Maraun

Hallo zusammen, geht folgendes: Ich würde gerne auf unserer Exchange 2010 Serverfarm eine neue Transportregel wie folgt anlegen: Mails mit mehr als x Empfänger sollen zukünftig erst gequeued werden und manuell vor dem Senden bestätigt werden. Hintergrund: Massenmails sollen verhindert werden. Ich kenne die Powershellmöglichkeiten für Postfächer (Set-Mailbox -Identity "xyz" -RecipientLimits 100 und für Gruppen ($group = Get-Group 'xyz' $group.Members | get-mailbox | set-mailbox -recipientlimits unlimited). Aber bei mehr als 1500 Postfächern bin ich da nur am Ausnahmen pflegen etc. Daher die Idee mit der Transportregel. Falls jemand eine bessere Idee zu dem Thema hat bin ich natürlich für alles und jede Hilfe offen. Vielen Dank vorab. Viele Grüße Alex

Richtig, die 200x20 Vorgehensweise gibt es selbstverständlich auch noch. Ich dachte ja nur, dass ich zum Beispiel eine Transportregel baue, die Mails mit mehr als z. B. 30 Empfänger erstmal queued und nur nach manueller Bestätigung freigibt. Klar, die Verteilerlisten sind nur so von mir erwähnt worden, da eh sehr viele User im globalen Adressbuch sind und über Verteiler zusammengefasst werden. Also im Prinzip ist das Versenden an alle aus dem globalen Adressbuch das Problem, dass ich nicht eingrenzen, bzw. verhindern kann. Ich dachte nur, dass jemand mal die gleiche Anforderung hatte und dies irgendwie gelöst hat, denn außer es technisch zu erschweren (mit der Empfängerrichtlinie)fällt mir einfach nix ein. Außerdem ist die Anfrage im Raum, die Größenbeschränkug auf die jeweilige OU zu setzen. Ich versuche mich jetzt mal mit Transportregeln. Aber generell ist das halt immer das Thema in der IT: Ist es sinnvoll? Sollten wir das so umsetzen? Warum / wofür? Ich kann da leider keinen Riegel vorschieben, wenn es aus meiner Sicht keinen Sinn macht, sondern muss die technische Umsetzung prüfen, bzw. durchführen. Grüße

Danke erstmal. Das Problem ist nur, dass wir in unserer Umgebung von knapp 1400 Mailempfänger/Postfächer sprechen. In dem Fall müsste ich jedes Postfach per Powershell (falls in Exchange 2003 möglich) oder manuell anpassen, oder eine Transportregel erstellen. Hat das schon mal jemand gemacht? Sind hierbei dann auch Ausnahmen möglich? Das heißt, generell mehr als 20 Empfänger pro Mail verhindern für definierte Benutzer oer OU´s? Der Sinn dahinter ist, Massenmails von intern über das globale Adressbuch per Berechtigung zu verhindern. Das zeitversetzte Senden würde ich per GPO verhindern, falls das geht. Grüße Alex

Hallo zusammen, wir nutzen eine Mischumgebung Exchange 2003 / 2010 mit hauptsächlich Outlook 2003. Jetzt gibt es folgende Anforderung: Das Senden an x viele Empfänger soll für bestimmte Postfächer zugelassen, für die Allgemeinheit aber unterbunden werden. Und bestimmte Mailverteiler sollten gar nicht benutzt werden dürfen. Ich könnte die Verteiler aus der globalen Adressliste nehmen, aber gibt es noch einen anderen Weg, Berechtigungen auf die Nutzung der Mailverteiler zu setzen? Und kann ich einer bestimmten Gruppe das Senden an x viele Empfänger erlauben? Umgebung wäre eben wie erwähnt Exchange 2003 / 2010. Noch eine andere Frage: Wenn ein User eine Mail zeitversetzt gesendet hat, habe ich dann eine Möglichkeit, dies irgendwo zu sehen? Laut Messagtracking und Optionen der gesendeten Mail ist da nichts zu erkennen. Lediglich die tatsächliche Sendezeit. Vielen Dank und Gruß Alex

