Maraun

Ich habe jetzt das neue SSL Zertifikat von der Root-CA aufgespielt und keine weitere Änderung vorgenommen. SSL ist nicht required und IPhone und IPAD funktionieren genauso wie der http: Zugang per OWA mit dem neuen Zertifikat. Wenn ich intern per https die Verbindung starte (https://owa.exchangeserver.com), dann meldet der IE, dass nur sicherer Inhalt angezeigt wird und öffnet nach der Bestätigung die Seite. Dies ist aber trotz https: und SSL Zertifikat keine SSL-Verbindung. Unter der URL: https://owa.exchangeserver.com/exchange) ist es genauso. Warum ist die Verbindung nicht gesichert? Macht er, solange SSL nicht required ist, trotz https-Aufruf eine ungesicherte Verbindung auf? Oder stimmt was mit dem zertifikat nicht? Grüße Alex

Das heißt, mit dem von der Root-CA ausgestellten Zertifikat erhalte ich bei jedem Aufruf eine Sicherheitswarnung? Noch ne andere Frage: Ich möchte im IIS unter der Default website das Zertifikat nicht ersetzen, sondern tauschen. Server certificate - Replace the current certificate. Allerdings ist der Punkt nicht möglich. Normalerweise stelle ich ja über die Root-CA einen Request für ein neues Zertifikat, dann ist aber mein altes nicht mehr bequem tauschbar. Jetzt habe ich vom Exchange über die Root-CA ein neues Zertifikat beantragt und installiert. Das allerdings liegt im Zertifikatspeicher des Benutzers und daher ist der Menüpunkt zum Tausch grau. Kann ich das Zertifikat einfach in den persönlichen Speicher des Computer kopieren? Grüße Alex

Das Zertifikat ist ja von der Root-CA ausgestellt und sollte, sofern dann der richtige Pfad genutzt wird, auch vertrauenswürdig sein. Wenn ein Domänen-Client per Web reinkommt, dann sollte doch der Name https://mailserver.domäne/exchange verwendet werden und trusted sein, oder? Das habe ich zumindest so gelesen. Nur SSL habe ich gestern mal testweise versucht. Das Ergebnis war, dass dann per HTTP richtigerweise der Secure Hinweis kam, aber per HTTPS kein Zugriff möglich war. Weder per OWA noch per OMA oder Active Sync. Hatte das neue Zertifikat installiert und alle virtuellen Verzeichnisse auf SSL required gesetzt. Nur aus mir bisher unbekannten Gründen hat per HTTPS kein Zugriff funktioniert und ich habe die Konfiguration dann rückgängig gemacht. Grüße Alex

Hallo Norbert, danke nochmals für den Link. Die virtuellen Verzeichnisse für OMA und Active Sync sind bereits in der Vergangenheit konfiguriert worden, samt Registry Key und Verzeichnis-Zugriffseinstellungen (Basic / Integrated). Es ist auch ein Zertifikat eingespielt, das allerdings untrusted ist und somit einen zertifikatfehler bringt, beim HTTPS-Aufruf. Deshalb will ich ja ein neues SSL-Zertifikat einspielen, allerdings ist mir nicht klar, wie ich dann sicherstellen kann, das zukünftig per HTTPS zugegriffen wird? Im Prinzip können ja alle Smartphones (IPhones, Samsung) und das IPAD von sich aus schon SSL. Muss ich alle Geräte manuell auf die HTTPS-Adresse setzen? Und wie biege ich die Clients um, die ja dann HTTP oder HTTPS machen können? Viele Grüße Alex

Hi Norbert, danke für die schnelle Antwort. Die Root-CA hab ich im Prinzip für Network Access Protection aufgesetzt, von daher bietet sich das Zertifikat für den OWA an. Wenn ich Dich richtig verstehe, erstelle ich das SSL-Zertifikat, ersetze damit das bisherige Zertifikat, dass der Exchange hat und erzwinge keine sichere Verbindung. Dann kommt doch der Client, also zum Beispiel das jeweilige Smartphone, weiter per HTTP auf den OWA, oder nicht? Ist dann die Übertragung der Zugangsdaten nicht weiter ptenziell unsicher? Ich werde mal nach den erwähnten KB´s von MS suchen. Grüße Alex

