Maraun

Hallo zusammen, wir nutzen Exchange 2010 SP3 RU15 Standard mit 5 Datenbanken mit 2x Hub/Cas und 2x DAG/Postfachserver. Insgesamt haben wir circa 1500 Postfächer und die einzelnen DB´s liegen auf ESX-Storage und haben Größen von 30GB - 1,5TB. Zwei große DB´s beherbergen einen Groteil unserer User gesplittet nach Namen. Ich hatte bereits eine Frage zu den DB-Zuwächsen hier gepostet. http://www.mcseboard.de/topic/210217-exchange-2010-postfachzuwachs-monitoren-bzw-auswerten/ Jetzt ist wieder so ein Fall eingetreten, bei dem eine DB enormen Zuwachs im Verzeichnis hat (in dem auch gleichzeitig die TLogs liegen). Circa 3-4 GB pro Stunde auf der DB, auf der 653 Postfächer hängen. Wir haben eine DAG und eine Mailbox DB Kopie. Jetzt sind zum einen die Stände der aktiven und passiven DB enorm auseinander (fast 40GB), aber auch das Wachstum der DB hört nicht auf. Per EXMON habe ich bereits geschaut, ob ein User das verursacht, aber negativ. Mit Veeam ist die Exchange-Sicherung zwar erfolgreich, aber es werden keine TLogs abgeräumt (254.315 Logs aktuell). Habt Ihr mir weitere Tipps für den Zuwachs der DB. Vielen Dank vorab. Grüße Ein Neustart beider Postfachserver hat zumindest die Stände der aktiven und passiven DB wieder angeglichen. Per Veeam soll jetzt ein Backup durchlaufen, da auf allen DBs (5 Stück) Transactionlogs seit dem 19.04. liegen. Können nicht abgeräumte TLogs zu weiterem DB-Wachstum führen?

Hi, ja, DB und Tlogs sind auf denselbern Volumes. Werde ich mir ansehen und die Tlogs umziehen. Aber nichtsdestrotrotz werden die Tlogs ja durchs Backup bereinigt. Ist der Datenzuwachs dennoch normal? Habe jetzt auch Sensoren von PRTG Paessler gefunden. Da wir das Tool nutzen, werde ich mir das auch mal näher ansehen, um das Wachstum der DB´s zu monitoren. Aber selbst wenn ich dann das Wachstum genau im Auge habe stellt sich die Frage, was hier normal bzw. im Rahmen ist und wie man das nachvollzieht.

Hallo zusammen, wir nutzen Exchange 2010 SP3 RU15 Standard mit 5 Datenbanken mit 2x Hub/Cas und 2x DAG/Postfachserver. Insgesamt haben wir circa 1500 Postfächer und die einzelnen DB´s liegen auf ESX-Storage und haben Größen von 30GB - 1,5TB. Zwei große DB´s beherbergen einen Groteil unserer User gesplittet nach Namen. Jetzt zu meiner Frage: Teilweise haben wir Zuwächse der DB´s, die ich nicht richtig einordnen/nachvollziehen kann. Z. B. jetzt von der Systemuser-DB, die unsere Buchungsressourcen und Sammeluser beinhaltet. 212 Postfächer, die mehr oder weniger genutzt werden und im Moment am Tag um circa 1GB zuwachsen. Zumindest sehe ich, dass die Partition um 1GB zuwächst. Momentan schlagen dann Nachts meine Plattenchecks an, da die Partition unter 10GB rutscht und nur durch das Backup und Freischaufeln der Logfiles wieder Platz schafft. Gibt es Tools/Möglichkeiten, um diese Zuwächse zu kontrollieren oder nachzuvollziehen? Ich könnte natürlich für alle Postfächer das Message Tracking bemühen und auflisten, welches Postfach wie viele Mails bekommen hat. Aber das halte ich zumindest mit Powershell für etwas mühsam. Gibt es da Freeware-Tools, die sowas können? Oder wie prüft ihr sowas? Ist der Zuwachs bedingt durch Logs am Ende doch normal? Viele Grüße

Beide Transportserver restartet, ohne Erfolg. Scheint alles beim alten zu sein. Muss der Postfachserver, auf dem das OAB jetzt liegt, auch neu gestartet werden? Sonstige Ideen? Muss noch die Eventlogs checken. Problem gefixt...die https-Webseite für den OAB-Aufruf war nicht accessible, da die Rechte für die authenticated Users gefehlt haben. Das heißt, auf beiden Transportservern die Security-Rechte für die Redirection (web.config) in den OAB-Verzeichnissen auf Lesen und Lesen/Ausführen geändert. Ich habe definitiv nichts an den Berechtigungen vorab gedreht, wo also auch immer das Problem jetzt herkam, weiß ich nicht. Vielen Dank für die Hilfe.