Hallo zusammen, wir haben folgende Umgebung: Exchange 2003 + Outlook 2003 auf XP und Exchange 2010 HUB CAS. Jetzt sind wir dabei, die Postfächer vom Exchange 2003 auf die 2010er Farm umzuziehen und dieses Jahr werden auch die Rechner von XP auf Win7 und Office 2010 getauscht. Hierbei gibt es einige Benutzer, die unter Outlook 2003 Stellvertreterregelungen aktiv haben. Diese behalten sich ja die Verbindung bei. Wenn ich gleiches unter Outlook 2010 nachvollziehe, behält sich Outlook 2010 die Verbindung zum Stellvertreter / Posteingang nicht, das heißt, cih muss jedesmal manuell Über Datei, Öffnen, Ordner eines anderen Benutzers gehen. Als Lösung habe ich hier zusätzlich noch mein Postfach mit Berechtigungen freigegeben, damit der Stellvertreter sich meinen freigegebenen Posteingang permanent als zusätzliches Postfach einbinden kann. Jetzt die Frage: Geht das auch eleganter? Wenn ich die Outlook-Konten auf 2010 update bedeutet das ja, dass der User die Stellvertretung behält, aber seinen Posteingang oder einen anderen Ordner nochmals manuell freigeben muss, damit der Stellvertreter das Postfach permanent verbinden kann. Danke und Grüße Alex

Hi, der User sendet vom eigenen Mailaccount aus, aber sendet er auch unter der eigenen Adresse, oder hat er sich unter From/Von einen andere Adresse hinterlegt? Grüße Alex

Hallo zusammen, wir haben eine Location in Usa, die Ihren Mailbereich selbst verwalten soll. Alles, was unter einer OU ist, im Beispiel mal USA genannt, soll von den Admins dort verwaltet werden. Postfächer, Kontakte, Verteilerlisten etc. Ich habe jetzt mal zwei neue Rollen erstellt, 1x Mail Recipients und 1x Mail Search und alles auf die jeweilige OU konfiguriert. new-rolegroup -name "XXX Administration Group" -Roles "Mail Recipients" -RecipientOrganizationalUnitScope "domäne/USA" new-rolegroup -name "XXX Administration Search" -Roles "Mail Search" -RecipientOrganizationalUnitScope "domäne/USA" new-rolegroup -name "XXX Administration Group" -Roles "Mail Recipients" -RecipientOrganizationalUnitScope "domäne/USA" Jetzt fehlt noch die Rolle für die Distribution Lists. Meine Frage dazu: Geht das nicht einfacher? Kann ich nicht auch einen Management Scope erstellen und dort dann eine neue Management Rolle definieren? Danke und Grüße Alex

Hallo zusammen, wir nutzen eine 2003er AD und haben in Amerika einen Standort, die bereits einen DC 2008 und Windows 7 Clients nutzen. Eine Domäne, ein Forest. Im IE haben wir sowohl eine Proxy.pac als auch den normalen Proxy mit Ausnahmen definiert per GPO. Das wird auch alles überall richtig geladen und der Standort ist auch per 40MBit angebunden. Jetzt nutzen viele Amis ihren Laptop von zuhause ohne VPN zum surfen und nehmen den Haken beim Proxy raus, wählen sich dann später per VPN ins Netzwerk ein und wollen danach auch surfen, was ohne Proxy nicht geht. Ich habe für den Standort die Benutzer-GPO angepasst und unter der Benutzerkonfiguration\administrative Templates\System\Group Policy das Aktualisierungsintervall auf 15 Minuten + 10 Minuten random time gesetzt. Wenn ich es austeste, werden die Einstellungen aber nicht im angegeben Zeitraum gesetzt. Nur ein gpupdate /force setzt die IE Haken alle wieder richtig. Also funktioniert die GPO grundsätzlich. Ich weiß dass es eigentlich möglich sein sollte, den Haken manuell auch wieder zu setzen, trotzdem will ich es technisch lösen. Kann mir jemand mit dem Aktualisierungsintervall helfen. Grüße Alex

Hat noch jemand hierzu eine Idee, bzw. muss ich hier was anpassen oder ändern? Bisher habe ich die Meldungen ignoriert da, soweit ich nachgelesen habe, der Client später eine erneute Aushandlung versucht, die dann auch irgendwann erfolgreich ist. Bzw. sind Zugriffsprobleme hier im Netz und den angebundenen weltweiten Lokationen auch nicht bekannt. Aber wir haben auch bisher nicht wirklich viele Windows 7 Rechner ausgerollt. Grüße Alex

Hi zusammen, würde gerne diesen Thread nochmals kurz aufleben lassen. Situation bei uns hat sich nicht geändert, außer dass immer mehr Windows 7 Rechner ins Netz kommen und sich die Eventeinträge bei der Kerberos-Verschlüsselung häufen. Wäre es eine Lösung, wenn ich in der Default Domain Policy folgendes hinterlege: http://support.microsoft.com/kb/977321/de Danke und Grüße Alex