Hallo zusammen, habe vor kurzem einen Exchange 2003 übernommen, bei dem der OWA nur per HTTP und nicht per SSL bereit gestellt wird. Zudem ist auf dem Exchange noch das MS Standardzertifikat von der Installation hinterlegt. Ich habe eine Root-CA in der Domäne erstellt und ein 5 Jahre SSL Zertifikat ausgestellt, dass ich zukünftig gerne für OWA verwenden will. Jetzt suche ich nach dem besten Vorgehen für den Zertifikatwechsel, da knapp 70 mobile Devices (Smartphones vom Typ IPhone, Samsung, IPads) noch an den OWA per HTTP angebunden sind. Sobald ich im Exchange die sichere Kommunikation per SSL voraussetze, dann können doch diese Clients sich nicht mehr per OWA verbinden, oder? Unter dem Reiter Secure Communications im Exchange gibt es auch noch die Möglichkeit, Client Zertifikate zu akzeptieren, zu ignorieren oder vorausszusetzen. Was konfiguriere ich da im Fall meines SSL Zertifikates? Und ist es möglich, einen vorübergehenden Parallelbetrieb HTTP / SSL umzusetzen? Vielen Dank vorab für alle Antworten. Viele Grüße Alex

Hi olc, danke für den Link. Die Seite kenne ich und im Prinzip halte ich mich auch an die Best Practices. Ich habe in der Forwar und Reverse Lookup Zone die Alterung mit den Standartwerten (je 7 Tage Alterung / Refresh) aktiviert und im DNS global deaktiviert. Dort führe ich die Bereinigung manuell nach geplantem Termin durch. Nach einiger Recherche gehe ich jetzt davon aus, dass die Einträge, die gelöscht wurden, dynamisch erzeugt waren und deshalb der Alterung zum Opfer fielen. Grüße Alex

Hallo zusammen, da mir die Forward Lookup Zone in unserer Domain mit knapp 3000 Einträgen für 1500 Clients / Systeme ziemlich groß erschien und die dynamische DNS Updates durch den DHCP dazu führten, dass IP´s mehrfach an Clients vergeben waren, habe ich vor 3 Wochen die Alterung im DNS und den Forward Lookup Zonen konfiguriert (Alterung 7 Tage). Weiterhin habe ich gestern die Funktionalität Scavenge Stale Resource Records (Bereinigung alter DNS-Einträge) ausgeführt. Meines Wissens nach werden dabei dynamische DNS-Einträge, deren Timestamp veraltet ist und die nicht in bestimmter Periode aktualisiert wurden, bei diesem Vorgang gelöscht. Manuell erstellte DNS-Records werden mit einem 0 Wert des Timestamps erstellt und sind dabei nicht vom alterungsbedingten löschen betroffen. Jedoch wurden bei dem gestrigen Vorgang einige manuelle Einträge gelöscht, was dazu führte, dass ein System nicht mehr richtig lief. Ich versuche zu verstehen, unter welchen Aspekten eine solche Bereinigung auch manuelle Einträge löschen kann und damit Probleme verursacht. Kann mir das vielleicht jemand erklären? Bei MS hab ich zwar nachgelesen, dass man mit dieser Funktion vorsichtig sein soll, aber meiner Meinung nach bin ich das auch gewesen. Hat mir dazu jemand Tipps oder best practices? Danke vorab. Viele Grüße Alex

Hi ccrom, wichtig bei MS Prüfungen sind immer die Neuerungen gegenüber vorherigen Versionen. Im Fall von Win 7 sind es hauptsächlich die ganzen Deployment Tools für die Imageverwaltung, die zugehörigen Befehle und die jeweiligen Vorgehensweisen bei der Imageverwaltung und Betreuung. Ich achte immer besonders noch auf die Funktionen und Möglichkeiten, die ich bei der Arbeit oder privat daheim nicht oder kaum nutze und gehe diesen Stoff häufiger durch. Installing, Upgrading, Migration, mobile computing (TPM), Backup und Recovery. Grüße Alex

Danke euch für die Antworten. Grüße Alex

Hi Nils, recht herzlichen Dank für die super Hilfe. Klappt alles. Geniale Sache, wenn einem so kompetent und schnell geholfen wird. Viele Grüße Alex

Hi Nils, vielen Dank für die schnelle Antwort. Ich bekomme bei der VBS allerdings einen Kompilierungsfehler. serviceinv.vbs (1, 5) Kompilierungsfehler in VBScript: Anweisung erwartet. Kannst Du mir dabei auch helfen? Grüße Alex

