Maraun

Oder anders gefragt / formuliert: Da wir bereits einen Server 2008 R2 in der AD haben, gibt es auch die Möglichkeit der Restricted Groups. Die Erweiterung für XP ist ebenfalls bei usn ausgerollt. Dadurch kann ich sagen, dass eine Security Group auf den Rechnern, auf denen sie sich anmelden, lokale Netzwerkoperatoren sind. Meine Frage ist jetzt nur: Die User befinden sich in einer OU mit knapp 700 Rechnern. Wenn ich die GPO auf die OU zuweise, bekommen sie die Berechtigung dann auf allen 700 Rechnern? Macht es mehr Sinn, hier mit einem WMI-Filter oder einer zusätzlichen Rechnergruppe zu arbeiten? Im Prinzip sind es 20 User und somit auch knapp 20 Rechner (+/- Abteilungsnotebooks). Aber wäre mir jetzt nicht recht, wenn diese GPO die Security Group dann auf alle 700 Rechner als Netzwerk Operatoren definiert. Grüße Alex

Hi zusammen, wie im betreff beschrieben, sollen bestimmte User hier Ihre IP am Notebook (die per DHCP kommt) ändern können. Die Clients, auf denen das passieren soll, sind entweder Win7 oder XP Clients. Ich habe das mal als Test mit der Security Group Network Configurations Operator unter Windows XP versucht, allerdings scheint das nicht zu klappen, denn damit habe ich die notwendige Berechtigung nicht (eingeschränkter Zugriff auf TCP/IP Optionen, kein Recht zum ändern der IP-Einstellungen in Windows selber). Wie kann ich denn das Problem lösen? Anmerkung dazu: Über die lokale Network Configurations operator sollte das klappen, aber die Laptops sind weit verstreut und ich will nicht alle Rechner von Hand anpacken. Deshalb die Frage: Geht es per Security Group und GPO? Grüße Alex

Also ich bin in den nächsten Wochen dabei, knapp 700 Postfächer (60 sind erledigt) von 2003 auf 2010 umzuziehen. Einige behalten vorerst XP und Outlook 2003, andere haben WIN7 und Outlook 2010. Die bisherigen 2010 Postfächer habe ich auf zwei Datenbanken von A-L und K-Z auf zwei 2010er Postfachserver verteilt (jeder hält jeweils eine DB). Dazu gibt es noch eine VIP DB für unsere > 4GB Postfach User. Grüße Alex

Danke für die schnelle Antwort. Ist das bei migrierten Konten / Profilen (von 2003 zu 2010) ein bekanntes Problem? Eine andere Frage noch zu Outlook 2010 selber: Wenn der Client offline ist, dann zeigt mir doch normalerweise rechts unten das Icon an, das die Verbindung offline ist, oder? In unserem Fall kommt eine Anmeldemaske für Outlook. Grüße Alex

Hallo zusammen, ich habe hier an manchen Desktop Clients vereinzelte Probleme, dass Outlook 2010 auf einem Windows 7 Client die Verbindung verliert, während zum Beispiel gerade eine Mail versendet werde soll. Outlook hängt sich auf, reagiert nicht mehr, wird vom user dann beendet und neugestartet und kommt dann mit dem Anmeldedialog hoch. Selbst wenn der User dann seine Anmeldedaten richtig eingibt, funktioniert Outlook nicht mehr. Erst ein Rechnerneustart bringt da Abhilfe. Hat jemand einen Tipp, wo ich mit der Fehlersuche anfangen könnte? Sind bisher 3 Desktop-Rechner und ein Notebook-Rechner, bei denen das Problem aufgetreten ist. Unsere Exchange 2010 Umgebung: 2x Hub Transport und CAS, 2x Postfach. Die User mit den Problemen liegen auf unterschiedlichen Postfachservern. Grüße Alex

Hallo zusammen, wir sind mitten im Umzug von Exchange 2003 auf Exchange 2010. Jetzt haben wir einen User, der für längere Zeit nicht da ist und im Nachhinein per Mail seinen Kollegen berechtigt, dessen Posteingang / Postfach (noch Outlook 2003 und Exchange 2003 Postfach) zu lesen. Per AD habe ich also bei dem User jetzt Full Mailbox Access für den Kollegen aufs Postfach gegeben, da ich nicht unbedingt das Kennwort zurücksetzen und mich im Postfach anmelden will. Der Kollege, der Zugriff erhalten soll, besitzt Outlook 2010 in Englisch und das freizugebende Postfach/Outlook ist auf Deutsch und heißt Posteingang. Hier ist schon das erste Problem, da Outlook 2010 den Ordner Inbox erwartet (Open, Other users folder). Auf der anderen Seite geht es ja auch per OWA, dass der Kollege auf das Postfach oder den Posteingang zugreift. Allerdings erhalte ich hier jeweils Fehlermeldungen. Wenn ich rechts oben im OWA auf Anderes Postfach öffnen gehe, dann meldet mir OWA, dass kein Server mit den korrekten Sicherheitseinstellungen gefunden werden konnte. Wenn ich links auf den Benutzer gehe, rechte Maustaste, Posteingang eines anderen Benutzers öffnen, dann meldet mir OWA, dass der Ordner nicht geöffnet werden konnte und ich Outlook dafür nutzen soll. Wie kann ich jetzt dem Userr mit Outlook 2010 Zugriff auf das Exchange 2003 Postfach geben? Grüße Alex

