PowerShellAdmin

Hallo Opossum 1. Firewall in Windows anschalten, Port TCP Port 443 freigeben 2. Würde in der Firewall den Port 443 nur auf die IP Adresse des Exchanges freigeben Wie bereits Testperson sagt, dein IIS läuft auf der URL und du erhälst die Webapp per /Owa also mail.domain.tld/owa z.B. viel Erfolg... Grüße Admin

OT: Windows 8 Server im Core oder minimum Gui installieren (da fällt der IE weg) ;P PS: Man kann natürlich auch die Datei IEExplorer.exe anpassen - z.B. Berechtigungen sperren - soweit die kein lokaler Admin sind. PPS: Kenne das nur anders rum: Kunden haben noch IE6 im Einsatz und kriegen keine Updateausrollung hin. Achja ... einige MS Dienste von Microsoft funktionieren nur im IE (z.B. CRM) oder nur bedingt im Firefox & co(SharePoint usw).

Also ich sichere mittlerweile Mo-So, habe den Task angepasst. Zusätzlich sichern wir nächtlich sämtliche produktive VMs vom ESXi per 3rd Anbieter Software. Warum sichere ich die Exchangeserver zusätzlich täglich ? Weil die Exchangedatenbank sehr empfindlich ist und leicht beschädigt werden kann. Derzeit habe ich keine USV (...nicht meine Entscheidung...) Im Wiederherstellungsfall würde ich a) die VM restoren und bei Problemen 1. alle Exchangedienste stoppen 2. Datenbank Ordner wiederherstellen (inkl. Logs) 3. Exchange Dienste starten So dachte ich mir das Jedenfalls.. bin mir bei den vorgehen aber nicht ganz sicher.... Ohne VSSFull werden die Transaktionsprotokolle der Datenbank nicht bei der Sicherung entfernt. Das führt dazu, dass dein Exchangeserver im laufe der Zeit zugemüllt wird. PS: Exchange Server sehe ich als empfindlichstes System... Daher sicher ich das lieber ein wenig mehr, als zu wenig. Grüße Admin

Also ich hatte per ps verschiedene Schleifen und adsi Aufrufe, nach dem ich die Ad-Attribute nativ per Ps ausgelesen hatte war das ganze Faktor 30 schneller ( bei 2000usern). Generell sind die Cmdlets von der Performance sehr angenehm. ich setze nicht mehr auf Batchs- die Signierung ist ebenfalls einweiterer Vorteil in grossen Firmen und bietet mehr Sicherheit. So ganz vergleichen kann man es nicht, da die ps ein Admin Werkzeug ist und man vieles per Batch so nur umständlich oder nicht kann. Grüße Admin

Sollte so funktionieren- sieht soweit richtig aus.Einfach eintragen lassen und im Anschluss pruefen. Grüße Admin

1. Frage: Ist die IP 80.123.45.67 die ausgehende IP Adresse für SMTP? Kann sein, muss aber nicht. Normalerweise ist die ausgehende IP Adresse die offentliche IP des Routers, außer du hast Portforwarding für die eingehenden Emails, dann kann diese natürlich auch den MX Records entsprechen.. 2. Frage: Der FQDN Name ergibt sich meistens aus a) PCName z.B. Exchange und der öffentlichen Maildomäne. Ihr habt 2 Maildomänen, trotzdem verschickt er das natürlich nur über einen Sendeconnector und damit über eine der Maildomänen. Welche kannst du ja auswählen, die andere(n) Maildomäne(n) nutzt den selben Connector. Beispiel: Ich habe den Host namens "Exchange", dieser ist für 2 Maildomänen im Versand notwendig. Der FQDN ist dann Exchange.maildomäne1.tld. Diesen trage ich wie folgt ein 1) Im Exchange Management setze ich beim Sendeconnector den FQDN und füge den Namen ein 2) Bei dem Anbieter meines Internetanschlusses lege ich einen neuen rDNS Eintrag auf diesen Namen an und füge dazu die ausgehende IP Adresse des Exchange Servers-Hier habe ich die öffentliche IP meines Routers eingetragen 3) Im Anschluss teste ich per MXTools meine rDNS Einträge und schaue ob es ok ist. PS: Ich hoffe das war verständlich und verwirrt jetzt nicht nur noch mehr :( Ist nicht mehr ganz so früh :) Grüße Admin

hier sollte der FQDN Name rein, der nach außen sichtbar ist. Also hostname.maildomain.tld im Regelfall, ebenfalls sollte im Versendeconnector des Exchangeservers dieser Name als FQDN stehen. Im Anschluss kannst du das Ganze z.B. hier testen: MX Lookup Tool - Check your DNS MX Records online - MxToolbox Grüße Admin PS: Bei falschen rDNS Einträgen landest du auf Blacklists oder der Mailserver des Empfängers lehnt dich vorweg ab.