Ja, GAL passt soweit. Das ist es ja. Es wird in der Powershell auf das Eventlog verwiesen, dort ist aber auf keinem der Server was sichtbar. Ich denke, das Problem tritt seit letzten Donnerstag/Freitag auf. Ich tendiere stark dazu, die Serverfarm mal neu zu starten. Wir hatten Tests mit Oulook Anywhere und eventuell hat sich hier was am IIS und Konsorten aufgehängt.

In OWA sehe ich die aktuelle GAL. In meinem Outlook Adressbuch nicht. Aus Outlook heraus kann ich diese Adressbuch aber nicht erfolgreich herunterladen (bleibt immer bei Verbindung zum Exchange Server wird hergestellt). Und ich habe Benutzer, mit unterschiedlichen Ständen im Outlook (manche sehen den neuen User und die Änderung von Verteilerliste zu Postfach, andere nicht).

argh, verwechselt. public folder distribution deaktiviert und web-folder only eingestellt. Habe ein ganz neues OAB erstellt und alle anderen gelöscht. OAB auf Postfachserver umgezogen, wobei die virtual directories noch auf die beiden cas-Server zeigen (distribute the oab from the virtual direcftories). get-offlineaddressbook | update-offlineaddressbook geht. Get-ClientAccessServer | Update-FileDistributionService bringt One or more sync files failed. Auf den Servern mit dem virtuellen OAB Verzeichnis kommt im Eventlog jetzt: Process MSExchangeFDS.exe (PID=2628). Group Metrics synchronization cycle has completed. 1 Group Metrics files were successfully synchronized. Das Eventlog des OAB-Postfachservers zeigt keine Meldung an. Auf dem OAB Server in der Powershell-Konsole: One or more sync files failed. Kann aber nirgends einen Fehler erkennen. Nach wie vor hängt aber auch der Adressbuch-Download direkt aus Outlook (Offlineadressbuchverbindung wird hergestellt). Und das globale Adressbuch datet sich einfach nicht mehr richtig ab, wie eingangs beschrieben.

Wir hatten zur Einrichtungszeit des Exchange 2010 parallel noch einen Exchange 2003. Dieser ist nicht mehr in Nutzung. Ebenso werden ausschliesslich Outlook 2010 Clients genutzt. Distribution auf Public Folders only geändert. Also in der EMC wird mir unter Organization Config / Mailbox / Offline Address Book / Default Offline Address List ein Transportserver als Generation Server (Default OAB - True) angezeigt. So, nach der Umstellung auf Web Distribution kommt ein Fehler und folgender Logeintrag: OABGen detected that the file '\\Server-2\ExchangeOAB\1e020ba6-6eab-4d89-8727-1216e076e0ed\658060b2-626d-4404-8339-cdedaf804658-data-2460.lzx' is corrupted or missing. This indicates data tampering or disk problems. Restore files in this folder from the recent backup or clean up folder content and force a full OAB generation. - \Default Offline Address List In dem Ordner befinden sich Daten von 2015/2016. Der zweite Transportserver steht auf Default OAB False, hat aber ein aktuelles ExchangeOAB Verzeichnis. Kann ich dieses aktuelle OAB auf dem anderen Server einfach mal zum Standard-OAB machen?

Verteilung OAB geht per Public Folder, eingesetzt werden zwei HUB-CAS und zwei Postfachserver. Das OAB liegt auf einem der HUB-Cas Server. update-filedistributionservice auf dem OAB-Server ohne Probleme ausgeführt. Wenn ich allerdings aus dem Outlook das globale Adressbuch downloaden will, dann steht das Updatefenster ewig ohne irgendwas zu machen (Offlineadressbuch Verbindung mit Exchange wird hergestellt -> Status: Wird bearbeitet - Update: Der Download läuft, dauert aber gefühlte 30 Minuten).

Im OWA sehe ich den User in der GAL. Im jeweiligen Standort wird der User in Outlook auch angezeigt. Das Update für das OAB stoße ich bei beiden CAS-Servern jeweils per Powershell und EMC an.

