fluehmann
-
Gesamte Inhalte
573 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von fluehmann
-
-
Exchange 2007 Datenbanken können ja auf einem anderen Server gemountet werden. Vielleicht klappts damit:
How to Restore a Mailbox Database to a New Server with Database Portability: Exchange 2007 Help
SCR wäre aber schon das richtige mit dem du das Ziel erreichen möchtest:
You Had Me At EHLO... : Standby Continuous Replication in Exchange Server 2007 Service Pack 1
Gruss
fluehmann
-
Bei SSL wird das Kennwort in Klartext eben durch diesen SSL Tunnel übermittelt.....
Gruss
fluehmann
-
Hi olc
Vielen Dank für deine Infos. Das DC-Konto pwd wurde vor dem Anwenden der Policy geändert.
Habe da noch ein wenig nachgeforscht. Mit der Policy sieht das ganze so aus:
Policy: Network security: Configure encryption types allowed for Kerberos
Local Grpup Policy Setting:
Server in Workgroup: Not Defined
Server Domainmember: Not Defined
Als DC hochgestuft: Not Defined
Dann ein GPO mit der Policy auf Ou Domain Controllers gelinkt und gpudate /force.
Local Grpup Policy Setting: Enabled
Dann die GPO mit der Policy von Ou Domain Controllers entfernt und gpudate /force.
Local Grpup Policy Setting: Enabled
Dann Server neu gestartet:
Local Grpup Policy Setting: immer noch Enabled
Die Policy bleibt also in der Local Group Policy vorhanden. Anscheinend hat der Neustart dazu geführt dass die Fehlermeldungen verschwanden....
Gruss
fluehmann
-
hallo marsl84
Überprüfe die Auth. Methoden mal hier:
Publishing Exchange 2007 OWA with ISA Server 2006
Exchange 2007 OWA via ISA RSA - Authentication Delegation | Elan Shudnow's Blog
Gruss
fluehmann
-
Hallo masta_daywalker
Wenn du schon ein "Ersatzserver" und ein SAN hast, könntest du auf CCR oder SCR gehen.
New High Availability Features in Exchange 2007 SP1: Exchange 2007 Help
gruss
fluehmann
-
hallo Blob
Kannst du per Browser die oab.xml öffnen?
Ist ein Web Distribution Point veröffentlicht?
https://domain.ch/oab/325aece0-783d-4fd4-bfe6-d02bf9ce3141/oab.xml
Wichtige Berechtigungen sind vor allem:
Administrators: full
Exchange Servers: full
Authenticated Users: read
Vielleicht findest du hier noch ein Hinweis:
You Had Me At EHLO... : Offline Address Book web distribution in Exchange Server 2007
Gruss
fluehmann
-
hallo Bl4ckJok3r
Ist es ein Self Signed Zertifikat?
Was passiert wenn du nur https://srv02/autodiscover/autodiscover.xml angiebst?
Ev. sollte da der FQDN Hostname als erster auf dem Zertifikat sein.
Wie sieht der Zertifizierungspfad im Zertifikat aus. Villeicht müssten da noch Root Zertifikate auf dem Client importiert werden?
Ich gehe auch davon aus dass das CN=WMSvc-SRV2 Zertifikat gelöscht werden kann.
Gruss
fluehmann
-
Wenn die URl sv01.domain.local o. mail.domain.local heissen sollte, dann müsste diese auch im Zertifikat vorhanden sein. Dann müsste dein Zertifikat
SAN tauglich sein (mehrer Hostnamen unterstützen).
Die Service URLs kannst du alle für eine interne und externe Domain konfigurieren.
Schau dir mal folgenden Artikel an:
Outlook 2007 Certificate Error? | Elan Shudnow's Blog
Gruss
fluehmann
-
Hallo blob
Auf welche URLs der Client connected siehst du am besten wenn du im Outlook 2007 (Ctrl+rechter Mausclick auf Outlook Symbol+ E-mail Autoconfig testen) öffnest und dann einen Test durchführst.
Das meiste Problem wird Autodiscover sein, da sich der Client diese URL selber zusammenbastelt.
Beispiel: https://autodiscover.internaldomain.de.....
Es kommt auch draufan ob die Clients Members der Domain sind. Wenn es so ist wird Autodiscover über einen SCP vom AD benutzt.