Der Account hat eine primäre SMTP Adresse und über diese kannst du auch versenden. Sobald du über die 2. Emailadresse nicht nur empfangen, sondern auch versenden möchtest, musst du das ändern. Für die 2. Emailadresse MUSST du dir einen 2. Account anlegen und dort die Emailadresse als primäre SMTP hinzufügen. Nun musst du auf der 2. Emailadresse Vollzugriff auf das Postfach, sowie die "Senden als" Berechtigungen für den 1. Account setzen. Im Anschluss kannst du unter dem 1. Benutzer das Postfach von Benutzer 2 anbinden und auch Emails über die Option "Von" verschicken. 1 Account = 1 Absenderadresse und X Empfangsadressen. Grüße Admin

Also intern sollte Outlook funktionieren. Hier sollte schlimmstenfalls eine Zertifikatswarnung aufpopen. Du sagst du kannst Outlook nicht mehr mit Exchange verbinden, was hast du denn gemacht ? Hast du in der OWA die interne URL auch auf den FQDN des HOstnames gesetzt - also host.internedomain.tld ? Unabhängig davon, Outlook muss und sollte intern gehen.

hi Opossum, nur kurz zur Trennung: Intern geht Outlook, aber extern nicht ? Ich gehe davon aus, dass du dich von außen 1. Per OWA anmelden möchtest 2. Per Outlook 2007/2010 anmelden willst (Outlookanywhere - ehemals RPC) @Zertifikat: Owa wird nur meckern, aber sollte auch mit falschen Zertifikaten gehen Outlookanywhere klappt dann aber nicht, soweit das Zertifikat nicht gültig ist am Client (wenn ich mich richtig erinnere). Hier würde ich a) Stammzertifizierungstelle einrichten und das Zertifikat in der Firma signieren. Im Anschluss das Zertifizierungsstellenzeritifkat am Client in den vertrauenswürdigen Zertifikatsstellenspeicher verschieben oder b) Ein SAN/UCC Zertifikat kaufen. Bzgl. Zertifikate sollte man sich sauber einarbeiten, nicht dass eins am Ende fehlt ;). Wenn du eine Domäne hast sollten zumindest folgende drinne sein (womöglich mehr) -Autodiscover.domain.tld -Owa.domain.tld -host.internedomain.tld (für outlook)

Fand den Taskplaner von Windowssicherung nicht so toll, daher habe ich das Ganze anderweitig gelöst. Die Batchdatei sieht so aus und wird mit per Windowsaufgabenplanung in 3 Tasks jeweils mit dem Paramter Montag, Mittwoch oder Freitag aufgerufen rem @ECHO OFF wbadmin start backup -backuptarget:\\host\freigabe\%1 -include:c:,d: -vssFull -quiet include:c:,d: definiert die zu sicherenden Laufwerke. Innerhalb der Freigabe gibt es den Ordner Montag, Mittwoch & Freitag. Nach diesem Schema würde ich auch die Sicherung erstellen und bei Bedarf anpassen. Grüße Admin :)

Moin Opossum, freut mich dass es funktioniert hat. Bzgl. Webapp- im einfachsten Fall sollte das etwa so funktionieren: -feste IP am CAS-Inhaber eintragen, oder per Port-Forwarding auf dem Router (Port 443) -https Port 443 auf Windows-Server und Firewall freigeben -Bei 1und1 eine Subdomain anlegen z.B. owa.domain.tld (Unter den DNS Record dort den A-Eintrag auf die RouterIP oder die eigene öffentliche IP des CAS Servers festlegen. -Im Exchange-Management auf Serverkonfiguration->Clientzugriff: Hier unten auf die Eigenschaften der OWA. Wichtig: Externe URL => https://owa.domain.tld Bei Authentifizierung würde ich den Punkt "Formularbasierte Authentifizierungverwenden" und dort die Option "nur Benutzername". Dafür musst du noch die default Anmeldedomäne auswählen. Alternative kannst du natürlich auch Domäne\Benutzername für die Anmeldung nutzen... -Zertifikat per Exchange-Managementkonsole den IIS Diensten zuweisen: (Serverkonfiguration) Dort dein Zertifikat auswählen und entsprechend konfigurieren. Man benötigt hier ein SAN-Zertifkat, damit man mehrere Domännamen abdecken kann... Dieses kannst du per PKI ausstellen oder halt selbstgenerieren. Möchtest du langfristig keine Zertifikatswarnungen, dann kannst du dir auch ein Zertifikat kaufen ~250€/Jahr. Hier solltem an aber erstmal die Zertifikatsanforderungen & Domains in Ruhe sammeln. Empfehle dir von Markt und Technik "Exchange Server 2010 Kompendium" - Dort gibt es dir SP2 Revision ab 17.4., ich habe die SP1 noch und es hat mir in sehr vielen Punkten weitergeholfen... Meist umfangreicher als Google & Co ;) http://www.amazon.de/Exchange-Server-2010-SP2-Installation/dp/3827247667 Man sollte sich nicht durch den Umfang abschrecken lassen. viele Grüße Admin