Noch einen Zusatz von mir. Hatte auch Probleme mit dem Active-Sync (IPAD, IPhone) bei 2010er Mailboxen von Usern, die Admins sind. ist aber bekannt und gibt es einige Whitepaper dazu.

Hi, von Stephan Mey gibt es eine sehr gute 12 MB PDF dazu. Weiterhin habe ich eine Checkliste-Exchange2010 PDF von Tobias Schmidt auf meinem Rechner, falls Du beides noch nicht kennst. Interessant ist natürlich, wie Du euren 2010er Exchange planst. Hub Transport, DAG, Cluster etc. Zu beachten ist einiges, wie z. B. die Adresslisten, die es so wie wir sie unter 2003 hatten unter 2010 nicht mehr gibt, die Email Address Policies, Transportregeln, Sendeconnectoren. Momentan habe ich den 2003 noch als Sendeconnector installiert. Der Abbau /Deinstallation des 2003ers ist sicher auch noch eine Aufgabe. Grüße Alex

Nein, das steht mir noch bevor, bzw. wie erwähnt erwäge ich, das Cluster auf ein 2008er Cluster umzuziehen. Seit gestern vormittag 10.16 Uhr läuft es auch stabil und ich habe alle Application Pool IIS Fehler weggekriegt. Wie geschrieben habe ich das Heartbeat-Netz mal deaktiviert und mache das Failover über das Teaming und zum anderen lag da eine WPAD-Kofigdatei für den IE parallel auf dem System, dass sich knapp 1200 User bei jedem Aufruf des IE gezogen haben. Seit dem Umzug dieser Anwendung sind auch keine IIS Fehler mehr aufgetaucht. Bis dann die GPO auf allen Systemen bei usn weltweit zieht, können schon noch einige Zugriffe passiert sein, seit der Umstellung gestern morgen. Ich dachte nur, dass es vielelicht auch für den Hanging Application cluadmin.exe ein Workaround/Update/Best Practice oder ähnliches unter Server 2003 gibt. Gruß Alex

Muss mich hierzu leider nochmals melden, da der Clusterservice immer wieder Probleme zu machen scheint. Ich habe die Node zunächst mal abgehängt und dann den Clusterservice aktiv gehabt wegen der Freigabe, aber nur mit einer Node. Die abgehängte Maschine ist mit allen Cluster 2003 64bit recommended Updates upgedatet worden und danach habe ich sie mal testweise wieder als Node hinzugefügt. Und keine 30 Minuten später kommt die Meldung: Source: Application Hang; Hanging Application CluAdmin.exe version 5.2.3790.3959, hang module hungapp, version 0.0.0.0, hang address 0x0000000000000. Event-ID 1002. Dies hatte ich schon öfters dieser Tage. Daraufhin habe ich mal das Heartbeat-Netz des Clusters deaktiviert, dass im DMZ hängt und die passive Node mit den HP Tools (Proliant Support Pack) upgedatet. Weiterhin habe ich die IIS Applikationen (es lief eine WPAD für den Internetzugriff) mal verschoben, damit nicht so viel Traffic auf der Maschien entsteht (WPAD bei mehr als 1000 Internetuser). Bisher läuft das Cluster nach 4 Ausfällen (alle heute vormittag) seit 10.16 Uhr (da waren plötzlich alle SAN-Platten weg) wieder. Ich setze jetzt parallel ein 2008 Cluster auf, da mir vor allem die Vielfalt der Ausfälle zu groß ist. Noch jemand einen Tipp zur Application Hang Meldung? Grüße Alex

Hi Lian, kannst Du mir das kurz erklären? Eine Neuinstallation des Clusters? "Wenn man davon ausgeht, daß der Knoten nicht (mehr) sauber arbeitet hilft eine Neuinstallation. Danach kann der Knoten erneut dem Cluster beitreten (Join). Ich denke, daß ist ein sinnvolles Vorgehen." Für die Testphase lasse ich das Cluster zunächst mal nur auf einem System laufen, da der Cluster so gut wie nie geswappt sondern sich aufgehängt hat. Grüße Alex

