RobertWi

Genau. Du hast im Prinzip genau das, was ich beschrieb.

 

Ich kenne nur Backup-Software, die via DAG arbeitet. Der Rest geht über den CAS. Allerdings habe ich auch schon diverse Hersteller erlebt, die Applikationen für Exchange schreiben, selbst aber null Ahnung von Exchange hatten.

Die Activation Preference kannst Du sogar über die EMC setzen. Sie hat aber nur Auswirkungen bei *pver-Fällen. Zurück musst Du die Datenbank manuell schieben.

 

Aus dem Kopf würde ich sagen, erst 2013 kann automatisch auch wieder zurückschwenken (ich bin mir aber nicht sicher, ob das Feature wirklich im Exchange gelandet ist, es war geplant).

Moin,

 

bevor wir basteln: Bist Du sicher, dass die Applikation den Postfach-Server braucht und nicht eventuell den CAS? Eigentlich sieht Microsoft keinen direkten MAPI-Zugriff auf Mailbox-Server vor (Ausnahme: öffentliche Ordner). Ich kenne nur noch Backup-System, die können aber DAGs.

 

Der Rest geht gegen CAS-Server und dann gibt es CAS-Array und Loadbalancing.

Dein Link führte übrigens bei mir im ersten Versuch zu einer anderen Seite und nun gerade zu einem Time-Out. Ich war mir daher nicht sicher, ob es der gleiche ist. Unterschied ist scheinbar, dass bei Dir die Klammern codiert sind, bei mir nicht.

 

Kann aber sein, dass es an Microsoft liegt, ich habe immer mehr Seiten, wo ich nach Aufruf erstmal bei der Authentifizierung lande oder Teile der Seite verschlüsselt/unverschlüsselt scheinbar endlos nachgeladen werden.

Womit Du auffallend recht hast. Man sollte nicht aus dem Kopf beantworten, wenn man weiß, dass es zwei unterschiedliche Modi gibt (man immer nur einen nimmt), aber eine 50:50 Chance hat, das falsche im Kopf zu haben.

 

Gibt natürlich Kombi und Nur-Windows.

 

Allerdings kann ich bestätigen, dass die Verwaltung mit Gruppen grundsätzlich funktioniert, mache ich bei meinen SQL-Servern nur so. Ein einzelnes Windows-Konto gibt es da nicht mal mehr.

 

Um die Fehlermeldung besser auszuwerten, gibt es übrigens folgenden Technet-Artikel:

http://technet.microsoft.com/de-de/library/ms366351(v=sql.105).aspx

Moin,

 

hast Du in den Eigenschaften der Instanz (im SQL Management Studio) unter Sicherheit auch die Möglichkeit der kombinierten SQL/Windows Authentifizerung aktiviert?

 

Bei einer Standard-Installation steht hier IMHO nur SQL-Authentifizierung drin.

 

Allerdings weiß ich aus dem Kopf nicht, ob man bei SQL-Authentifierung überhaupt Windows-Konten hinzufügen kann. Ich nutze immer den gemischten Modus.

Bitte sei so nett und beachte das nächste Mal Regel #19 in diesem Forum.

 

-> http://www.msxforum.de/modules/newbb/viewtopic.php?post_id=85597

Danke!

Anschließend klicke ich auf ""Ein Zertifikat anfordern". Dann habe ich die Auswahl ein Benutzerzertifikat zu laden oder eine "erweiterte Zertifikatsanforderung" einzureichen.

Klicke ich nun hier auf die erweiterte Anforderung, habe ich nur die Möglichkeit, eine gespeicherte Anforderung einzureichen.

Hier hast Du keine zwei Auswahlpunkte?

 

- Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen

- Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.

Ich ziehe gerade meine Testumgebung auf CU7, dauert aber noch ein wenig.

Ich wüsste auch keine eingebaute Möglichkeit in Exchange. Ein eigener Transport-Agent könnte das erreichen.

Moin,

 

nein. Das ist ein Empfänger, nur Exchange leitet an mehrere Mail-Adressen weiter.

 

Der Anwender kann vor dem Senden den Verteiler auslösen, aber dann gibt es den Verteiler nicht mehr.

Moin,

 

teste mal, ob TLS bei dem Server überhaupt aktiviert ist:

http://support.microsoft.com/kb/2709167/en-us

 

Ich benutze zur Config der gerne das hier:

https://www.nartac.com/Products/IISCrypto/

Macht das Ganze so mehr Sinn?

Es kann sinnvoll sein. Es kann auch sinnvoll, einen alternativen FSW zu konfiguriere. Oder er funktioniert gar nicht. Oder Du machst es so, wie Norbert schreibt.

 

Kurz: Site Resilience ist ein komplexes Thema und übersteigt die Möglichkeiten eines Forums bei weitem.

 

Daher gibt es hier mal ein wenig zum Lesen:

http://technet.microsoft.com/en-us/library/dd638121(v=exchg.141).aspx

 

Technisch schaden sollte es aber nicht und ausprobieren kannst Du es ohne Unterbrechungen im Regelbetrieb. Danach verschiebst Du testweise eine Datenbank und wenn das ohne Fehler geht und das Verzeichnis am FSW da ist, kannst Du immer noch überlegen, ob Du es so lassen willst.

Moin,

 

das der Zeugenserver auf einen dedizierten HT ist, ist Installationsstandard und grundsätzlich erstmal nicht verkehrt. Da hat auch in der Praxis Vorteile, denn Exchange braucht den ja bei bestimmten Vorgängen und dann ist es sinnvoller, wenn er auf einem anderen Exchange-Server liegt, als auf einem fremden Server.

 

Ich persönlich würde den daher nicht umstellen.

