht möglich.
-
So, ich hab jetzt keinen Bock mehr gehabt....Neu installiert mit MBR und jetzt sollte auch True Crypt wieder funzen....
Das Ticket wird beendet
VG und danke an alle!!!
Homer
-
Ne, das hab ich schon diverse male versucht....ausserdem schon geposted das auch copy and pasta nicht funzten
-
schon klar....hab dich ned so :-)
Lite-On ZETA 256GB Part Number: L8H-256V2G -
NB ist ein HP G3 Elitebook 850
M.2 SATA TLC SSD
TPM 1.2/2.0
-
Ich habe jetzt den TPM Chip deaktiviert, eine GPO erstellt das beim Booten schon ein Passwort eingegeben werden muss.
Das funktionierte....
Sobald ich verschlüssle, die Datei abspeicher auf stick oder als datei einfach ablege, wird der Wiederhertsellungskey nicht angenommen.
Langsam hab ich kein Bock mehr auf dieses Verfahren.
VG
-
Hallo,
diese Tests wurden gemacht falls die Firmen NBs gestohlen werden oder verloren gehen. Wir suchen grad nach einer simplen alternative zu TrueCrypt, die auch mit GPT umgehen kann.
Ich habe eine HDD (M2 SSD) von einem HP NB mit aktiven TPM in kombi mit Bitlocker komplett verschlüsselt.
Es gibt nur diese M2 SSD mit Win10 Pro darauf in diesem NB.Bezeichner und Wiederherstellungsschlüssel auf Stick gespeichert.
Problem 1
Dann habe ich die M2 SSD ausgebaut und wollte sie als USB Platte an einem anderen PC testweise mappen bzw. entschlüsseln. Bezeichner ID stimmte mit dem auf dem Stick überein.
Fehlermeldung: Das Laufwerk kann mit dem Schlüssel nicht entsperrt werden. Hab es händisch eingegeben, copy and paste, beides geht nicht.
Wieso? TPM Chip?
Problem 2
M2 SSD wieder eingebaut, von Win10 DVD gebootet. Wollte testen ob man auf die Platte kommt über die Systemweiderherstellung --> CMD oder den Trick mit Utilman.exe am Anmeldebildschirm.
Hab den Wiederstellungsschlüssel erneut eingegeben und es ging wieder nicht, Bezeichner ID stimmte ebenfalls...
Fehlermeldung : Das entsperren mit diesen Wiederherstellungschlüssel ist nicht möglich.
manage-bde -protectors c: -get Spuckt auch den 6x8 Wiederherstellungskey aus sowie die Bezeichner ID
Was mache ich falsch?
VG
Xris
-
Ja, die Meldung kommt am Tag ca. 15 mal
-
Hallo,
leider war ich jetzt länger Krank. Hab jetzt mal den IIS geprüft, leider ohne einen Hinweis zu dem Ereignis. Wir sind zu 2, also recht übersichtlich was wer irgenwo macht.
Leider sind wir ratlos warum uns MonitorMagic dauernd die Mail sendet mit dem Event.
VG
-
Der Dom Admin sind wir!! Der User benötigt kein Mobile Device :-)
Ne im ernst, da gibt es keinen User der sonst in Frage kommt.....
Der User ist ja der Domadmin selber.....
-
Hallo Zusammen,
ich bekomme in letzter Zeit mehrfach am Tag diese Fehlermeldung:
Event description: Exchange ActiveSync doesn't have sufficient permissions to create the "CN=***Domain-Admin",CN=Users,DC=***,DC=***,DC=de" container under Active Directory user "Fehler bei Active Directory-Vorgang mit ***Server***. Bei diesem Fehler ist kein Wiederholungsversuch möglich. Zusätzliche Informationen: Zugriff verweigert.
Active Directory-Antwort: 00000005: SecErr: DSID-03152612, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 ".
Make sure the user has inherited permission granted to domain\Exchange Servers to allow List, Create child, Delete child of object type "msExchangeActiveSyncDevices" and doesn't have any deny permissions that block such operations.
Ich habe schon herausgefunden das einen User die Rechte Exchange Server Rechte für Active Sync fehlen :
http://blog.nick.mackechnie.co.nz/post/2009/11/20/Exchange-2010-Active-Sync-Issue.aspx
Aber bei diesem User handelt es sich um den Dom Admin....der hat kein Mobile Device.
Hat jemand das auch schon so in der Form gehabt?
VG Homer
-
Habe es ja nur bei den PC und NBs getan...
-
Die Werte habe ich ja so eingetragen. 0xff.
Das Problem ist ja woher diese Adressen kommen, wenn kein DHCP läuft, und Sie deaktiv in der Netzwerkschnittstelle(n) sind. Technisch kein Problem, nur fragwürdig. Ich will halt damit erreichen das ein Client bevorzugt aus diesem Netz mit einer IPV4 Adresse antwortet.
Wireshark werde ich mal mitlaufen lassen, mit entsprechenden Capture Filter sollte ich evtl. fündig werden. Hätte ja sein können das einer die Erfahrung schon mal gemacht hatte....
-
Das sind keine Skurrilen Einträge....Microsoft empfiehlt es so. Wir benötigen keine IPV6 Adressen. Die Frage war ja auch woher diese kommen, wenn A: Kein DHCP Server diese verteilt und B: IPV6 sowieso deaktiv ist am Client
-
Hallo Zusammen,
Ich habe 2 Probleme.
1. Problem
Wir haben eine 2012 Domäne. Bestehend aus 4 Domänencontroller, jeweils 2012 R2.
DC1
DC2
DC4
DC6 in der Zweigstelle.
Auf allen läuft DNS.