Danke Dir erstmal. Der Knoten der passiven Node im Cluster Admin ist jetzt verschwunden. Gibt es jetzt noch Möglichkeiten, mich vor dem Cluadmin-Absturz abzusichern? Das passive System wurde jetzt bei den possible Owners entfernt und somit sollte doch kein Clustercheck (Cluster Fileshare resource status check) mehr durchgeführt werden, oder? Grüße Alex

Also ich habe jetzt gerade nur eine von zwei Maschinen oben. Das heißt im Cluster-Admin auf den passiven Knoten, der sowieso ein rotes X hat und Evict Node sagen. Dies kann ich auf dem aktiven Knoten durchführen. Sollte das nicht funktionieren, dann müsste ich für den forcecleanup das passive System hochfahren. Passt das so? Grüße Alex

Hi Lian, danke für die schnelle Antwort. Der IIS ist eine weitere Applikation auf dem Server, der nix mit dem Cluster und den Fileshares zu tun hat. Das cluster.log gibt keinerlei Fehlermeldung her und mittlerweile hat sich erneut das System mit den aktiven Fileshares aufgehängt. Und ja, es ist immer nur eine Maschine. Am Freitag Nacht war es beispielsweise die passive Node, die sich aufgehängt hat. Vor ein paar Minuten war es jetzt Event-ID 1055: Cluster File Share ressource "XXXXX" has failed a status check. The error code is 64. Danach kam ein Fileshare nach dem anderen mit diesem Fehler auf der aktiven Node hoch. Andere Frage in diesem Zusammenhang: Wie löse ich das Cluster zum kurzfristigen Test auf? Eine der beiden Clustermaschinen ist jetzt down und ich will die Clusterfehler erstmal weg bekommen. Wie gehe ich da am besten vor? Auf der aktuell im Betrieb befindlichen Maschine ist der Cluster Dienst gestartet.

Das interessante dabei ist, dass der Befehl funktionierte, PS aber nur einen Bruchteil der in der Inbox befindlichen Mails gelöscht hat. Erneutes Ausführen brachte auch kein Ergebnis, laut PS waren keine weiteren Mails mit diesem Betreff im Postfach. Per OWA habe ich dann aber noch knapp 5000 Mails gesehen, deshalb auch die 55 GB Postfachgröße. Es könnte lediglich sein, dass der Befehl erfolgreich ausgeführt wurde und im Hintergrund die Mailbox noch bereinigt wurde vom Script. Grüße Alex

Hi und danke für die fixe Antwort. Dachte nur, dass es auch per Powershell geht. Hab es jetzt per Postfachregel erledigt. Grüße Alex

Hatten heute morgen wieder einen Clusterausfall. Diesmal kein Application Pool Fehler, sondern der Cluadmin Dienst, der auf der aktiven Node hing. Selbes Bild, die aktive Maschine zeigt nur einen grauen Hintergrund, der Cluster Admin ist nicht aufrufbar, das das Cluster nicht gefunden werden kann, die Ressourcen swappen nicht und alles steht, bis die besagte Maschine von Hand wieder gestartet wird. Bin gerade dabei, beide Maschinen mit den empfohlenen Clusterupdates zu versorgen. Hat jemand noch Tipps? Grüße Alex

Hallo zusammen, habe unter Exchange 2010 folgendes Problem: Ein Script einer Fachabteilung hat eine bestimmte Mailbox zugespamt. Die Mailproblematik habe ich behoben, allerdings hat diese User-Mailbox jetzt 55 GB Größe. Ich habe versucht, mit folgendem Script die Massenmail aus dem Postfach zu entfernen: Get-Mailbox -Identity <user> -resultsize unlimited | search-mailbox -SearchQuery subject:"<Betreff>" -DeleteContent Knapp 1000 von 8000 Mails hat der Exchange Server gefunden und aus dem Postfach entfernt. Bein erneuten Ausführen des Befehls, zeigt er mir an, dass keine Mails mehr mit dem Betreff gefunden wurde, obwohl ich sie im OWA in der Inbox sehe und das Postfach wie erwähnt 55 GB hat. Wie kann ich diese mit immer demselben Betreff ausgestattete Mail noch löschen? Danke und Grüße Alex

Lian, als Cluster-Ressource werden Ordner aus der Defualt Website im IIS benutzt. Auch mit Effects the group, was ja einen Swap bedeuten würde wenn imm IIS dieser Application Pool nicht mehr erreichbar wäre, richtig? Der Befehl cluster log /g funktioniert bei mir leider nicht. Geht der nur unter Server 2008?

