fazez

Hier gibts scheinbar das fertige Script zum AutoMapping, habe es mir noch nicht genauer angesehen.... Auto Mapping | Steve Goodman's Exchange Blog

Danke für die Links RobertWi! Guter Hinweis mit dem RegKey; wir setzen diesen auch ein und haben aktuell RU2.

Hallo RobertWi, danke für die schnelle Antwort! Ich hätte es halt gerne einheitlich gehabt. So müsste ich nebenher eine Liste führen für welche Accounts ich das flag herausgenommen habe. Gibt es noch andere Möglichkeiten das AutoMapping zu verhindern? MfG Fazez

Hallo zusammen, kennt jemand das folgende Problem bzw. gibts da eine brauchbare Lösung dafür? In einem Team haben die Leute FullAccess auf die Postfächer der Kollegen. Für die Postfächer der Kollegen wird jeweils ein weiteres Konto zum Outlook-Profil hinzugefügt. (Hat den Vorteil, dass die gesendeten Emails immer im Ordner "gesendete Objekte" von dem versendenden Postfach abgelegt werden und so jeder im Team nachvollziehen kann, was an Emailverkehr über dieses Konto gelaufen ist.) Das Problem dabei ist nur, dass Outlook für jedes Konto beim Start das AutoMapping ausführt. Das bedeutet wenn die Leute gegenseitig FullAccess haben, werden die Postfächer doppelt bis vielfach im Outlook eingebunden. Kann man das verhindern? Meine Lösungsansätzen wären gewesen: - AutoMapping am Exchange komplett zu deaktivieren: Geht nicht. Für neue Postfächer muss man immer manuell das AutoMapping deaktivieren... - Outlook beibringen dass es nur für sein Standardkonto das AutoMapping ausführt: Geht sowas? oder viel einfacher: Outlook verbieten, dass es Postfächer doppelt hinzufügt. Danke, MfG Fazez

Hallo zusammen, auf einmal haben manche Sever (DomainController, Mailserver) keine IP mehr. Die Ursache ist mir noch nicht klar. Etwas recherche hat mich auf die CiscoFirewall gebracht. Wenn dort am Inside interface proxy arp aktiviert ist, kann es zu fälschlich gemeldeten IP-Adresskonflikten kommen wenn man versucht den betroffenen Servern wieder ihre richtige IP zuzuordnen. Das proxy arp habe ich deaktiviert und kann den Servern augenscheinlich auch wieder die richtige Adresse geben: Keine Adresskonfliktmeldung mehr. Aber: Wenn ich ipconfig im cmd ausführe sehe ich nur ein Standardgateway. Sonst nichts Mit ipconfig -all sehe alle Einträge. Dort sind dann zwei ipv4 Adressen aufgelistet. Einmal eine 169er (dupliziert) und dann noch die eigentlich richtige Server-IP auch mit dem Hinweis (dupliziert). Hat wer eine Idee?

Super, Danke! ...es kann so einfach sein :cool: MfG Fazez

Hallo zusammen, habe ein kleines Problem, bei dem ich nicht weiter komme. Wir haben im Haus mehrere Kyocera Multifunktionsgeräte (Typen: 1128 MFP und KM-3060) mit denen gescannte Dokumente direkt in Empfängerpostfächer übermittelt werden. Das funktioniertniert sehr gut, wenn die Emails an Personen geschickt werden. Wird allerdings eine Email an einen Verteiler geschickt bekomme ich Fehler 3101: SMTP-Authentifizierung fehlgeschlagen; egal von welchem Gerät ich die Email sende. Hat jemand eine Idee wo das Problem liegen könnte? Danke, MfG Fazez

Hallo zusammen, habe hier zwei Cisco SRP526W, die eine Site-to-Site Verbindung mit 3G untereinander aufbauen. Soweit alles gut. Jetzt möchte ich eine statische Route erstellen, die anfragen auf ein fremdes Netz über den VPN-Tunnel zum anderen Router routet. Mal ein paar Beispielzahlen: IP Router 1: 192.168.15.1 IP Router 2: 192.168.35.1 Netz hinter Router 2: 172.23.0.0 GW für das 172.23.0.0 Netz: 192.168.35.254 Ich komme also aus dem 192.168.15.0 Netz und möchte zum Beispiel auf 172.23.0.12 zugreifen. Im Routing table am Router 1 steht beim Eintrag für das 192.168.35.0 Netz in der Spalte Interface "ipsec0". Aber dieses Interface kann ich bei den statischen routen im Web-Interface nicht auswählen. Wenn ich das Mobilfunk-interface (PVC0) auswähle, werden meine Pakete einfach ins Internet geroutet... Kann ich mich per ssh auf den Router verbinden und von Hand meine Route erstellen? Danke, MfG Fazez