Hallo zusammen, unsere Exchange 2010 Serverfarm hat seit dieser Woche zwei Probleme. Zum einen datet die globale Adressliste nicht mehr ab. Das äußert sich darin, dass neue Benutzer nicht unter All Users sichtbar sind. Hier habe ich bereits folgendes getestet: Von verschiedenen Clients in der Adressliste getestet, angelegten Benutzer im Exchange kontrolliert, unter Organization config - Mailbox das Default Offline Adressbuch upgedatet, in Powershell die globale Adressliste upgedatet. Am Montag wurde der Benutzer erstellt und ist seither nicht im Adressbuch sichtbar. Ebenfalls am Montag wurden zwei Verteilerlisten zu Postfächern geändert (gelöscht, neu angelegt). Diese sind seither immer noch als Verteilerlisten im globalen Adressbuch sichtbar. Am Montag habe ich einer Userin Sendonbehalf Rechte auf ein Postfach zugewiesen über die EMS (Mail flow settings, delivery options). Im AD ist das Send as Recht im Postfach-Objekt sichtbar. Wenn Sie versucht, über dieses Postfach eine Mail zu senden bekommt sie die Unzustellbarkeitsnachticht mit dem Hinweis auf fehlende Rechte (Sie können keine Nachrichten im Auftrag eines anderen Absenders senden). Vielleicht weiß hier jemand Rat. Danke und Gruß

Thema hat sich erledigt. Man lernt nicht aus. Danke. Beachten Sie ferner, bevor Sie dieses Verfahren ausführen, dass Sie keine E-Mail-Nachrichten im Auftrag eines Postfachs senden können, wenn dieses Postfach in Adresslisten ausgeblendet ist. Wenn eine Nachricht gesendet wird, erfordert Exchange, dass eine E-Mail-Adresse im Feld Von aufgelöst wird. Wenn eine Nachricht im Auftrag eines Postfachs gesendet wird, das in Adresslisten ausgeblendet ist, wird die SMTP-Adresse als eine Adresse interpretiert, die nicht aus Ihrer Organisation stammt (bekannt als fremde Adresse), und zurückgewiesen. Informationen zum Ändern Ihrer Postfacheinstellungen finden Sie unter Verwalten von Postfachfeatures. Ah, Günther war schneller. Danke nochmals. Genau das ist es. Aber eine Anmerkung dazu: Was wenn ausdrücklich gewünscht ist/wäre, die Adresse ausgeblendet zu lassen? Damit keine internen Mails zugesendet werden. Ist OWA dann die einzige Alternative?

Hi, also der Reihe nach. Exchange 2010 SP3 RU15. Vollzugriff per GUI und damit Automapping. Senden im Namen und Senden als Berechtigung für den User auf das Postfach vergeben in der GUI. Über OWA und die Einstellungen habe ich konfiguriert, dass Nachrichten die Namen/Auftrag des Postfachs gesendet werden, im Absenderpostfach abgelegt werden. Gehe ich beim user jetzt ins Outlook, Neue Nachricht, Von und wähle das zusätzliche Postfach aus, kommt die Fehlermeldung, dass ich nicht im Auftrag von senden darf. Gehe ich beim user jetzt ins Outlook, Neue Nachricht, Von, lösche dort die vorgegebene Mailadresse, gehe auf Weitere Mailadresse und hinterlege diese dort, dann funktioniert der erste Sendeversuch intern/extern. Beim zweiten Versuch mit der dann wieder hinterlegten Adresse (die stimmt), kommt wieder die Fehlermeldung.

Hallo zusammen, Exchange 2010, Outlook 2010. Habe ein zusätzliches Benutzerpostfach eingerichtet und einem User Vollzugriff zugewiesen. Per OWA habe ich eingestellt, das von dort gesendete Mails in gesendete Objekte des Postfaches abgelegt werden. "Senden im Namen" Rechte hinterlegt und "NT/Authority" Recht bei Senden als. Das Postfach ist in der globalen Adressliste ausgeblendet. Jetzt ist es so, dass wenn in Outlook eine Mail von dem Postfach gesendet wird (per Von zum anderen Absender wechseln), dann wird die Mail gesendet und 10 Sekunden später erscheint die Meldung, dass nicht im Namen der Empfänger gesendet werden kann. Wo liegt hier mein Fehler in der Konfig? Danke und Gruß Ergänzung dazu: Bei Gesendete Objekte sieht alles gut aus. Allerdings legt er die Mail in beiden Postfächern ab. Wenn ich die Adresse einmalig aus dem Von-Feld lösche und über Von anderer Mailadresse senden eintrage, dann geht es, aber eben nur 1x.