Hallo zusammen, wir haben eine 2003er AD mit einer Root-CA, die bisher per Network Policy and Access Services für WLAN-Zugriffe per Zertifikat benutzt wird. Das komplette NAP soll dann mit der Zeit folgen, also Zugang nur noch mit aktuellen Updates und aktuellem Virenschutz etc. Im NPS Server ist die Policy mit einer speziellen Security Group hinterlegt, der Mitglieder das WLAN-Zert ausgerollt bekommen. Jetzt habe ich von einer Fachabteilung eine ähnliche Anforderung erhalten. Die Benutzen ein Portal, das ein SSL-Zert benötigt und dem wird natürlich bisher nicht vertraut. Also erscheint die Fehlermeldung im Browser. Jetzt meine Frage: WIe richte ich hier für eine spezielle Security Group das SSL-Zertifikat ein? Das Zertifikat habe ich exportiert, die Security Group angelegt, eine GPO definiert, bei der ich in den Computereinstellungen\Policies\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities\ das SSL Zertifikat hinterlegt habe. Jetzt würde ich in der GPO noch im Security Filter die spezielle Security Group mit den Abteilungsbenutzern angeben. Funktioniert das so? Ich habe auch gelesen, dass manche das SSL Zertifikat in der Default Domain Policy in den Zertifikatsspeicher legen und die neue GPO dann auf die jeweilige OU verlinken. Aber für meine Begriffe erhalten dann zu viele User/Computer die Zertifikate. Hat mir jemand einen Tipp? Danke und viele Grüße Alex

Ja, eigentlich denke ich genauso. Dann werde ich die Ressource umuziehen. Noch eine Frage für den Umzug: Muss ich dann die Kalenderkonfiguration, wie im Link von Technect beschrieben, auf jede Ressource neu machen oder übernimmt er bestehende Konfigs? Muss ich beim Umzug etwas beachten, bsw. nach dem Umzug das Postfach zum Raumpostfach machen? Grüße Alex

Okay, das heißt, solange ich die Ressource nicht umziehe, bleibt das Problem bestehen? Habe da ein ähnliche Diskussion (mit Dir) im Web gefunden. RoomMailbox - BookinWindowinDays [Exchange 2010] - MSXFORUM Grüße Alex

Hallo zusammen, wir sind mitten in der Migration von Exchange 2003 zu Exchange 2010. Alle Ressourcenpostfächer liegen noch auf dem 2003er. Dort habe ich einen AutoAcceptAgent mit Standardwerten (Ressource buchbar 12 Monate) installiert. Jetzt habe ich ein Benutzerpostfach auf den 2010er verschoben und danach kann der User keinen Endlostermin mehr auf eine Ressource buchen. Der User konnte das aber, solange er sein Postfach noch auf dem 2003er hatte. Wie spielt der Postfachspeicher und die Ressource hier zusammen? 2010 kann die Ressource ja nicht verwalten, da sie auf einem anderen Server liegt. Per SutoAccept kann ich die Termine nur 36 Monate buchbar machen. Hat mir hierfür jemand eine Lösung? Grüße Alex

Hi RobertWi, das war mein Fehler. Ich habe Senden als und Send on behalf verwechselt. Im Exchange 2010 sind die Send on behalf Berechtigungen natürlich nach dem Move auch noch da. Die User sind bereits in unserer Domäne / AD, ich verschiebe nur die Postfächer vom 2003er auf den 2010er Exchange. Danke Dir.

Hallo zusammen, kurze Erfahrungsfrage und Verständnisfrage: Wir haben noch Exchange 2003 im Einsatz. Eine 2010er Exchangefarm ist aber bereits in Benutzung und circa 200 Postfächer sind bereits umgezogen. Jeden Tag folgen weitere. Jetzt habe ich bemerkt, das Sammelpostfächer beim Umzug die Send on behalf Berechtigungen nicht mit umziehen. Bei uns sind Sammelpostfächer im AD als normale Benutzer aufgebaut. Die jeweiligen User bekommen dann Postfach- und Senden als Berechtigungen im AD (Exchange Advanced / Mailbox Rights). Die Postfachberechtigungen sehe ich im Exchange 2010 (Manage Full Access Permissions) auch, nur die Senden als Berechtigungen sind bei den umgezogenen Mailboxen leer, obwohl gepflegt. Hat da jemand einen Tipp? Ist das so normal? Grüße Alex

Da er nur der einzige 2008er DC ist (gibt noch 10 weitere DC´s), aber alle Rollen hält: Wäre es dann besser, die Rollen vorher umzuziehen, oder kann ich ihn so umbenennen? Grüße Alex