Die Autodiscover Probleme könnte man mit SRV Records im DNS lösen.
White Paper: Exchange 2007 Autodiscover Service
Gruss
fluehamnn
-
-
Hallo aba101280
Bei WSUS 3.0 gibt es in den Options einen "Server Cleanup Wizard".
Vielleicht hilft der.
Für älter Versionen von WSUS könnte dies gehen:
Purge / Delete corrupted or Un-needed patches on WSUS Server - PatchAholic...The WSUS Blog!
Gruss
fluehmann
-
Hallo olc
Das wäre ja total nicht schön, wenn die Passwörter resettet werden müssten.
Oder, wieso müssten diese überhaupt resettet werden?
Jepp, die Probleme sind nun verschwunden....
A Kerberos authentication ticket (TGT) was requested.
Account Information:
Account Name: user
Supplied Realm Name: DOMAIN.CH
User ID: Domain\user
Service Information:
Service Name: krbtgt
Service ID: Domain\krbtgt
Network Information:
Client Address: IP
Client Port: 54660
Additional Information:
Ticket Options: 0x40000010
Result Code: 0x0
Ticket Encryption Type: 0x12
Pre-Authentication Type: 0
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.
Grüsse
fluehmann
-
Vielen Dank für den Link!
Es sind Teils ganz normale AD Accounts, teils Accounts die über einen Unix Kerberos Realm Trust authentifiziert werden (PAM LDAP Modul)
Die Ticket Anforderung schlägt mit einem 4769 fehl:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 18.09.2009 10:56:58
Event ID: 4769
Task Category: Kerberos Service Ticket Operations
Level: Information
Keywords: Audit Failure
User: N/A
Computer: Domaincontroller R2
Description:
A Kerberos service ticket was requested.
Account Information:
Account Name: user@domain.ch
Account Domain: domain.ch
Logon GUID: {00000000-0000-0000-0000-000000000000}
Service Information:
Service Name: krbtgt/DOMAIN.CH
Service ID: NULL SID
Network Information:
Client Address: IP Addresse
Client Port: 33565
Additional Information:
Ticket Options: 0x40000000
Ticket Encryption Type: 0xffffffff
Failure Code: 0xe
Transited Services: -
0xe = laut RFC 4120 (KDC has no support for encryption type)
Ich habe dan mal per GPO folgende Policy gesetzt:
Network security: Configure encryption types allowed for Kerberos Enabled
DES_CBC_CRC Enabled
DES_CBC_MD5 Enabled
RC4_HMAC_MD5 Enabled
AES128_HMAC_SHA1 Enabled
AES256_HMAC_SHA1 Enabled
Future encryption types Disabled
Danch kam die Meldung:
Log Name: System
Source: Microsoft-Windows-Kerberos-Key-Distribution-Center
Date: 18.09.2009 13:36:15
Event ID: 16
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: Domaincontroller R2
Description:
While processing a TGS request for the target server krbtgt/DOMAIN.CH, the account user@domain.ch did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 10).
The requested etypes were 3 1. The accounts available etypes were 18 17 23 -133 -128 24 -135. Changing or resetting the password of Domain.CH will generate a proper key.
Heeeee, jetzt soll noch das Password resettet werden?
Jetzt kommt das Lustige:
Die GPO entfernt, Server neu gobootet, und es werden ganz normal Kerberos Tickets ausgestellt (Keine Fehlermeldungen egal ob direkt in AD oder per REALM authentifiziert wird)
Keine Ahnung was da passiert ist???
Gruss
fluehmann
-
Hallo zusammen
Der RPC Verkehr wird vermutlich auf der Firewall des Core Servers geblockt?
Vielleicht mal versuchen die Firewall zu disablen.
disable Firewall:
netsh firewall set opmode=disable
enable Firewall:
netsh firewall set opmode=enable
Hier sind noch mehrere Firewall commands zu sehen:
gruss
fluehmann
-
Hallo cjmatsel
Vielleicht hilft das:
How to transfer logins and passwords between instances of SQL Server
Gruss
fluehmann
-
Hallo zusammen
Seit dem Einsatz von Server 2008R2 Domain Controllern gibt es bei uns Probleme bei Kerberos Ticket Anforderungen. Es wird folgendes auf den 2008R2 Dcs geloggt:
Log Name: System
Source: Microsoft-Windows-Kerberos-Key-Distribution-Center
Date: 18.09.2009 10:56:58
Event ID: 27
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: Domian Controller 2008R2
Description:
While processing a TGS request for the target server krbtgt/domain.ch, the account user@domain.ch did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 10).
