PathFinder

Hallo Norbert danke für deine Antwort. Ich suche mir auch gerade schon die notwendigen GPOs raus, toll wäre quasi ein Default Outlook Profil, das mit dem Default User generiert wird, natürlich auf den aktuellen Benutzer gemünzt =) Mit dem Adressbuch meine ich einen öffentlichen Ordner bsp. "Kunden" der als Favorit gesetzt werden muss damit er unter Kontakte auftaucht, und für den das Outlook Adressbuch angehakt werden muss damit dessen Inhalt unter "AN" auftaucht. Dieses Adressbuch muss jetzt noch als Standard gesetzt werden sonst ist die GlobaleAdressliste der Standard. Ist alles nicht schlimm aber jenachdem wieviele Clients sehr lästig.

Hallo zusammen, ich stelle mir gerade folgende Frage: Wenn ein neuer Benutzer kommt und sein Exchange Postfach per Outlook verbunden wird sind immer ein paar Einstellungen notwendig. AutoArchivierung aus, KWs im Kalender anzeigen an, Öffentliche Kontakte zu Favoriten hinzufügen, Outlook Adressbuch für den Kontakteordner an, Kundenkontakteordner als Standard Adressbuch setzen, etc. Kann man sowas automatisieren? Wen ja, wie =) Kann man default Outlookprofile konfigurieren, wie beispielsweise der Default User für Windows Profile?

Hallo zusammen, ich würde gerne eine Verständnisfrage stellen, bzw. gerne wissen wie ihr das handhabt. wenn ich einen Benutzer im AD anlege und ihm einen Profilpfad zuweise möchte ich damit normalerweise zwei Dinge erreichen. 1. Sein Profil ist auf dem Server gesichert, dort wird es weiter gesichert (Platten, Bänder, etc) 2. Er kann sich an unterschiedlichen Arbeitsplätzen anmelden Wenn der AD Assistent den Profilordner anlegt hat der Administrator keinen Zugriff. Wie wirkt sich das auf NTBackups und Bandsicherungen aus? Wenn ich mit einem Programm wie beispielsweise TreeSize mal gucken möchte wie groß der gesamte Profilordner ist dann bekomme ich "Zugriff verweigert". Wen ich die Profilordner auf eine andere Platte umheben möchte, weil z.b. kein platz mehr da ist, kann ich das nicht ohne weiteres machen. Und viele solcher Probleme. Wenn man nur ein paar Benutzer hat kann man theoretisch die Ordner Übernehmen und dem Admin/Benutzer wieder Rechte geben. Das ist aber alles gebastel und bei vielen Benutzern nicht mehr praktikabel. Wie macht ihr das ? Edit: Ich glaube ich habe was sinnvolles gefunden, hab "falsch" gesucht. http://www.mcseboard.de/windows-server-forum-78/administrator-zugriff-profilordner-145573.html Macht ihr das dann auch so?

Hallo Lian, Danke für deine Antwort. Es ist keine Zusatzsoftware im Einsatz. Der Treiber ist der neuste von Toshiba und für Server 2008 (ohne R2) 64 Bit ausgelegt. Von einem speziellen Einsatz für den Terminal-Server Betrieb konnte ich nichts lesen. Ich vermute auch das es am Treiber liegt aber ich habe leider nicht viel Möglichkeit hier tätig zu werden. Bin für jede Idee dankbar.

Hallo zusammen, Wir haben eine Hauptzentrale an der ein 2k8R2 Standard steht der als Terminal-Server fungiert. Dort sind 3 Standorte angebunden, die VPNs sind Site-to-Site.(IPCOP) An jedem Standort steht ein Druckgerät größerer Natur(Kopierer). Die Drucker sind mit ihrer IP vom Hauptstandort aus direkt angebunden. Es wird eine Branchensoftware genutzt in der ich folgendes Phänomen habe. Ist eines der beiden älteren Modelle als Standarddrucker ausgewählt (Toshiba e-Studio 16) dann geht der Druck zügig über die Leitung. Ist aber am größten Standort das neue Gerät als Standarddrucker ausgewählt (e-Studio 282) dann hängt der Druck teils Minuten. Aber nur aus der Branchensoftware. Stelle ich den Standarddrucker auf einen der älteren Drucker um und drucke trotzdem auf den Neuen, läuft es wie geschmiert. Der Fehler tritt also nur auf wenn der neue Drucker auch den Standarddrucker-Haken an hat. Beobachten kann ich dann das die splwow64.exe 25% CPU Last verursacht und einen von 4 Kernen auf dem Server komplett auslastet. Ich weiß das ich hier wahrscheinlich nicht wirklich richtig bin und der Hersteller der Software verprach Recherche aber irgendwie vermute ich das ich mir wieder selber helfen muss. Hat von euch jemand sowas schonmal erlebt? danke fürs lesen, der Path.