Norbert hat Recht. Unser Problem wird sein, dass der Domänenaufruf ohne www die User auf dem DC rauskommen lässt. Aber will mich gar nicht an dem Thema zu sehr aufhalten. Kann ja so oder so geändert oder gelöst werden. Mir geht es um den Ablauf bzw. die Fallstricke, die ich noch so zu beachten habe/hätte. Z. B. gleiches Vlan etc.

Hallo zusammen, Forest/Domainlevel 2008 R2, Exchange 2010, DNS, DHCP. Wir haben uns in der Vergangenheit für eine falsche Domain entschieden (wurde hier auch in einem anderen Thread bereits erörtert) und wollen jetzt sukzessive umziehen. Mein grober Ablaufplan sollte wie folgt laufen: Neuer Domaincontroller mit neuem Forest und Root Domain im gleichen Vlan. DHCP bleibt bestehen. DNS kommt dazu mit Stubzone und Vertrauensstellung zwischen beiden Domains. Das wäre erstmal das Grundgerüst, auf dem dann getestet wird mit User- und Computerkonten. Später sollen dann Server und natürlich der Exchange kommen. Hat mir jemand noch Tipps für diese parallele Umgebung? Geht das so, wie angedacht? Ach ja, die neue Domäne heisst wie unsere Mailadresse *********.com und Webseite. Für den internen Aufruf der Firmenwebseite würde ich den IIS auf allen DC´s installieren und redirecten auf www.********.com. Danke vorab und viele Grüße

Aha alles klaro. Jetzt hab ich es begriffen, danke Dir. Jetzt weiß auch ich, wie ich die regeln anordnen muss.

Aber im TMG hat das heute Morgen als Test geklappt. Einem User das recht in einer Regel genommen. In der Regel darunter allen ActiveSync erlaubt. Bei ihm hat ActiveSync nicht mehr funktioniert. Wie sollte ich das denn sonst per TMG lösen? Also einigen Benutzer noch Zugriff erlauben, obwohl der generelle Zugriff nicht mehr erlaubt ist?

Also ich habe es für den test so gemacht: Regel kopiert und eingefügt, an erste Stelle. Regel auf Deny abgeändert, all authenticated Users durch den Benutzer ersetzt, dem ich explizit den Zugriff verbieten will und apply. Das heisst, erst dem User verboten, als zweite Regel allen (anderen) erlaubt. In unserem Fall ist es ja so, dass ich bald allen den Zugriff verbieten will. Bedeutet das dann: Erst explizit bestimmten Benutzer den Zugriff erlauben und als zweite Regel dann Deny All? Oder geht das dann so gar nicht, wie angedacht?

Hallo zusammen, wir nutzen eine Exchange 2010 Farm, die noch per ActiveSync per TMG Devices angebunden hat. Mit einem MDM System soll die Anbindung jetzt geändert werden und das TMG für ActiveSync deaktiviert werden. Unsere weltweiten Devices sind so gut wie ausgerollt, daher meine Fragen: Beende ich einfach auf dem TMG die Publishing-Regel für ActiveSync und damit ist ActiveSync nicht mehr möglich? Was, wenn ich einzelnen Devices noch den Zugriff per Active Sync geben möchte? Kann ich auf dem TMG Ausnahmeregeln bauen? Per Exchange 2010 gibt es ja die Allow/Block/Quarantine Liste, aber unser TMG ist ja nach außen präsentiert, daher möchte ich am liebsten allen unerwünschten Geräten Active Sync sperren und einer bestimmten Gruppe den Zugriff noch vorübergehend erlauben. Viele Grüße Hi, Thema is gelöst. In der jeweiligen Regel gibt es ja User. Die Active Regel hat "All authenticated Users" drin. Einfach die ActiveSync Standardregel genommen, kopiert, eingefügt und abgeändert: All Authenticated Users raus, neue Gruppe mit den Usern, die temporär noch Zugriff haben sollen. Die ursprüngliche Standardregel mit allen Usern auf Deny gestellt und die neue Regel mit den temporären Usern auf Allow stellen. Muss nur noch testen, welche Regel als erstes verarbeitet werden muss -> Deny/Allow oder Allow/Deny.