Hallo zusammen, ich habe ein kniffliges Problem. Bei uns ist ein bestimmter Benutzer einem sehr großen ITler Kreis bekannt und jetzt soll das Kennwort dieses stark frequentierten Benutzers geändert werden. Allerdings ist der in zahlreichen Services, Diensten, Scheduled Tasks und vielem mehr in der Domäne hinterlegt. Gibt es Möglichkeiten, genau herauszufinden, auf welchem System und unter welchen Tasks und Diensten der Benutzer hinterlegt ist? Docusnap wäre eine Möglichkeit, allerdings ist die Demo auf Clients beschränkt. Gibt es über Powershell oder sonstige Admin-Tolls diese Möglichkeit? Danke vorab für alle Antworten. Viele Grüße Alex

Hallo zusammen, kurze Frage: Wir wollen bestimmte Servicepartner per Web Access anbinden und diese Mails in unserem Namen versenden lassen. Jetzt sind diese Servicepartner in unterschiedlichen europäischen Standorten. Kann ich im WebAccess irgendwie die Sprache konfigurieren? Soweit mir bekannt, wird die Spracheinstellung vom Exchange über den Client (also den Rechner), der sich zum ersten mal connected, definiert. Ist das so richtig? Oder bezieht sich diese Einstellung auf den Outlook-Client und dessen Spracheinstellung? Vielen Dank vorab für alle Antworten. Grüße Alex

Hi, die beiden Events im Log (KCC und NTP) sind also von der Zeit der Hochstufung des 2ten DC´s? Ich nutze für Replikationstests noch das Tool repadmin aus den Support Tools für Server 2003. repadmin /syncall sorgt für einen Anstoß der sofortigen Replikation. repadmin /showrepl zeigt Dir das Ergebnis und die Zeiten. Grüße Alex

Hallo zusammen, wir haben einen Exchange 2003 und unter All Adress Lists einige Einträge, die ich namentlich gerne ändern würde, damit sie dann auch im Outlook angezeigt werden. Ich gehe also in den System Manager, navigiere unter Recipients, All Adress Lists und änderen dort den hinterlegten Namen. Die Änderungen funktioniert in der Ansicht, aber im Outlook heißen die Ordner immer noch gleich. Bei meinem Client ist der Cache-Mode deaktiviert. Benötigt der Exchange für die Änderung nur solange, oder hab ich was übersehen / falsch gemacht? Danke vorab. Grüße Alex

Vielen Dank für die schnelle Antwort. Wir haben hier gestern solche Probleme versucht mit dem IPAD, einem Android Smartphone, Outlook 2003 und der Kalenderfreigabe nachzustellen und siehe da, sobald wir bestehende Serientermine mit dem IPAD verschieben oder absagen, fängt zumindest in unserer Umgebung unter Umständen das Chaos an. Termine sind im Kalender desd IPAD-Nutzers noch drin, obwohl er sie schon abgelehnt hat und im IPAD nichts mehr davon zu sehen ist usw.. Werde das mal weitert testen und beobachten. Danke nochmals. Grüße Alex

Hallo zusammen, wir nutzen eine 2003er Domäne, in der ich mit den Quest-Cmdlets Benutzer kopieren will. Mein Befehl klappt soweit, dass ich Benutzer kopieren kann, jedoch werden bestimmte Attribute nicht in die ADuC übernommen, obwohl sie im Powershell als gesetzte Attribute sichtbar sind. Da wir 2003 nutzen, arbeite ich wie erwähnt mit dem get-qaduser. Hier der Befehl: Get-QADUser 'xxxx' -includeallproperties -export | Foreach {New-QADUser -ParentContainer domäne.xxx/users -Name 'Nachname, Vorname' -SamAccountName 'xxxx' -DisplayName 'Nachname, Vorname' -FirstName xxxx -LastName xxxxx -UserPassword 'xxx' -City $_.City -Department $_.Department -Description $_.Description -Company $_.Company -Fax $_.Fax -LogonScript $_.LogonScript -Manager $_.Manager -Office $_.Office -StateOrProvince $_.StateOrProvince -StreetAddress $_.StreetAddress -PostalCode $_.PostalCode -Title $_.Title -PhoneNumber $_.PhoneNumber -PostOfficeBox $_.PostOfficeBox -import } Wie gesagt, der Benutzer wird kopiert, allerdings manche Attribute werden nicht gesetzt wie (Samaccountname, logonname, streetaddress, description, logonscript, usw..). Wir haben hier eben viele Benutzer, die praktischerweise per Kopiervorgang angelegt werden könnten. Hat hier jemand Erfahrungen oder macht das in gleicher Umgebung irgendwie anders? Danke vorab. Grüße Alex

