Ebenezer

ok, aber in meinem Fall müsste ich dann die Vererbung für 245 Gruppe unterbrechen nur weil es 5 Ausnahmen gibt. Arbeite ich mit deny-Rechte muss ich nur 5 Grupppen ändern. Was ist so schlimm an deny-Rechten?

Danke. So wie Du das beschrieben hast, habe ich es auch schon öfter gemacht. Aber in diesem Fall ist das einfach nicht praktikabel, weil ich ca. 250 Projekte habe aber nur 5 Ausnahmen.

Hallo, Ausgangssituation: Es gibt eine Freigabe Projekte mit div. Unterordnern, jeder Ordner stellvertretend für ein Projekt. Bisher hatten alle MA Zugriff auf alle Projekte, es gab also nur eine AD-Gruppe. Nun soll es Ausnahmen geben, also einige wenige Nutzer die nur einige wenige Ordner sehen sollen. Ich kenne folgende Ansätze: 1. Vererbung ausschalten und die Rechte individuell vergeben (ich würde dann von oben mit Deny-Rechten arbeiten, und die Vererbung nur bei den wenigen Ausnahmen unterbrechen). 2. Projektordner separat freigeben Ich tendiere zur ersten Variante, auch weil man es im AD ganz gut dokumentieren kann und es dann bei einer Freigabe bleibt. Mittels ABE sind nur die relevanten Ordner sichtbar. Wie habt Ihr sowas bisher gelöst bzw. wie wäre im konkreten Beispiel Eure herangehensweise? Danke. Nico

Hallo, ich habe hier eine Firma (Exchange 2010 / Versand via Smarthost beim Provider) wo seit ca. Mitte Juni einige E-Mails an nicht-deutsche Empfänger teilweise nicht mehr ankommen: 554 rejected due to spam content Wir haben die Ursache auf einen Teil der Signatur reduzieren können, in dem sich aber nur Plain-Text Inhalte befinden. Lässt man diesen Teil der Signatur weg, dann geht die E-Mail durch. Die Signatur wurde nicht verändert und enthält keine Links. Kontakt zu den Admins der Empfänger aufzunehmen ist leider nicht möglich. Fällt dazu Jemanden etwas Kluges ein? Danke! Nico

Danke. Ich habe das erfolgreich von extern via Outlook testen können.

Hi, eine externe Anwendung soll mit einer Exchange 2010 Adresse versenden (wohlgemerkt nur das und nicht mehr). Nun möchte ich nicht das Kennwort des verknüpften AD-Kontos herausgeben. Wie würdet Ihr das lösen? Kann man ein separates Konto + Postfach anlegen welches Senden-Als Rechte für die besagte Adresse besitzt und damit eine SMTP-Authentifizierung realisieren? Danke, Nico

Danke. Wenn ich einen root-server (z.B. mit Windows Server 2012 R2) miete, kann ich mir dann einfach die fehlenden Lizenzen (RDS-CALs, Office Standard) per Open License beim Distributor meines Vertrauens dazu kaufen? Ist das MS-konform?

Hi, ich suche Cloud-Anbieter für Remote Desktop Services inkl. Office. Ich kenne nur QualityHosting. AD bzw. eine Domain ist nicht erforderlich.. Hat Jemand Erfahrung mit anderen Anbietern? Ich brauche Vollzugriff per RDP um beliebige Software installieren zu können. Danke + Grüße, Nico

Hat doch noch funktioniert. Ich bin wie folgt vorgegangen: set devmgr_show_details=1set devmgr_show_nonpresent_devices=1start devmgmt.msc Dann wurde die alte NIC angezeigt -> deinstalliert -> IIS neugestartet -> ohne Erfolg -> Server neugestartet -> WSUS-Seite startet wieder. Danke!!!

Danke für den Tip, leider wird die alte Lan-Karte (Intel Pro/1000) im Geräte-Manager nicht angezeigt ...