Hallo zusammen und danke für die Antworten. @lefg: Also ich habe in der Praxis an DC´s bereits den Namen geändert, vorab per Metadata cleanup alles sauber gemacht, etc. Allerdings habe ich bisher noch keinen FSMO-Roleholder umbenannt und deshalb wollte ich davor sicher gehen, dass ich mir nicht mit dem Umbenennen hier Probleme ins AD hole. Würde den alten Demoten und per Metadata cleanup sabuer rausputzen und im Anschluss den Halter aller FSMO und einzigen Server 2008 R2 DC in unserem Netz dann auf den Namen des vorher entfernenten DC ändern. Grüße Alex

Hallo zusammen, wir betreiben eine 2003er Domäne, mit 12 DC´s. Einer davon, der Halter aller FSMO-Rollen, läuft unter Server 2008 R2. Jetzt würde ich gerne einen älteren DC (Hardware) herunterstufen und den FSMO-Rollenhalter auf dessen Namen umbenennen, einfach weil einige Services auf den alten namen laufen und das Namenskonzept auch beizubehalten. Sofern es natürlich möglich ist, den Halter der FSMO-Rollen namentlich umzubenennen. Könnte mir dies bitte jemand beantworten. Achso, edit: Der DC hat DNS, DHCP, Globaler Katalog. Keine Zertifikatsdienste. Danke vorab. Viele Grüße Alex

Hi und erstmal danke für die Antwort. Nein, DES ist bei uns nicht aktiviert. Auch nicht bei den Konten, die im Zusammenhang mit der Meldung im Eventlog aufgelistet werden? Grüße Alex

Hallo zusammen, in einer Server 2003 / 2008 Domaincontroller-Mischumgebung mit Forest und Domainlevel 2003 kommt es nach der Anbindung eines Standortes auf meinen DC´s am Hauptstandort vermehrt zu folgendem Fehler: Event ID 27 - KDC Error While processing a TGS request for the target server krbtgt/XXX, the account xxx$@XXX.XX did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 8). The requested etypes were 18. The accounts available etypes were 23 -133 -128 3 1. Wie beschrieben, werden am Hauptsatndort noch 2003 und 2008 R2 Server als DC´s eingesetzt. Bei dem angebundenen Standort wird ein 2008 R2 DC genutzt. Das Problem betrifft nur Clients und Server aus dem angebundenen Standort. Die DES Encryption wird bei uns nicht benötigt. Kann mir jemand schreiben, ob der Fehler kritisch ist und wie man ihn behebt? Danke vorab. Grüße Alex

Hi, die Mail und den Titel habe ich auch bekommen, aber da gibt es kein zertifikat für, oder? Zumindest hab ich auf meiner MCP Seite kein Zert gefunden. Wenn man mit der 689 Windows 8 Updateprüfung vom MCSA Win7 auf MCSA Win 8 upgraden kann, gibt es das gleiche dann auch für den MCSE? Mir fehlt noch net Prüfung zum MCITP EA, daher weiß ich nicht, ob man da die gleiche Mail (nur halt für den MCSE Win 7) bekommt. Grüße Alex

Hi, also irgendwie will das mit der Gruppe und den beinhalteten Computern nicht funktionieren. Nachdem der Test-PC die richtige GPO gezogen hat, kann ich mich mit zwei normalen Domänenusern anmelden, aber keine Netzwerkeinstellungen ändern. Probiere ich das gleiche mit der Gruppe, die Benutzer beinhaltet, funktioniert es. Noch jemand einen Tipp? Grüße Alex

Guter Hinweis Sweigl. Danke dafür. Idee hatte ich auch schon, werde ich jetzt umsetzen. Danke für Eure Hilfe. Grüße Alex

Hi und danke euch, soweit alles klar und funktioniert auch bereits. Mein Problem ist nur, dass ich gerne wissen würde, wie ich zusätzlich zu der Benutzer-Gruppe auch noch eine Computer-Gruppe definiere, für die die GPO gilt. Im Moment haben wir mehrere OU´s in denen die User verstreut sind und wenn ich die Restricted Group jeweils auf die Computer unterhalb der Standort-OU lege, dann werden diese User ja auf jedem Rechner lokale Netzwerkoperatoren, anstatt eigentlich nur auf den knapp 20 Rechnern, die sie auch nutzen. Klar könnte ich jetzt die Computer in eine speziele OU verschieben, das finde ich aber nicht optimal. Gibt es hier für die Restricted Group nicht auch eine Möglichkeit, eine Computer-Gruppe zu zu weisen? Grüße Alex