super, danke

Hallo zusammen, wie müsste eine Empfängerrichtlinie aussehen, die email adressen mit erster Buchstabe des Vornamens und Nachname erstellt? Beispiel Max Mustermann mmustermann@firma.de mfg

Das ist natürlich interessant, damit würde ich "Platz" im Zertifikat sparen und vielleicht noch die Sharepoint Adresse mit aufnehmen können. Ich danke dir für deine Mühe und deine Erklärungen, ich denke ich werde es erstmal wie zuerst besprochen durchführen. Aber den Tipp werde ich nicht vergessen. liebe Grüße und besten Dank.

Das ich generell nur externe Adressen verwenden kann. Wenn ich die internen Adresssen aus dem Zertifikat lasse, dann bekomme ich beim starten von Outlook im LAN ja eine Zertifikat Fehlermeldung. Ich fragte mich ob ich das richtig verstanden habe, das wenn ich nur externe Adressen verwende, ich das neue Zertifikat auch auf den internen PCs installieren muss um die Outlook SSL Fehlermeldung zu vermeiden. Oder wie meintest du das?

Du meinst das ich exsrv.firma.local und autodiscover.firma.local aus der Anfrage raus lasse und nur externe Adressen verwende? bedeutet das das ich nur das Zertifikat auf dem Client intern installieren muss, da der Exchange Server sich ja folglich mit der externen Adresse ausweist?

Ich danke dir vielmals. Ich habe im DNS Manager unserer Domänenkonfiguration einen CNAME mit owa.firma.de eingerichtet Weiterleitung auf DynDNS also keinen Redirect somit ist die DynDNS Adresse nicht von belang. Aus der oben beschrieben Zertifikat Anforderung nehme ich DynDNS raus und nehme lieber noch den externen autodiscover mit rein. Das Zertfikat vervollständige ich auf dem Ex2010 und lege alle Dienste auf das neue Zertifikat. Das Zertfikat exportiere ich und lade es auf den TMG lokaler Computer-> Eigene Zertifikate. Dieses Zertfikat kann ich dann im Weblistener für OWA auswählen. Somit müsste die Verbindung über owa.firma.de über den TMG zum Exchange Server klappen?

Hallo Lukas, danke für deine Antwort. Das habe ich jetzt auch rausgelesen, das mir die Domäne nicht gehört ist in dem Zusammenhang klar, ich habe ja keinerlei Aktien in der Sache. Ich dachte nur das es vielleicht für diese Fälle eine Möglichkeit gäbe, aber gut alles klar! DynDNS for your own Domain Service. Ich bin nur auf die Idee gekommen weil ich an der Stelle wohl einfach ein Verständnisproblem habe. Wenn unsere owa.firma.de Adresse(CNAME DNS extern) auf eine DynDNS Adresse weitergeleitet wird, hat dann diese DynDNS Adresse einen Einfluss auf die SSL Kette? Wenn ich owa.firma.de auf eine feste IP weiterleite habe ich ja den Idealfall und kein Problem. Wenn ich owa.firma.de auf eine DynDNS Adresse weiterleite dann leitet diese ja erst auf eine IP. Oder ist die DynDNS Adresse dann transparent und es existieren nur owa.firma.de und die IP am Ende? Bekomm das gedanklich noch nicht ganz auf die Reihe und bin dankbar für Erhellung. der Path