@ Norbert: Soweit ich das sehe, ja. Allerdings habe ich das System vor einem halben Jahr übernommen und ich werde das nochmals gegenprüfen. Die HP Treiber, Firmware und MPIO-Updates habe ich erneuert. @ Lian: Der IIS läuft, auch bei einem Ausfall, dennoch erscheint bei jedem Ausfall die Application Pool Meldung im IIS. Danach hängt sich die Maschine mit der Clustergroup / Fileshare, das Teaming ist nicht mehr möglich und ich kann die Ressourcen nicht mehr swappen, obwohl die zweite Maschine da ist. Viele Grüße Alex

Hallo zusammen, neben unserer Systemüberwachung nutze ich noch einige PS-Scripts, um verschiedene Funktionen per Scheduled Task zu checken. Dafür verwende ich die Test-Cmdlets und wollte hierfür mal fragen, was ihr so nutzt, bzw., ob jemand ein Script hat, mit dem er OWA (Test-OWAConnectivity) und ECP (Test-ECPConnectivity) abfragt und sich per Mail informiert. Sowas fehlt mir nämlich noch. Grüße Alex

Hallo zusammen, seit knapp 2 Wochen habe ich hier ein Problem mit einem Server 2003 R2 x64 aktiv/passiv File-Cluster, bestehend aus zwei Maschinen. Egal welche Maschine gerade die Fileshares und die Cluster-Group hält (bei uns immer ein und dieselbe Maschine), in unregelmäßigen Abständen stürzt das Cluster einfach ab. Wie zum Beispiel heute, als der Cluster/Fileserver erst im Eventlog folgendes meldet: A process serving application pool 'DefaultAppPool' failed to respond to a ping. The process id was '2868'. Source W3SVC, Event-ID 1010. Zehn Minuten später folgen dann diese Meldung: The node lost communication with cluster node 'Cluster' on network 'Team_Cluster'. The node lost communication with cluster node 'Cluster' on network 'Heartbeat'. Cluster node "Cluster" ist der Server, der die File- und Clustergruppe hält, Team_Cluster ist die geteamte HP NC373 Gigabit Netzkarte mit einem HP Smart Array P400 Controller und SAn-Platten im Hintergrund. Der Server hängt sich im laufenden Betrieb auf, ein Swap der Ressourcen ist nicht mehr möglich, da ich zu dem Zeitpunkt auf beiden Maschinen den Cluster-Manager nicht mehr öffnen kann. Als Lösung kann ich nur den aufgehängten Server komplett rebooten und dann findet sich das Cluster von alleine wieder. Hat mir jemand Tipps oder kennt so ein Verhalten von einem Server 2003 Cluster? Wir haben das identische Cluster nochmals in betrieb, ohne jegliche Probleme und mit gleichen Treibern. Grüße Alex

Hallo zusammen, ich habe hier eine Root-CA + WLAN-Zertifikat. Beides wird nur an die User ausgerollt, die jeweils Mitglied in zwei Sicherheitsgruppen sind. Jetzt habe ich die Anforderung, eine größere Menge an bestimmten Usern aus einer anderen Location in die WLAN-Sicherheitsgruppe einzufügen. Realisieren wollte ich das als zusätzliche Gruppe in der Gruppe, hierfür muss die eigentliche WLAN-Gruppe eine domänenlokale Gruppe sein. Dies habe ich im Nachgang geändert, da die Gruppe ursprünglich eine globale Sicherheitsgruppe war. Allerdings sehe ich in den Gruppenmitgliedschaften des Benutzers nicht, dass er Mitglied der domänenlokalen Gruppe ist. Somit wird das Zertifikat nicht gezogen. Ist das so nicht realisierbar? Grüße Alex

Also ich hab den klassischen Weg gemacht. 640, 642 unjd jetzt 643. Wobei 640 die AD Prüfung ist. Hab auch schon Diskussion darüber verfolgt, dass manche mit der eigentlichen 2008 Serverprüfung (70-642) anfangen. Grüße Alex

Hi penance, zunächst mal, das ist wirklich enorm allgemein, was Du da schreibst und berichtest. Jemandem hier Tipps geben, ist nicht einfach. Deine 11 Jahre Berufserfahrung sind natürlich schon mal was und ich verstehe, dass Du auch vorankommen willst. Aber meiner Meinung nach werden Adminstellen heutzutage entweder intern besetzt, dass heißt, Du startest im Support und arbeitest Dich dann quasi hoch, oder Du hast studiert / oder kannst Zertifikate nachweisen und bewirbst Dich auf die Stelle. Zertifizierungen helfen natürlich. Je nachdem, was Dein Arbeitsgebiet (Windows, Linux, Cisco etc.) dann werden soll, sind Zerts schon mal ein Nachweis, aber sicher ist auch, dass sie Dir keine Arbeitsstelle als Admin besorgen. Meiner Meinung nach führt Dein Weg mit diesem Werdegang nur über eine Anstellung beginnend im Support und paralleler Weiterbildung (zum Beispiel MCITP) in einen möglichen Wunschbereich, zum Beispiel als Admin oder Supportleiter, was auch eine reizvolle Aufgabe ist. Viel Glück. Alex