Die Firewalls stehen am Standort 1. Am Standort 2 steht nur das Telekom-Modem für die Standleitung und ein großer Switch. Ich glaube, ich versuche am Standort 2 einen weiteren DSL-Anschluß zu bekommen. Dann habe ich alle Gäste weg von meinem Netz. -Hab mich da in der Vergangenheit schon breitschlagen lassen, den Gästen einen Internetzugang über unser LAN zu ermöglichen. MfG Fazez

Ich glaube, dass kann ich den speziellen Gästen mit dem Checkpoint Client kaum sagen. Wir sind nur der kleine Zulieferer für den großen Automobilhersteller :( Ein UMTS-Router der ein Gast-WLAN zu Verfügung stellt wäre wohl das einfachste... aber wirklich toll finde ich das auch nicht, entstehen ja wieder Kosten... MfG Fazez

Hallo zusammen, ich soll die Möglichkeit schaffen, dass Gäste sich von unserem zweiten Standort aus via VPN bei ihren Firmen einloggen können. Wäre auch kein Problem, wenn manche nicht diesen bescheuerten Checkpoint Client haben würden. Der benötigt eine ganze Reihe von Ports dass er läuft: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk62692&js_peid=P-114a7ba5fd7-10001 Sagt mir wenn ich flasch liege, aber ich habe grundsätzlich keine Lust für Gäste meine Firewallsettings zu ändern. Mir wäre es viel lieber, unseren DSL-Anschluss von Standort 1 nach Standort 2 zu patchen und den Gästen einen gewöhnlichen DSL-Anschluss zu Verfügung zu stellen. Standort 1 und Standort 2 sind mit einer 10mbit Standleitung der Telekom fest verbunden. Die Endgeräte (NT10ETH) haben zwar einen zweiten LAN-Port aber ich nehme mal an, dass ich den nicht nutzen kann. Wie bekomm ich den Anschluss nun an den Standort 2? Site-to-Site VPN? Danke schon mal für Eure Tipps :) MfG Fazez

Habe es hinbekommen: Es ist vollkommen ausreichend wenn Benutzer und Computer Zertifikate ausgestellt werden um sich mit der integrierten Windowsanmeldung an einer Intranet-Website anzumelden. Ich weiss zwar noch nicht warum, aber scheinbar geht die integrierte Windowsanmeldung nur, wenn das Zertifikat auf den Hostnamen des Servers ausgestellt ist. Wird das Zertifikat auf den FQDN ausgestellt, poppt jedes mal eine Anmeldemaske hoch. Wenn jemand weiß warum das so ist bzw. wie man es einrichtet dass die Anmeldung auch funktioniert, wenn das Zertifikat auf den FQDN ausgestellt ist, dann raus damit :) MfG Fazez

Vielleicht hilft Dir diese Anleitung, mit der kam ich ganz gut zurecht: Einrichten einer Microsoft PKI mit Windows Server 2008 (R2) « Technikblog mfg Fazez

Hallo zusammen, habe auf dem ersten DC eine Zertifizierungsstelle installiert und konfiguriert. Läuft soweit auch ganz gut. Die Computer und User bekommen automatisch per GPO zertifikate ausgestellt. Was muss ich jetzt noch einrichten, dass auch die Windowsanmeldung mit übertragen wird, dass der user seine Zugangsdaten nicht immer eingeben muss? Kerberos-Authentifizierung Zertifikat? Danke, MfG Fazez