Hallo zusammen, Ich möcht gerne eine UCC/SAN Zertfikat bei GoDaddy kaufen mit den folgenden Eigenschaften. Common Name = firma.de SAN1 = owa.firma.de SAN2 = firma.dyndns.org SAN3 = exsrv.firma.local SAN4 = autodiscover.firma.local Frage1: ist mit dem Common Name schon eines der 5 Möglichen Zertifikate belegt oder gilt die Anzahl nur für SANs? Sprich ich hätte noch einen zur verfügung? Frage2: Ist es möglich eine dyndns.org URL mit einzubeziehen? wenn ja wie =) Verstehe ich es richtig das die dyndns.org URL miteinbezogen werden muss wenn wir owa.firma.de über DynDNS an den Firmenrouter leiten? Feste IP bekommen wir leider an dem Standort nicht. Es leitet eine FritzBox an einen TMG Server weiter, von dort per Veröffentlichungsregel an den Exchange2010 inHouse. danke fürs lesen, der Path

Hallo zusammen, ich habe erfolgreich von meinem Arbeitsplatz aus eine Verbindung zu einem Kunden Server hergestellt in dem ich unsere Ausgehende Regel um PPTP Port 1723 erweitert habe. Pingen des Servers klappt. Verbindung per \\Server klappt auch. Ich hab der Ausgehenden Regel TerminalServer Port 3389 hinzugefügt. Aber RDP klappt nicht?? Muss ich sonst noch was beachtet? Nachtrag: Ich habe den ISA-Client installiert Das habe ich gefunden: If you use the firewall client you need to make sure the Packet Filters for the RDP port are opened: 3389. If you use the Secure Client then ISA already has the protocol definition for RDP. Wenn ich ihn abschalte dann klappt es! Wo finde ich den angesprochenen Packetfilter im TMG?

Du meinst mit selbst erstellten Zertifikaten wird das nix? Soll mir eins kaufen? Kannst du was empfehlen?

Das Zertifikat ist selbst ausgestellt. Ich hatte das ganze unter Exchange 2003 auch schonmal am laufen aber nur per USB Kabel. Ich habe mit dem Exchange 2010 Assistenten für die Zertifikate nochmal ein neues erstellt, der ActiveSync Name war ein interner FQDN, ich probiere es jetzt mal mit unserem externen owa.firma.de. Was mir helfen würde wäre wenn jemand so lieb ist mir den Weg in etwa zu skizzieren.

Hallo zusammen, Ich versuche ActiveSync für mein Windows Mobile 6.5 Telefon (HTC) bereitzustellen. wenn ich den Test von: https://www.testexchangeconnectivity.com durchlaufen lassen bekomme ich folgendes Erbeniss: ExRCA is testing Exchange ActiveSync. The Exchange ActiveSync test failed. Test Steps Attempting to resolve the host name owa.firma.de in DNS. Host successfully resolved Additional Details IP(s) returned: xxx.xxx.xxx.xxx Testing TCP Port 443 on host owa.firma.de to ensure it is listening and open. The port was opened successfully. ExRCA is testing the SSL certificate to make sure it's valid. The SSL certificate failed one or more certificate validation checks. Test Steps The certificate name is being validated. Successfully validated the certificate name Additional Details Found hostname owa.firma.de in Certificate Subject Common name Validating certificate trust for Windows Mobile Devices Certificate trust validation failed. Additional Details The certificate chain couldn't be built. You may be missing required intermediate certificates. For more information, see Microsoft Knowledge Base article KB 927465. Ich glaube die Entscheidende Information ist: "You may be missing required intermediate certificates" Damit müssen Zwischenzertifizierungsstellen gemeint sein? Ich weiß das der SSL-Zertifikat Weg vom Handy über alle Zwischenpunkte bis zum Exchange Server zu 100% stimmen muss. OWA funktioniert sauber. Habe ich auf dem PC mit dem ich Teste das entsprechende Zertifikat installiert bekomme ich keine SSL Fehlermeldung alles grün. Ich beginne mal von meinem Handy aus - Hier ist als persönliches Zertifikat mein Nutzer Zertifikat (Domäne) installiert - Als Zwischenzertifizierungsstelle ist das Zertifikat mit dem CN "owa.firma.de" installiert. - Als Stammzertifizierungsstelle ist unsere interne Firmen CA installiert Dann sucht sich das Handy über das Internet die Adresse owa.firma.de raus. Landet an unserer TMG Firewall. Dort ist ActiveSync konfiguriert mit einem Weblistener der auf SSL 443 lauscht und das Zertifikat mit owa.firma.de installiert hat (der Listener vom OWA) Dieser leitet dann per regel an exsrv.firma.local weiter auf 443 Auf dem Exchange Server habe ich per Assistent ein Zertifikat erstellen lassen das mehrere CNs enthält einmal exsrv.firma.local (sonst kommt intern bei Outlook die Zertifikatfehlermeldung da die CNs nicht übereinstimmen) und owa.firma.de Es ist wahrscheinlich schwer hier zu helfen da es ja noch viele Informationen mehr gibt die wichtig und notwendig sind. Kennt vielleicht jemand das Problem? Habe ich die Sache richtig verstanden und halte ich die Zertifikatkette so korrekt ein? Am Handy kommt immer die Fehlermeldung 0x8501004 Bin mir nicht sicher ob die nun die Zertifikate anmeckert oder ob es sonst noch irgendwo ein Problem gibt? Wobei der Test ja klar sagt das es ein Cert problem ist. Habe ich das mit der Zwischenzertifizierung richtig verstanden? muss dort das owa.firma.de Cert liegen? Interessant ist vielleicht noch das RPC over HTTP(OutlookAnywhere) einwandfrei funktioniert? Auch mit dem OWA Listener. Ich habe das hier bei MS gefunden: Missing Intermediate Certificates in Chain Also habe ich mal das owa.firma.de Zertifikat in die Zwischenzertifizierungstellen vom ISA und vom Exchange gepackt das hat aber auch nichts genutzt. Hilfe =) mfg der Path