Win 8 Server Core Beta heute installiert -etwas ungewohnt und gleich den IIS eingerichtet, Firewall Regeln erstellt etc und dem gleich den finalen SQL Server 2012 im Coremodus installiert. Echt ne feine Sache, des Weiteren kann man einfach per PowerShell in die GUI zurückwechseln - man muss wohl nur den Speicherpfad für die GUI angeben. Gerade bei virtuellen Strukturen kann man so nochmal mehr Ram und Festplattenspeicher sparen ;) Denke im Windows Serverbereich wird sich damit eine GUI freie Oberfläsche durchsetzen. Wäre echt interessant dann langfristig die IT so umzustellen. Gerade im Bereich PowerShell 3 sollte das richtig nett werden, bin leider noch am Anfang - habe kaum was gemacht. Jetzt will ich erstmal nen IIS und noch ne Webanwendung einrichten... Wenn das läuft wäre das Super. PS: Musste dafür nen Entwicklungs ESXi auf Vsphere 5Patch2 Update - hat sich aber gelohnt. PPS: Wir nutzen VMWare VSphere obwohl wir HyperV Lizenzen haben^^ (Partnerschaft). Da wir nur 3 große ESXi hobel haben, ist es ja auch nur eine kleine Ausgabe... (Der große Server hat 2x6Core CPU, 96GB Ram, 8xRaid1 SAS).... Aufgrund des Essential Bundles ist das super - ansonsten wäre das auch viel zu teuer ;)

Desweiteren lagert man so wesentlich Skriptbestandteile aus - wird so je nach Skriptumfang immer unübersichtlicher. Ich führe den Import generell am Anfang durch (gehört mitm CLS in die Kopfzeile) - so kann man den Import auch gleich auf Fehler überprüfen - z.B. mit $Error.

Du brauchst device cals!

edit: Mit Device Cals sollte es doch gehen, es sind doch schließlich 75 Device oder 75User erlaubt "it cannot be installed outside of a network that has a domain controller and fewer than 75 PCs and/or users." Quelle:http://en.wikipedia.org/wiki/Windows_Small_Business_Server#Editions PS: 75 User heißt 75 natürliche Personen und nicht 75 Accounts. So kann ein Mitarbeiter auch n Accounts haben. Es zählt hier die Anzahl der Mitarbeiter, welche am System arbeiten/zugriff haben und nicht die der erstellten Accounts. 1 Account an dem 10 Mitarbeiter arbeiten => 10 User Cals...

Alternative: Per Registrierung die Einstellungen setzen und per GPO verteilen. Dort die notwendige Regkeys hinzufügen - hatte das mal vor einer Weile ging wunderbar. So sollte man den Key erstellen koennen REG.EXE ADD HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\MOUNTPOINTS2\##Servername#Freigabename$ /V _LabelFromReg /D "Netzlaufwerktext" /F

hm mein Verdacht wäre ja bei a) - da hier auf "minimum" verwiesen wird. Eine Farm definiert sich durch einen Zusammenschluss von verschiedenen Systemen. Daher auf mehr als ein System werden die SharePointdienste verteilt. So sollten 2 Systemen die Mindestanforderungen sein. Das missverständliche, auch ein SharePointserver gilt als eigene Farm (; aber nungut.... das mal beiseite. Je nach Umgebungsgröße kann da B) C) oder D) Empfehlenswert sein. z.B. 1*ContentDB 1*Frontend 1* OfficeWebapps 1*SharePoint Reporting Server 1*Suchserver usw.