The requested etypes were 3 1. The accounts available etypes were 18 17 23 -133 -128 24 -135.
Meine Fragen dazu:
Werden ältere Kerberos Encryption Types bei R2 nicht mehr unterstützt,
oder welche werden noch unterstützt?
Kennt jemand eine Übersetzung der etypes, bzw. welche Verschlüsselung sind die Zahlencodes im Error (ist so ein wenig schwierig das ganze zu debuggen)?
Freundliche Grüsse
fluehmann
-
Hallo Lord88
Geht das mit Remove-PublicFolder auch nicht?
Oder get-mailPublicfolder blabla | Remove-PublicFolder
Gruss
fluehmann
-
Hallo zusammen!
DCs sind alle 2008, FFL, DFL sind auch 2008.
IPv6 ist auf allen DCs deaktiviert (Registry).
Gibt es eine Möglichkeit per DDNS erstellte IPv6 Einträge (von Vista und 7) auf den AD integrierten DNS Zonen zu blocken (nur noch IPv4 DNS Records)?
Freundliche Grüsse
fluehmann
-
Sorry für die Einmischung...
Dein Tipp hat mich schon weiter gebracht. Einziges Problem ist, wenn eine Gruppe „grp.CreatePolicy“ mit den Members ( UserA, UserB, UserC ) zur Gruppe "Group Policy Creator Owners" hinzugefügt wird, muss der Ersteller einer neuen Policy z.B. UserA die Gruppe auf die neue Policy delegieren, sonst ist nur der Ersteller Besitzer und hat Änderungsrechte darauf.Diese Problem haben wir auch, ist unschön wenn der Admin wechselt....
Hat jemand Erfahrung mit dem AGPM 3.0 (Advanced Group Policy Manager ). Dort gibt es vordefinierte Rollen zum delegieren für GPOs.
Eine Übersicht hier:
Comprehensive Change Control and Enhanced Management for Group Policy Objects
Gruss
fluehmann
-
Hallo Oliver_8
Falls du Server 2008 im Einsatz hast kannst du auch Mails per Taskplaner unter Actions versenden.
Beispiel:
1. Start a programm (z.B. ein Script oder Batch)
2. Send an e-mail (z.B. txt File das durch das Script erzeugt wurde)
Gruss
fluehmann
-
Standardwebsite oder Standardwebseite?
New-OwaVirtualDirectory -OwaVersion:Exchange2007 -WebSiteName "Standardwebseite"
Gruss
fluehmann
-
Hallo crazymetzel
Die Fehlerausgabe der Powershell deutet auf die deutsche Version von Exchange 2007. Vielleicht sollte da bei -WebSiteName "Default Web Site" “Standardwebseite” stehen...
Oder vielleicht hilft sonst das noch:
New-OwaVirtualDirectory : An error occurred while creating the IIS virtual directory
Gruss
fluehmann
-
Hallo greatmgm
Vielleicht wartest du das Sp2 für Exchnage 2007 ab:
You Had Me At EHLO... : Exchange Server 2007 Service Pack 2 available in Q3 2009
Exchange Volume Snapshot Backup Functionality - A new backup plug-in has been added to the product that will enable customers to create Exchange backups when a backup is invoked through the Windows Server 2008 Backup tool. Exchange Server 2007 didn't have this capability on Windows Server 2008 and additional solutions were required to perform this task.Hier noch mehr:
Uncovering the new Exchange 2007 SP2 Volume Snapshot (VSS) Plug-in (Part 1)
Gruss
fluehmann
-
Hallo Christoph_A4
Wenn alle Gruppen in der OU Terminalserver sind könntest du mal mit folgendes VB Script versuchen:
List Group Memberships for All the Users in an OU
Das könnte auch so gedreht werden dass das member Attribut von Gruppen in der OU abgefragt würde.
Grüsse
fluehmann
Kerberos E-Types
in Windows Server Forum
Geschrieben
Das Problem lag bei Usern die Kerberos Tickets anforderten und nicht bei Clients.
Gruss
fluehmann