 

Grundsätzlich kannst Du das aber wir im Artikel beschrieben machen. Auswirkungen während des Regelbetriebes gibt es kein, weil er im Betrieb nicht gebraucht wird. Der FSW wird erst bei *over-Vorgängen verwendet.

Moin,

 

wie es forciert wird, steht ja im KB-Artikel. Mehr gibt es da nicht, außer eventuell die Cache-Zeit runterschrauben, habe ich aber noch nie gemacht.

 

Wir haben hier mehrere 100 iPhones und nicht wirklich ein Problem damit. Irgendwann meldet sich iOS und erfragt das neue Kennwort. Nur sehr selten können wir eine Kontosperrung darauf zu rückführen.

 

Will man das Thema komplett umgehen, braucht es die Umstellung auf Client-Zertifikate. Das ist aber relativ aufwendig.

Moin,

 

schaust Du hier:

http://support.microsoft.com/kb/2612821

 

Kurzgesagt: Im IIS wird das alte Kennwort noch gecacht.

Ganz ehrlich: Das Wiederherstellen "mit Bordmitteln" ist so aufwendig, würde ich in der Praxis nicht wirklich benutzen.

Moin,

 

mit Bordmitteln kann man aus einer RDB nicht in PST-Dateien exportieren.

 

Es gibt Programm, die können aus einer EDB-Datei exportieren, dann braucht man auch keine Recovery-Database.

Eben. Das sind nur die ANKÜNDIGUNGEN. Die hatten noch nie wirklich viele Infos. Richtige Infos gab es immer erst am Patchday und daran soll sich ja nichts ändern.

 

Wobei man natürlich rein logisch betrachtet sagen muss, dass wenn es die ANS auch weiterhin für Premier Kunden gibt, ist es eigentlich nicht wirklich Aufwand, die auch auf einer Webseite zu veröffentlichen.

Und warum benennst Du dann das Konto nicht einfach um. Exchange interessiert sich doch nicht für den Benutzernamen.

Hallo,

 

danke für die Antworten. Ich habe das Tool von Robert ausprobiert und bekomme beim Punkt TLSV1_ Cipher Suites die Ausgabe: Server rejected all cipher suites.

 

Bedeutet das das TLS v.1.1 nicht funktioniert?

 

gruesse

Das heißt, dass der Server auf TLS 1.1 nicht antwortet.

 

Das sieht so aus (Beispiele sind von HTTPS):

 

Funktioniert nicht oder ist deaktiviert:

 * SSLV2 Cipher Suites:
      Undefined - An unexpected error happened: 
                 RC4-MD5                             timeout - timed out                
                 RC2-CBC-MD5                         timeout - timed out                

usw.

 

Funktioniert und ist aktiviert:

 * TLSV1_2 Cipher Suites:
      Preferred:                       
                 ECDHE-RSA-AES256-SHA384       ECDH-521 bits  256 bits      HTTP 200 OK                        
      Accepted:                        
                 ECDHE-RSA-AES256-SHA384       ECDH-521 bits  256 bits      HTTP 200 OK                        
                 ECDHE-RSA-AES256-SHA          ECDH-521 bits  256 bits      HTTP 200 OK                        
                 AES256-SHA256                 -              256 bits      HTTP 200 OK                        
                 AES256-SHA                    -              256 bits      HTTP 200 OK

Unter "Prefered" sollten Cipher stehen, die ein "DHE" im Namen haben, am besten "ECDHE". Dann wirde PFS unterstützt. Ob man bei den "Accepted" auch Nicht-PFS haben will, muss man selbst sehen.

Moin,

 

ich benutze dafür SSLyze:

https://github.com/nabla-c0d3/sslyze/releases

 

Ist Python und gibt es für Windows in einer einzelnen EXE.

 

Aufruf mit:

sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp

Moin,

 

wenn Du EDB-Datei und Log-Files hast, kannst Du die Schritte auch manuell machen:

 

http://technet.microsoft.com/en-us/library/ee332351(v=exchg.141).aspx

Ich möchte kein Splitt-DNS verwenden.

Warum? Split-DNS ist nicht umsonst empfohlen, weil es die Config und Troubleshooting deutlich vereinfacht.

 

Du würdest mit Split DNS zum Beispiele diese Frage hier gar nicht stellen, da die sich von alleine beantwortet.

 

Was passiert nun auf dem Outlook Client, der über Outlook Anywhere kommuniziert, sobald ich das NEUE Zertifikat auf dem Exchange 2007 für den Dienst IIS scharf schalte? Welches Zertifikat benutzt der Outlook Client? Meckert er, weil er noch beide Zertifikate im Speicher hat oder muss ich ihm manuell irgendwo mitteilen, dass er das NEUE SAN-Zertifikat verwenden soll oder macht er das vollautomatisch?

Beim Client passiert gar nichts. Die aktive Verbindung wird symetrisch verschüsselt. Ucd der Schlüssel bleibt, bis Server oder Client einen neuen wollen oder er abgelaufen ist. Und dann handeln Server und Client einen neuen Schlüssel aus.

 

Wenn der Client dem neuen Zertifikat vertraut (das kannst Du ja vorher testen), kannst Du Umschalten und fertig.

 

Im schlimmsten Fall muss der Anwender irgendwann Outlook ein mal neustarten.

Moin,

 

Du kannst den UPN eines Benutzers im Prinzip frei definieren. Allerdings kannst Du nur einen UPN zuweisen, nicht mehrere.

 

In den Vertrauensstellungen konfigurierst Du ein Domänen-Suffix (falls die AD-Domäne nicht der Mail-Domäne entspricht) und im AD-User belegst Du die beiden Felder von "Benutzeranmeldename" (erste Zeile) entsprechend.