Hallo, Wenn ein ISA Server hinter einer FRITZBox steht und sich zwischen den beiden ein WebServer befindet, ist es dann möglich eine einkommende HTTP Anfrage vom ISA an den Webserver weiter zugeben? Port 80 lässt sich ja in der FRITZBox entweder an den ISA schicken oder an den WebServer. Es sollen aber erstmal alle HTTP Anfragen am ISA ankommen. Wenn ich das wie im Internet mehrfach beschrieben steht mit OWA probiere klappt das ohne Probleme. http://blogs.isaserver.org/shinder/2006/09/12/clever-way-to-redirect-owa-users-who-cant-remember-to-include-exchange-in-the-path/ Geht aber auf gleiche Weise eine Anfrage an den WebServer sehe ich im Log immer erfolgreiche Annahmen der Umleitungsregel (die auf DENY mit redirect steht). Am Client kommt: Die Webseite kann nicht angezeigt werden. Am Ende kommt dann Verweigert: 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED hat jemand eine Idee was nicht stimmen könnte, kann man das überhaupt so machen? danke fürs lesen, der Path

niemand der Sharepoint als öffentlichen Ordner Ersatz verwendt ? =)

Wenn du nicht zuviele PCs hast kopier die Hostdatei einmal rum oder verteil sie per Gruppenrichtlinie. Ansonsten schreit das nach einem Split-DNS, wenn ich da jetzt nicht völlig auf dem Holzweg bin. You Need to Create a Split DNS! Fraglich ist der Aufwand für die eine oder andere Methode.

Ich habe bisher nie mit gekauften Zertifikaten gearbeitet. Immer mit einer eigenen CA. hast du die Möglichkeiten dazu? Wenn es nicht gerade ein Webshop ist für den du die Zertifikate brauchst würde ich da keine zwingende Notwendigkeit sehen. hm, hab mir das mal durchgelesen, das wäre mir zuviel gebastel an dieser Stelle und für das was du willst. Wenn es keinen zwingenden Grund für "echte" Zertifikate gibt ist self-signed eine durchaus praktikable Lösung. Birgt sicherlich einige Tücken bis man das sauber hinbekommt aber am Ende der beste Weg wenn es an den Kosten für ein entsprechendes gekauftes Cert hängt.

Hallo, wenn es dir um Testzwecke geht und diese darauf hinauslaufen sollen das du deinen Webserver per FQDN erreichst, würde es in diesem Fall auch langen, einen Eintrag in der HOSTS Datei auf deinem PC anzulegen. Diese findest du unter "C:\Windows\System32\drivers\etc" Hier trägst du in die erste freie Zeile einfach die IP deines Servers ein und nach mindestens einem Leerzeichen den FQDN unter dem du den Server erreichen möchtest. Wenn ich dich da richtig verstanden habe. mfg der Path

Hallo, du musst in dem Zertifikat zwingend den Namen des internen Exchangeservers haben. Ich habe das zuletzt unter Exchange 2010 gemacht und hier gibt es sogar einen äußerst komfortablen Assistenten den man nutzen kann. Bei Exchange 2007 weiß ich es leider gerade nicht auswendig. Wenn dein Exchange Server "exsrv.domain.local" heißt dann muss das Zertifikat diesen FQDN enthalten. So konnte ich das Problem bei mir lösen. mfg der Path