Hallo, der SBS läuft unter VMware ESXi 5.5 und ich musste den NIC-Treiber ändern (E1000 -> VMXNET3). Seitdem startet die Website WSUS-Verwaltung nicht mehr: Der zugrunde liegende Transport für [::]:8530 kann nicht gebunden werden. Möglicherweise enthält die Liste nur zum Abhören von IP einen Verweis auf eine Schnittstelle, die gegebenenfalls auf diesem Computer nicht vorhanden ist. Auf Port 8530 läuft aber nix! Das habe ich mittels netstat -aon | find ":8530" überprüft. Ändere ich den Port dann startet auch die Seite auch (über die MMC kann ich mich dann aber trotzdem nicht verbinden, aber das mag noch an anderen Dingen liegen). Also irgendwo muss noch die alte Netzwerkkarten referenziert sein, aber wo? Danke + Grüße, Nico

Leider hat der Neustarts nicht gebracht. Die Warnung erscheint weiterhin. Das was mir der Verbindungsstatus anzeigt lässt mich vermute, dass es etwas mit dem Öffentlichen Ordner zu tun hat. Wie kann ich denn herausfinden welcher Server sich hinter der angezeigten GUID verbirgt? Also dank http://www.zerohoursleep.com/2013/02/manual-outlook-configuration-with-exchange-2013/ weiß ich nun, dass die angezeigte GUID nicht server- sondern mailbox-spezifisch ist. Das klärt dann auch warum beim Öffentlichen Ordner etwas anderes steht. Aber warum "verbindet" sich Outlook noch mit dem alten Exchange .... hmm der ist auch gleichzeitig noch DC ... es gibt aber schon einen neuen DC und der ist auch DNS und bei den Clients als primärer eingetragen ... %logonserver% am Client zeigt jedoch den alten DC+Exchange ... kann das daran liegen oder hat das damit gar nichts zu tun? Danke, Nico

Ich dachte ein SRV-Record hat den Vorteil das im Gegensatz zu einem CNAME oder A-Record Autodiscover auch bei nicht Domänen-Mitgliedern funktioniert?! Ich habe den Autodiscover-Eintrag des alten Servers gelöscht ... die Fehlermeldung erscheint aber weiterhin ... ich starte heute Abend den Exchange neu, dann berichte ich morgen ob das geholfen hat. Danke, Nico

Hallo, 1x Exchange 2010 (Zertifikat von interner CA) wird durch Exchange 2013 (Öffentliches Zertifikat / Split-DNS) ersetzt. Die Postfächer sind verschoben und die Öffentlichen Ordner migriert, der Neue ist veröffentlicht und empfängt und sendet. Alle virtuellen Verzeichnisse den Neuen sind auf den externen FQDN umgestellt. E-Mail Autokonfiguration sieht gut aus. Exchange 2010 ist noch installiert. Nun ist vor ein paar Tagen das Zertifikat des alten Exchange abgelaufen und prompt erhält man beim Outlook 2013-Start eine Warnmeldung. Der Outlookverbindungs-Status zeigt mir für Exchange Verzeichnis und E-Mail die GUID des neuen Servers an, nur bei Öffentliche Exchange Ordner steht eine andere GUID, muss ja dann die vom 2010er sein, oder? Bei Version steht jedoch auch beim PF 15.0.1076.4000. Für beide Exchange-Server existieren im DNS noch SRV-Records für _autodiscover mit der gleichen Gewichtung. Kann das der Grund für die Warnung sein, kann ich den alten Eintrag löschen? Danke! Nico

Hallo, ich habe bisher immer für die Veröffentlichung neben dem primären Domain-Namen folgende als SANs ins Zertifikat geschrieben: 1. autodiscover.domain.de 2. netbios-servername.local 3. fqdn-servername.local Das ganze habe ich über eine interne MS CA ausgestellt. Nun bin ich dank des Forums auf folgendes SSl-Zertifikat gestoßen: https://www.psw-group.de/ssl-zertifikate/detail/c44-geotrust-quickssl-premium/ (1 Domain mit maximal 3 Subdomains) Interne Namen können aber nicht eingetragen werden, aber man könnte doch im AD-DNS den externen FQDN mit der lokalen IP-Adresse auflösen lassen, dann dürfte es doch auch intern keine Warnmeldungen geben, oder? Gibt es da keine Probleme? Danke! Nico

Ein SAN-Zertifikat für 99 EUR für 3 Jahre? Wer bietet das denn an?