Event ID 31506 : Forefront TMG hat Änderungen an der Konfiguration von Microsoft Exchange Server oder Microsoft Forefront Protection Manager festgestellt und die E-Mail-Richtlinienkonfiguration erneut auf Server 'TMG' angewendet. Event ID 31506 : Forefront TMG detected changes in Microsoft Exchange Server or Microsoft Forefront Protection configuration, and reapplied the e-mail policy configuration on server 'TMG' Wird hier behandelt: E-mail policy reapplied every 1-2 minutes - Error 31506 Microsoft Forefront TMG Control Allerdings bringt das Software Update 1 for TMG 2010 SP1 Download: Software Update 1 for Forefront TMG 2010 Service Pack 1 - Microsoft Download Center - Download Details nicht den erwarteten Erfolg. Das hat bei mir geholfen: E-Mail-Richtlinienintegrationsmodus deaktivieren Disable Email Policy Integration Mode In TMG 2010 MfG Fazez

Hallo zusammen, habe das Problem, dass IP Adressen von Absendern immer wieder in der IP-Sperrliste vom Forefront Protection for Exchange landen. Das Problem habe ich erst, seit ich eine zweite Firewall (Cisco) in betrieb genommen habe. Mein Aufbau: Internet --> CiscoASA5510 --NAT--> "Forefront TMG / Forefront Protection for Exchange / Edge-Transport" -- Route --> LAN Wenn ich versuche die IPs aus der Sperrliste in die Zulassungsliste einzutragen, siehe ich im Log diesen Fehler: Wenn ich dann den Forefront Protection for Exchange schließe und wieder öffne, ist meine Zulassungsliste wieder leer. Auch wenn ich in der Exchange-Verwaltungskonsole vom Edge-Transport-Server etwas ändere, wird das kurz danach wieder zurückgesetzt. Und wenn ich direkt am Exchange-Server etwas ändere (habe testweise die IP-Sperrliste deaktiviert) kommt die Änderung nicht beim Edge-Transport-Server an. Muss ich den Exchange-Transportdienst am Exchange-Server neu starten, dass die Änderungen übernommen werden? Oder hab ich einfach ein Konfigurationsproblem? Danke, MfG Fazez

Hmm, würd ich ja, zwecks Suchfunktion; hab aber den Screenshot nicht mehr... @Dr. Melzer: Wenn du mir den Screenshot wieder herstellen kasst, tipp ich ihn ab :) MfG Fazez

Sorry, habe euch unterschlagen, dass auf dem "Forefront TMG / Edge-Transpoer-Server" auch Forefront Protection for Exchange installiert ist. Im Forefront Protection for Exchange konnte ich die IP-Sperrliste ohne weiteres öffnen und entsprechende IP-Adressen entfernen. Jetzt kann ich die Sperrlisten am Edge-Transport Server auch wieder Fehlerfrei öffnen und alle Mails kommen wie gewollt an. MfG Fazez

Hallo zusammen, irgendwie hat sich mein Edge-Transportserver verschluckt :( Mein Aufbau: Internet --> Cisco ASA 5510 --> Forefront TMG / Edge-Transport Hatte heute versehentlich zu schnell auf apply an der Cisco ASA gedrückt, dass wir nach extern eine andere IP hatten. Darauf folgend sind manche Emails nicht mehr angekommen. Das ist die Fehlermeldung die ein externer Sender bekommen hat: Habe meine Änderung an der Cisco ASA wieder rückgängig gemacht. Die Meldung oben deutet ja darauf hin, dass mein Edge-Transport-Server die IP von google auf die IP-Sperrliste gesetzt hat. Nur wenn ich an meinem Edge-Transportserver die IP-Sperrliste öffnen will, bekomm ich diese Fehlermeldung (siehe Anlage). Kann mir wer sagen wie das passieren kann bzw. wie ich das wieder in Ordnung bringen kann? Danke, MfG Fazez

Habs gefunden. Hatte in der Group Policy keine DNS einträge drin. MfG Fazez

Habe alles soweit selbst hinbekommen. Nur ein kleiner Problemchen ist geblieben.... DNS Auflösung. Ich vermute es ist ne kleine Einstellung die ich einfach nicht finden kann :( Wenn ich mich via VPN einwähle, bekommt das Cisco LAN-Interface keine DNS-Server zugewiesen. DNS an der ASA ist konfiguriert. Auch in dem VPN-Connection Profile ist die DNS Server Group angegeben. Weiß wer warum ich am eingewählten Client mit ipconfig /all am Cisco Interface keine DNS Einträge sehe? Danke, MfG Fazez Edit: Wenn ich an der Cisco VPN Netzwerkkarte manuell den DNS eintrage, läuft alles einwandfrei...