Der Zweigstandort hat einen eigenen DHCP für Ihren Adressbereich.
In der Hauptstelle läuft ein DHCP Failover Team auch alles 2012 R2 Server.
Mir ist in letzter Zeit immer wieder aufgefallen das viele alte Einträge im DNS drin sind. Also hab ich heute die Alterung/bzw. Aufräumvorgange wie in faq-o-matic beschrieben eingestellt.
https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/
Konfig DNS:
alles AD integrierte Zonen
Dynamische Updates : Nicht sichere und sichere
FSMO Chef DC2 (Nur er soll aufräumen)
dnscmd:
dnscmd dc2.test.de /zoneresetscavengeservers test.de 192.168.1.201
dnscmd dc2.test.de /config /defaultnorefreshinterval 0x78
dnscmd dc2.test.de /config /defaultrefreshinterval 0x78
dnscmd dc2.test.de /config /scavenginginterval 0x78
5 Tage = 0x78
Beim DHCP (alle Server) sind 8 Tage Lease eingestellt. Sollte ich besser die dnscmd config auf 8 Tage setzen?
Es gibt ja 3 Stellen zum aktivieren der Aufräumvorgange:, diese habe ich dann bewusst ausgelassen, da ja via dnscmd alles eingestellt wurde. (Richtig oder?)
1 Stelle --> Rechtsklick auf Server->Alterungsvorgänge/Aufräum....
2.Stelle--> Rechtklick auf Server-->Eigenschaften--->Erweitert-->Aufräumvorgänge.... Automatisch aktivieren....
3. Stelle-->Rechtklick auf Zone -->Eigenschaften
Auszug aus der Konfig:
#################################################################
C:\>dnscmd /zoneinfo **********
Zonenabfrageergebnis:
Zoneninfo:
Zeiger = 0000006B*****
Zonenname = *********
Zonentyp = 1
Heruntergefahren = 0
Angehalten = 0
Aktualisierung = 1
In Verzeichnisdienst integriert = 1
Schreibgeschützte Zone = 0
in Verzeichnisdienst-Ladewarteschlange = 0
Aktueller Verzeichnisdienst-Ladevorgang = 0
Datendatei = (null)
Verwenden von WINS = 0
Verwenden von NBSTAT = 0
Alterung = 1
Aktualisierungsintervall = 120
Keine Aktualisierung = 120
Aufräumvorgang verfügbar = 3638530
Zonenmaster NULL-IP-Array.
Sekundärelemente in Zone NULL-IP-Array.
sichere Sekunden = 3
Verzeichnispartition = AD-Domain Flags 00000015
Zonen-DN = DC=*******+,cn=MicrosoftDNS,DC=DomainDnsZon
es,DC=***,DC=***,DC=*** Scavenge-ServerZeiger = 0000006B697FD700
MaxCount = 1
AddrCount = 1
Server[0] => af=2, salen=16, [sub=0, flag=00000000] p=13568, add
r=********Der Befehl wurde erfolgreich ausgeführt.
#########################################################################
Wenn ich dnscmd konfiguriere sind dann alle Optionen aktiv bzw konfiguriert, auf allen DNS Servern?
2. Problem
Im DNS tauchen immer wieder IPV6 Adressen der Clients der Zweigstelle auf. IPV6 wird nicht vom DHCP in der Zweigstelle verteilt. IPV6 ist auch deaktiviert bei den Clients Vorort.
Ich habe auch schon in der Registry folgendes gemacht:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP6\Parameters
DWORD -> DisableComponents Wert 0x11 oder FF gesetzt. Keine Abhilfe. Beim Löschen des Clients aus DNS und erneuten Registerdns, tauscht er wieder im DNS mit IPV4 und 6 auf.
Was kann das noch sein?
VG
HOMER
-
Hallo Leuz,
sorry für die "sehr" späte Antwort meinerseits. Ich war bis jetzt im Urlaub. War auch bitter nötig...:-)
Also der Exchange läuft seit der anpassung der CPU ( 2 Socket a 4) und RAM (24GB) deutlich besser. Nein, eher viel besser. Das Browsen in den eingebunden Postfächern läuft viel flüssiger. Warum der jetzt aber soviel Ressourcen benötigt ist schon komisch.
Naja, ist ja ausreichend Kapazität vorhanden. Funktion ist meiner Meinung nach "fast" wichtiger als alles zu hinterfragen...aber halt nur fast.
Ich wünsche allen hier im Board trotzdem verspätet ein gutes, stressfreies und gesundes Jahr 2016!!
VG
Homer
Altes selbstsigniertes Zertifikat
in MS Exchange Forum
Geschrieben · bearbeitet von Homer1976
Guten Morgen,
nachdem ich gestern mit AD Explorer nach alten verwaisten Einträgen erfolglos gesucht habe. Hab ich mal den Alias im DNS gelöscht. Outlook ging dann für einige Minuten nicht. Es konnte auch kein jungfreuliches Outlook Profil erstellt werden. Ich dacht das kann nicht sein. Ich wartete und habe einfach ausgesessen. Mir war bewusst das bestimmt gleich einige User anrufen. Aber ich hatte dann mit meiner Geduld Glück.
Nach ca. 15 Minuten hat sich dann Outlook gefangen. Nun lies sich auch das neue Profil einrichten.
Ich habe das mit dem Alias gemacht, weil wird es damals mit dem alten 2007ner Exchange auch so gemacht hatten. Da kam es nicht zu den Problemen.
Liegt es vermutlich daran das Ex2007 noch mit RPC gewerkelt hatte?
Auf jedenfall Danke an euch
PS: Nice Cap @ cj_berlin!
grüß mir die Else