Also ich arbeite in PS gerne mit einer Funktion, diese hat mehrere Switchblöcke und im Anschluss kommt eine weitere IF-Abfrage, welche wieder mehrere Switchblöcke hat. Obere teil beinhaltet die Aufgabe - die Funktion wird z.B. mit einem Integer aufgerufen. Jeder Integer steht für eine Aufgabe, im Anschluss wird über die IF-Abfrage die Fehlervariable überprüft z.B. if($Error[0] -ne $null) sollte also was drinne stehen wird die nächste Switch aufgerufen, hier wird je nach Funktion angegeben wo der Fehler stattfand und zusätzlich der Fehlercode aus der $error. Im Abschluss wird eine Email verschickt und der Skript per Exit beendet. Klingt jetzt alles vielleicht kompliziert, aber da ich mich eher als Leihe sehe finde ich es strukturell sehr nützlich, dazu bekommt man so die Möglichkeit auf jeden Fehler gesondert zu reagieren. Das kann Try/Catch oder Trap halt nicht :) Weiß nicht ob das best Praxis ist, aber für alle umfangreicheren Skripte finde ich etwas vergleichbares als ein "must have". Grüße Hier mal das grobe Gerüst, kann man sich je nach Bedarf anpassen. Hinweis: Timestamp ist eine Funktion die einen SQL Timestamp erzeugt Sendmail ist eine Funktion die eMails abschickt $errorlog enthält den Pfad für die Logdatei function Aufruf ($i) { switch ($i) { #1. Task 1 { #Hier ist der auszuführende Code #Fehlermessage $script:error_message=$error[0] break } #2. Task 2 { #Hier ist der auszuführende Code #Fehlermessage $script:error_message=$error[0] break } } #Fehlerbearbeitung wird ausgeführt if($Error[0] -ne $null) { $timestamp=timestamp #Hinweis dies ruft den Zeitstempel auf, eigene Funktion #Fehleraktionen switch($i) { #1. Task 1 { #erzeugt Fehlerbeschreibung $error_message=$timestamp+"Fehlermeldung ...."+$error_message #Schreibt Fehler in ein Log $error_message>>$error_log break } #Fehleraktion Blobbackup 2 { #erzeugt Fehlerbeschreibung $error_message=$timestamp+"Fehlermeldung...."+$error_message #Schreibt Fehler in ein Log $error_message>>$error_log break } } #Fehler Email wird versandt sendmail #emailfunktion wird aufgerufen #Sicherungsskript wird beendet, da Fehler exit } } #Task 1 wird aufgerufen function (1) #Task 2 wird aufgerufen function (2)

1. würde Autodiscover einrichten-feine Sache verteilt deine Einstellungen automatisch 2. würde Outlookanywhere einrichten!!! siehe Punkt 3. 3. Ipad/Iphone arbeiten über Exchange Active Sync, Outlook über RPD -> Outlook Anywhere 4. SAN/UCC Zertifikat kaufen (hier alle Domains wie Autodiscover usw abdecken) Grüße ;)

also ich setze auch Exchange mit 1und1 ein und habe keine Probleme. -MX Record eingerichtet auf eine Subdomain (Backup MXRecords aus) -Subdomain hat die öffentliche IP des Exchangeservers -Firewall Port 25 am Router zu öffentlichen IP freigegeben (Falls man direkt vom Router weiterreicht, dann halt noch Portforwarding) -Win 2008R2 Firewall Port 25 freigegeben -Empfangsconnector entsprechend konfiguriert. -Der Empfangsconnector für 1und1 hat den fqdn nach außen eingetragen also host.domain.tld. -IP Adresse für den lokalen Empfangsconnector: öffentliche IP Port 25 -Der Empfangsconnector hat 0.0.0.0.0 - 255.255.255.255 als erlaubte Remoteserver -Authentifizierung TLS -Berechtigungsgruppen Anonyme Benutzer => 1. Sahne

mein Fehler... und es steht sogar richtig drinne ....

Nehme auch an, dass es ein Problem von der Weiterleitung ist. Habe hier an 1. und 2. er Stelle die öffentlichen DNS Server von Google (8.8.8.8, 4.4.4.4).

Also ich habe nach dem Zertifikatsärger ein SAN/UCC (UCC ist für Mobilgeräte wichtig) Zertifikat gekauft. Spart einen ne Menge ärger und stress ~Kosten je nach Domainanzahl ~250€ +. Habe das Zertifikat übrigens hier gekauft (Hoffe das ist erlaubt) http://www.psw-group.de/ssl-zertifikate/ssl-shop.html?tx_dsssl_pi1%5Bprod%5D=31 Achja man sollte vorher natürlich alle SANs sammeln. Bei der Maildomäne mail.tld gibt es schließlich noch autodiscover.mail.tld, womöglich auch owa.mail.tld, usw.

Hi Robert, hoffe das klärt nun die Situation :) -> funktioniert nicht per Lan von zuhause beim MA. ->funktioniert womöglich auch nicht immer per UMTS (bei mir ging es, laut MA ging es zuvor nicht) ->per Lan & VPN von zuhause funktioniert es.