So, jetzt hab ich wieder Zeit für dieses Thema :) Wollte mich jetzt erstmal um meine VPN clients kümmern, dass diese den Forefront TMG erreichen können. Die Authentifizierung der VPN-Clients wollte ich danach angehen. Die VPN-Clients bekommen nun eine Adresse aus dem Transfer-Netz (Netz zwischen den zwei Firewalls). Habe festgestellt, dass ein Windows 7 Rechner bei VPN-Einwahl die erste freie Adresse des IP-Pool-Netzes als Standardgateway zugewiesen bekommt. Ein Windows XP Rechner bekommt seine eigene VPN-IP als Standardgateway zugewiesen. Das liegt wohl daran, dass Windows 7 nicht zulässt das IP und Gateway gleich sind. Vorhin habe ich gelesen, dass man das mit Route Maps regelt. Dort soll der VPN-IP-POOL angegeben werden und auf eine andere Adresse (bei mir TMG) weitergeleitet werden. (Wenn ich das richtig verstanden habe). Leider komme ich mit der Maske "Add Route Map" vom ASDM überhaupt nicht klar. Dort kann man ja nur prüfen ob bestimmte kriterien zutreffen und dieses dann erlauben oder verbieten. Für mein Verständnis muss auch eine Route Map ein Ziel (Gateway) haben, wo gebe ich das an? Über einen kleinen Schubs in die richtige Richtung wäre ich sehr dankbar :) MfG Fazez

Servus, das Message-Tracking ist zu deutsch der Verfolgungsprotokoll-Explorer. Hab eben noch mal Rücksprache mit den betroffenen Empfängern gehalten und habe erfahren, dass vereinzelt auch Mails vom Zeitsystem zugestellt werden. (Grrrr, Regel Nr. 1: Glaube deinen Usern nichts :)) Habe mir wohl Log-Files in einem zu kleinen Zeitraum angesehen, deswegen sah ich keine Fehler. Bei den Fehlgeschlagenen Mails steht im SourceContext "FSE Content Filter Agent". Jetzt komm ich glaube ich zurecht mit meiner weiteren Suche. Danke, MfG Fazez

Hallo zusammen, wir haben eine Zeitsystem welches zu bestimmten Events (z.B. Mitarbeiter stellt einen Urlaubsantrag) Emails an entsprechende Verantwortliche schickt. Heute habe ich erfahren, dass diese Emails seit etwa 2 Wochen nicht mehr bei den Empfängern ankommen. In den letzten 2 Wochen sind keine Änderungen am Mailserver oder am Zeitsystem-Server vorgenommen worden. Als erstes habe ich mir die Log-Files des Zeitsystems angesehen. Dort werden die Emails sauber an den Mailserver übermittelt: Als nächste habe ich vermutet dass der Forefront Protection for Exchange vielleicht diese Mails ausfiltert.... dort sind keine solchen Emails in der Quarantäne zu finden. Im Verfolgungsprotokoll-Explorer vom Exchange Server 2010 finde ich besagte Mails. Leider ist in dieser Ansicht kein Status dabei. Kann mir bitte wer sagen, wie ich herausfinden kann was mit den Mails passiert ist? Danke, MfG Fazez

Habe mir jetzt noch mal Gedanken darüber gemacht: Es läuft doch immer darauf raus wenn man zwei Firewalls betreibt, dass man an der inneren (in meinem Fall der MS ForefrontTMG) Firewall entweder Routen oder Natten muss. In der Zeichnung in der Anlage sieht man einen ganz simplen Aufbau mit zwei Firewalls. Die ASA5510 hat in diesem Fall die 192.168.10.10 Der ForefrontTMG hat die 192.168.10.1 Wenn ich an der ASA jetzt einen IP-Pool von 192.168.10.100 - 120 definieren würde, würde ein VPN-Client bei Einwahl eine Adresse aus dem Pool bekommen und als Gateway 192.168.10.1 (ForefrontTMG (Erste Adresse aus dem Netz des Pools)). An der Stelle kommts drauf an: Ist der TMG gleichzeitig Router, dann werden die Pakete in das 192.168.5.0 Netz geroutet. Steht der Router nach der Firewall muss ich zum Router hinnatten. Stimmt doch so? :) Wenn ja, warum geht dann beim Natten die Sicherheit der zweiten Firewall flöten und beim Routen nicht? Danke, MfG Fazez