Hi zusammen, leider muss ich dieses Thema nochmals neu aufgreifen, da sich bei uns im Unternehmen das im ersten Thread beschriebene Problem deutlich erhöht. Umgebung ist nach wie vor Exchange 2003 mit Outlook 2003 und einem IPAD, das wohl der Übeltäter sein könnte. Laut einem Benutzer gibt es immer dann Probleme, wenn Serientermine versendet werden. Bei den Empfängern der Serientermine gibt es die unterschiedlichsten Konstellationen: Einer bekommt falsche Uhrzeiten der Termine, bei einem anderen wird der neu versendete Serientermin als veraltet angezeigt, wenn bei einem bestimmten Benutzer ein Serientermin abgesagt wird, dann erstellt Outlook in dessen Kalender automatisch eine neue Serie. Es wird also immer mit der Vertreterfunktion des Postfaches (Sekretärin) ein Serientermin eingestellt oder verändert. Laut der Anwenderin, die die Serientermine einstellt, scheinen die Probleme in dem Umfeld erst aufzutreten, seit zusätzlich per IPAD auf die Mails zugegriffen wird. Vielleicht hat ja jemand Infos dazu oder eine Lösung. Wie im zweiten Post erwähnt, scheint sich ein Problem mit einem User durch Windows 7 behoben zu haben. Danke vorab. Grüße Alex

Danke euch beiden für die Erklärungen. @Norbert: Vor lauter Signatur lesen einfach mal den Namen verwechselt. :) Grüße Alex

@Frank: Hi, das stimmt. Hab allerdings auf einem Exchange 2010 schon Postfächer gelöscht und wieder hergestellt / neu angelegt, mit alten Maildaten darin. Besteht der Unterschied dann darin, dass man bei Exchange 2003 das Postfach deaktivieren und aktivieren kann und bei Exchange 2010 das Postfach gelöscht und wieder hergestellt werden kann? @RoberWi: Im Prinzip ist es für mich dann egal, ob das Postfach deaktiviert oder gelöscht wird. Bei beiden Vorgängen sind die Extension Attributes weg. Das muss ich mir im Hinterkopf behalten. Danke Euch nochmals.

Danke euch beiden für die schnellen Antworten. @RobertWi: Gut zu wissen. Momentan pflege ich die Extension-Felder per Powershell und damit kann ich sie auch bei Benutzern anpassen, die keine Mailbox haben. Aber in der Regel kann man bei uns davon ausgehen, dass die Mailbox (sofern eine vorhanden) beim Benutzer nur deaktiviert wird, wenn er nicht mehr im Unternehmen ist. Danke nochmals. Grüße Alex

Hallo zusammen, für eine VoIP-Integration werden in unserem AD vier Felder für die Sprachwahl gesucht. Vor- und Nachname und gesprochener Vor- und Nachname. Wir haben die Domänen- und Forestfunktionsebene Windows Server 2003 und Exchange 2003. Ich dachte hierbei an die vier Felder extensionattributes 1-4. Für nächstes Jahr haben wir allerdings Server 2008 und den Exchange 2010 eingeplant. Ändern sich durch die neuen Serverversionen die AD-Feldbezeichnung? Danke vorab. Viele Grüße Alex

Hallo Nils, vielen Dank für den Link. Klasse Forum, das Ihr da neben dem MCSEboard betreibt. Grüße Alex

Hallo zusammen, wir haben eine Server 2003 Domänenumgebung und dank einer VoIP-Lösung, die bald integriert werden soll, jetzt die Aufgabe, das AD um weitere Benutzerfelder für die Anlagensoftware zu erweitern. Ich habe mir jetzt mal das Employeeid-Feld angesehen und ins Schema integriert. Das Feld employeeid befülle ich per Powershell und darüber kann ich natürlich auch die Werte anzeigen und auswerten, sehen tue ich es aber nur per Powershell-Abfrage. Aber soweit ich das verstehe, kann ich es nur per VB-Script als Kontextmenüeintrag oder in die ADUC / MMC als Suchergebnis implementieren und sichtbar machen. Ich muss für die VoIP-Aufgabe vier neue Felder integrieren, Vorname, Vorname gesprochen, Nachname, Nachname gesprochen (für die Sprachwahl). Wie sind denn eure Erfahrungen für solche Aufgaben? Ich kann also die Felder integrieren und per Powershell befüllen. Gibt es noch andere Möglichkeiten? Kann ich die Felder noch irgendwie anders (außer durch C++ oder Drittanbieter) in der MMC ADUC Konsole sichtbar und änderbar machen? Wie kann ich denn Felder, die bereits in der ADUC MMC sichtbar sind anpassen / umbenennen? Danke vorab. Viele Grüße Alex