Hallo zusammen, Das ist keine technische sondern wohl eher eine organisatorische Frage. Wir bekommen Systemgenerierte Emails von Kunden beispielsweise Backup Status Mails. Diese liefen bisher in einen öffentlichen Ordner, alles gut. Nun würde ich gerne öffentliche Ordner durch Sharepoint Listen ersetzen da ich dort einige Vorteile sehe. Leider bin ich mit dem was ich bis hierher zu stande gebracht habe nicht sonderlich glücklich. Wenn ich Dokumentenbibliotheken anlege bekomme ich .eml Dateien die Outlook in den "großen" Versionen ja nicht so wirklich lieb hat. Wenn ich Diskussionsrunden anlege bekomme ich .msg Dateien mit integriertem Anhang was ich bisher noch am besten finde. Diese haben zwar in der Outlook Sicht (Verbunde Sharepoint Liste) Kein Email Symbol sondern Ein Besprechungs / Notiz Symbol davor aber damit könnte ich leben. Was ich mich nun Frage ist wie ihr das macht ? Ich kenne auch drittanbieter Software mit der ich auch schon arbeite im Bereich Outlook/Sharepoint Integration und womit ich auch sehr zufrieden bin, brauche aber diese nicht kostenlose Lösung, nicht in jedem Bereich und würde das ganze gerne mit Boardmitteln bewerkstelligen. Die zweite Sache die mich stört und das ist auch das K.O. Kriterium für mich ist die Tatsache das Email-Adressen die nicht in der eigenen Domäne bekannt sind "von" "Systemkonto" kommen. Kann man das beeinflussen? Für Ratschläge und Tips wäre ich wirklich dankbar. mfg der Path

Hallo, wir peilen auch, wie die Vorredner schon sagten, ca 5 Jahre an. Ist es ein "echter Server"? sprich Server Hardware von einem OEM des Vertrauens? oder selber gebastelt? (Verfügbarkeit der Teile bei Ausfall!!!!) Ist der Server gekauft/finanziert oder geleast? Hat der Server "Vorort Garantie" oder "BringIn"? Wer steht auf der Matte wenn CPUs oder Boards ausfallen und wie schnell?! Wie lange dauert es bis solch neuralgische Teile ersetzt werden können, sprich verfügbar sind? Was kostet ein Tag, Ausfall? x Tage der Beschaffung für Ersatzteile? Und dann natürliche sämtliche nur denkbaren Performance-Aspekte nach 5 Jahren? All diese Fragen (und sicherlich noch andere) sollten gestellt und beantwortet werden. Was der Server dann am Ende macht ist natürlich auch grundlegend zu betrachten. Was dem alten System gefehlt hat und was in einem neuen wünschenswert wäre ist sicher auch interessant (mehr Platten/Platz/RAID, mehr CPUs, mehr Kerne, mehr RAM etc.) Allgemein kann man das schwer sagen. Was denke ich auch relevant ist mit einem neuen Server, entsprechend Ausgelegt, zu konsolidieren. Vielleicht gibt es ja noch andere Maschinen die die Halbwertszeit schon überschritten haben. Da kommen dann die Virtualisierungsargumente, die kennste du vielleicht so weit. Ganz entscheident finde ich auch das man einen Server ersetzt, _bevor_ er abgebrannt ist =) Und da sollte man auf die Einschätzung der Leute vertrauen die den ganzen Tag nichts anderes machen. Auch ist fraglich wer das macht? Wen man eine externe Firma beauftragt kostet der Server und die Arbeit eine Menge Geld, da finde ich alles unter 5 Jahren bedenklich da hohe Kosten entschehen können und man seriös handeln sollte. Wenn man sich das Leasing als Große Firma leisten kann und eh interne Admins hat die ja auch gefordert sein müssen ;P ist das wieder was anderes. Außerdem ist bei einem (Finanz)Kauf der Garantierahmen mit 5 Jahren noch gut bezahlbar und jede aktuelle Hardware steht gut und gerne 5 Jahre durch. Außer es kommen 10 neue Benutzer pro Monat da zu. In welcher dieser Situationen befindet du dich den? der Path