Vielen Dank. Den MS-Artikel habe ich vorher schon gefunden. Mir scheint das für diese Umgebung nur unnötiger Aufwand zu sein, die CA zu migrieren, geht es doch nur um ein Exchange Zertifikat. Wenn ich das richtig gelesen habe, dürfte sich ja auch der Servername nicht ändern...also werde ich wohl eine zweite CA installieren und deinstalliere die CA vom SBS zum Abschluss der Migration. Nochmals danke für die schnellen Antworten! Nico

Hallo, ich stelle gerade eine Domain mit einem SBS 2011, auf dem auch eine Zertifizierungsstelle installiert ist, auf mehrere virtuelle Server (alle 2012 R2) mit u.a. Exchange 2013 um. Kann ich, bevor ich den SBS abschalte, auf einen der neuen Windows Server (DC) eine weitere CA installieren und hierüber schon mal die für Exchange notwendige Zertifikate erstellen? Darf es pro Domain mehrere CAs geben? Sollte man die CA im Zuge der Abschaltung vom SBS zuvor deinstallierenl? Vielen Dank! Nico

Hallo, uns steht via VLSC Exchange 2013 SP1 (CU4) als Download (ca. 4,5 GB) zur Verfügung. Ist der Open Product Key auch mit dieser Version kompatibel: http://www.microsoft.com/de-DE/download/details.aspx?id=46373 ? Das ist ja gleich CU8 und der Download ist wesentlich kompakter. Danke + Grüße, Nico

Hi, Exchange 2003 auf SBS, Outlook 2010 und unterschiedliche IOS-Devices mit Versionen 7.x - 8.x: Ein Nutzer hat zwei (freigegebene) Kalender wovon NUR der Hauptkalender (Postfach\Kalender) sich seit ein paar Tagen nicht mehr mit unterschiedlichen IOS-Devices synchronisiert (der Nutzer hat 2x iPhones und 1x iPad). Was ist schon probiert habe: IIS-Logs durchsucht -> keine Auffälligkeiten IOS-Devices neugestartet und Postfach neu hinzugefügt I-Cloud Konto entfernt Konto auf Android-Device hinzugefügt -> Synchronisation funktioniert für beide Kalender problemlos IIS neugestartet (Exchange-Dienste bzw. Server konnte ich noch nicht neu starten) Liegt nach Eurer Einschätzung ein Server- oder Client-Problem vor? Danke + Grüße, Nico

Hallo, ein Exchange 2010 ist über zwei Provider via Port 25 erreichbar. Als SMTP-Banner habe ich jetzt den DNS-Namen vom mx-record mit der höheren Priorität konfiguriert. Wenn dieser ausfallen sollte, dann stimmt der Banner ja nicht mehr der IP überein. Wie macht Ihr das? Gebt Ihr dem ersten und zweiten MX den gleichen DNS-Namen, geht das und macht das keine Probleme? Danke + Grüße, Nico

Also zum Szenario: Fritzbox (192.168.0.254 /24) Statische Route zum Zielnetz 192.168.1.0 über Gateway 192.168.0.1 Lancom-Router (Eth1 192.168.0.1/24, Eth2 192.168.1.1/24 Linux-VM mit OpenVPN-Server (192.168.1.10) Wohin muss Port 1194 (UDP) von der Fritzbox weitergeleitet werden? Danke, Nico

Router

Hallo, eine Fritzbox ist der erste Router in dem LAN hängt also direkt am Internet, dann gibt es intern noch einen zweiten Router hinter dem ein Linux-Server mit installiertem OpenVPN-Server steht. Nun habe ich auf der Fritzbox Port 1194 (UDP) an den Linux-Server weitergeleitet, klappt aber nicht. Muss ich auch auf dem zweiten Router auch ein Forwarding einrichten oder muss ich von vornherein von der Fritzbox an den zweiten Router und dann an den Linux-Server weiterleiten? Danke für Eure Hilfe. Grüße, Nico

Danke Nils, für Deine Antwort. Deinen Artikel hatte ich schon mal gelesen und jetzt erneut überflogen, dennoch verstehe ich das nicht, schließlich verhindert die UAC, dass man konsequent mit gruppenbasierten Berechtigungen arbeiten kann und das wiederum dürfte doch best practice sein. Jedes mal die Gruppenrichtlinie zu ändern, nur weil ich die lokalen Admins ändern muss, ist auch umständlich und lässt sich das nicht so gut dokumentieren. UAC deaktivieren will ich auch nicht, die ist doch eigentlich ganz sinnvoll. Grüße, Nico