Hallo, Problem ist gelöst. Habe jetzt folgendes konfiguriert: Computer Configuration/Policies/Administrative Templates/Control Panel/Personalization Do not display the lock screen - Enabled Computer Configuration/Policies/Administrative Templates/System/Logon Turn on convenience PIN sign-in - Enabled Computer Configuration/Policies/Administrative Templates/Windows Components/Biometrics Allow domain users to log on using biometrics - Enabled Allow the use of biometrics - Enabled Allow the users to log on using biometrics - Enabled Damit kann auch aus dem Sperrbildschirm heraus der Client per Windows Hello entsperrt werden. Danke nochmals für alle Antworten.

In unserer Umgebung sollte ja demnach eben "nur" Microsoft Passport for Work funktionieren. Das habe ich jetzt per GPO zusätzlich umgesetzt: -Computer Configuration/Policies/Administrative Templates/System/Logon Turn on convenience PIN sign-in GPO wird auch laut gpresult gezogen. Die Windows Hello Funktionen sind aber jetzt nach mehreren Neustarts immer noch grau hinterlegt/deaktiviert.

Hallo zusammen, wir haben momentan eine Teststellung eines Surface Books (mit Win10 Prof), das wir mit GPOs und Windows Hello testen wollen. Domänenlevel ist 2003, Domaincontroller sind 2008 und 2012. Muss noch den Forest und Domainlevel anheben. Die Windows 10 GPOs habe ich soweit auf einem DC installiert und sehe diese auch im Group Policy Management. Ich habe eine neue GPO und OU erstellt, alle bisherigen GPOs (die auf Win7/Win8 gelten) darauf unterbrochen, das Computerkonto des Surfaces da hinein geschoben, einen WMI Filter für Win10 erstellt und folgendes in der GPO konfiguriert: - Computer Configuration/Policies/Administrative Templates/Windows Components/Biometrics Allow domain users to log on using biometrics enabled Allow the use of biometrics enabled Allow users to log on using biometrics enabled - Computer Configuration/Policies/Administrative Templates/Windows Components/Microsoft Passport for Work Use biometrics enabled use microsoft passport for work enabled - Computer Configuration/Policies/Administrative Templates/Windows Components/Microsoft Passport for Work/Pin Complexity Expiration 0 Maximum Pin length 6 Minimum Pin length 6 Require digits enabled Das Problem ist, dass die Einstellungsmöglichkeiten in Windows Hello alle ausgegraut bleiben und eine Anmeldung via Windows Hello nicht möglich ist, bzw. die Funktion gar nicht vorhanden ist. Die GPO wird richtig zugewiesen laut GPO Result Wizard und lokalem Gerät.. Sehe ich das richtig, dass im Domänenbereich nur Windows Hello for Business genutzt werden kann und dafür DC Server 2016 und Azure notwendig ist? Windows Hello ist für die lokale Nutzung und damit nicht per GPO steuerbar? Danke und viele Grüße

Also von Vorteilen will ich gar nicht anfangen. Bin naturgemäß als Systemmanager kein Freund von Outsourcing. Aber vom Budget her ist es ein Posten, den man in bestimmter Phase wieder kostentechnisch reinholen kann, um das wieder anders zu verrechnen. Und noch ist es nur eine theoretische Berechnung als Grundlage für weitere Überlegungen. Habe jetzt mal einen ungefähren Preis, für alle, die es interessiert: 1-3 Euro pro Postfach und Monat. Das ohne direkten Kontakt und zunächst mal nur als Aussage ohne Angebot. Werde ich jetzt mal direkt anfragen.

Hallo zusammen, wir nutzen bereits ein SMTP-Mailgateway vor unseren Exchange-Servern. Da wir gerade prüfen, welche Dienste/Services eventuell nach außen gegeben werden können, ist hier meine Anfrage, ob das jemand im Forum betreibt, bzw. wie die Erfahrungen dazu sind. Ich bin kein freund davon und wehre mich auch dagegen, trotzdem muss ich zumindest Zahlen liefern, die einen Vergleich der Kosten erlauben. In unserem Fall wäre also das komplette Hosting (virtuelle Maschine, das Management und das Regelwerk - also volle Betreuung) angedacht und soll von mir zumindest untersucht werden. Vielleicht kann mich da jemand mit Infos füttern. Viele Grüße und Danke