RobertWi

Moin, mal eine Frage an die CA-Spezialisten unter Euch. Hintergrund: Windows Enterprise Root-CA auf Windows 2008 R2; Öffentlich nicht vertrauenswürdig, da nur für interne Dinge benutzt; Root-Cert per GPO verteilt. Für den Berater, der beim Kunden Cisco VOIP einführt, wollen wir Zertifikate für Ciscso erstellen (CAPF und die SSL-Dinger). Mein Wissen zu CISCO ist nur knapp über 0 (und ich bin froh drüber). Problem: Cisco will im Zertifikat folgendes haben: CAPF: X509v3 Key Usage: Digital Signature, Key Encipherment, Certificate Sign X509v3 Extended Key Usage: TLS Web Server Authentication, IPsec End System andere: X509v3 extensions: X509v3 Key Usage: Digital Signature, Key Encipherment, Data Encipherment, Key Agreement, Certificate Sign X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, IPsec End System Die "X509v3 Extended Key Usage" ist kein Problem, diese Erweiterungen kann man einfach hinzufügen. Problematisch sind die "X509v3 extensions". Ich kann in den Windows Vorlagen entweder "Certificate Sign" oder "Digital Signature, Key Encipherment, Data Encipherment" einstellen - aber nicht beides zusammen. Und ich kann entweder "Key Encipherment, Data Encipherment" oder "Key Agreement" einstellen, aber nicht beides zusammen. Es handelt sich hier in der Vorlagen-GUI um Radio-Buttons, d.h. sobald eine der Optionen aktiv ist, ist die andere nicht mehr auswählbar. Und natürlich wirft Windows beim Signieren die nicht in der Vorlage enthaltene Usage wieder raus und natürlich funktioniert das Zertifikat dann nicht. Meine Fragen: Variante 1: Kann ich der WIndows CA irgendwie sagen, dass sie das Zertifikat OHNE Vorlage signieren soll, also den CSR von CISCO 1:1 annehmen? Variante 2: Kann ich die Vorlagen über irgendeinen manuelle Weg konfigurieren und damit die in der GUI nicht mögliche Konfig doch erreichen. certreg und certutil habe ich schon durch und keine brauchbare Funktion gefunden (denke ich zumindest). NICHT über den Sinn diskutieren, da habe ich mich auch schon genug drüber aufgeregt, aber im Augenblick hängt das ganze VOIP-Projekt mit knapp 2000 Benutzern nur an den dummen Zertifikaten. Und die Aussage des CISCO Beraters ist natürlich: Das ist mit anderen CAs überhaupt kein Problem. Eine andere CA soll aber nur in absoluten Notfällen benutzt werden. Hat jemand von Euch einen Tipp?

Schaust Du hier (gilt auch für SMTP): MSXFAQ.DE - POP3

Moin, Du legst für die Benutzer ein Postfach an, wie für jeden anderen Benutzer auch. Einstellen musst Du nichts weiter, wenn die Connectoren noch die Standard-Einstellung haben.

Das wäre Automapping und funktioniert meistens Ja, aber gleich vorne im Profil, und nicht bei den erweiterten Einstellungen eines Postfaches. Das letzte benutze ich eigentlich gar nicht mehr. Entweder Automapping, oder echtes Exchange-Konto.

Nein, das waren nur Erfahrungen. "Merkwürdige" Phänomene mit zusätzlich eingebundenen Postfächern verschwanden, als diese als echte Exchange eingebunden wurde. Die genauen Hintergründe habe ich aber nie recherchiert.

Moin, wie groß sind denn die jeweiligen PF? Ich habe ähnliche Erfahrungen mit relativ groén PF gemacht (> 2 GB). Es half, das zusätzliche Postfach nicht per Autodiscover oder "erweitert", sondern als echtes, zusätzliches Exchange-Postfach einzubinden.

Moin, ein Deine Benutzer-Verzeichnis findest Du unter "C:\Users\USERNAME\AppData\Roaming\Microsoft\MMC" eine Datei "Exchange Management Console". Diese löschen. Wenn Du da drin andere Dateien findest, die auf Exchange hindeuten (z.B. Exchange Queue Viewer oder Public Folder Management Console) diese auch gleich löschen.

Moin, standardmäßig gibt es so etwas nicht. Ich will nicht ausschließen, dass man das programmieren kann, aber dann solltest Du die Frage lieber in einem MSDN-Forum stellen. Allerdings darfst Du nicht vergessen, dass alle Schnittstellen bis auf eine bei Ex 2003 das letzte Mal enthalten sind. Wenn Du nicht direkt mit MAPI rangehst, musst Du für kommende Versionen neuprogrammieren.

Moin, in das Feld "Benutzername" muss der Benutzername und die Domäne so rein, wie Du Dich auch an Windows anmeldest. Also vermutlich "domain\username". UPN würde gehen, daher die Frage von sweigl, bedeutet aber, dass man im AD den UPN korrekt konfiguriert hat. Eventuell musst Du mal den Kennwort-Tresor von Windows aufrufen und alle Outlook-Kennwörter dort rausnehmen. Vermutlich musst Du aber erst den Serverfehler von OWA korrigieren, bevor Outlook funktioniert.

Moin, schau mal hier: MSXFAQ.DE - Powershell Beispiele Abschnitt: "Testmails versenden". Diese PS-Variante ist zwar etwas länger (geht mittlerweile auch kürzer), funktioniert dafür aber von jedem Rechner, auch Clients, die eine PowerShell installiert haben.

Hmmm.... Mal realistisch: Du hast Probleme, die Du ohne POP-Connector nicht hättest. Du erlebst den leider üblichen Fall, dass nicht zustellbare Mails unauffindbar und ohne Nachvollziehbarkeit verloren gehen. Wie kommst Du da auf die Idee, von "sollte diese Konstellation auch funktionieren" zu sprechen? Lass es Dir von uns aus jahrelanger Erfahrung ein sagen: POP3-Connectoren funktionieren NIE richtig gut und fehlerfrei. Sie können es überhaupt nicht, weil es die verwendeten Protokolle nicht vorsehen. Mails haben zum Beispiel nichts bei Problemen im Pick-Up-Ordner verloren. Der einzig sauber funktionierende Weg ist SMTP und wenn ein Connector die Mails in den Pick-Up-Ordner legt (egal warum), dass ist der Verlust vorprogrammiert. Du hast "geschätzte 100 Beiträge zu diesem Thema gelesen" und bisher noch nicht auf die Idee gekommen, dass Konzept "POP3-Connector" die Ursache für die Probleme sein könnte?

Moin, ich persönlich nehme meistens PSW GROUP - SSL-Zertifikate ab 15 € pro Jahr mit bis zu 90 Tagen zusätzlicher Laufzeit | Qualifizierte Signatur | Shoplösungen | PDFlib | Parallels-Lizenzen | Secure CDN | Hosting & Housing. Wenn Du nichts dagegen hast, es jährlich zu erneuern, bekommst Du es hier auch kostenlos: StartSSL Wenn das Zertifikat des Webhosters für SSL ist, würde ich nachfragen, ob es auch mit dem IIS läuft. Dann sollte nichts dagegen sprechen.

Das wundert mich nicht. :) Ich habe jetzt gerade zum gefühlten 1000. Mal einem Kunden erklärt, wie genau die ESE arbeitet, was Log, EDB, CHK-Datei für eine Bedeutung haben, warum RAM wichtig ist und woher Exchange seine Performance zieht, wie sich Backup und DAG auswirken, usw.

Moin, wenn man nach RBAC keinen Berechtigung für eine Funktion hat, blendet Exchange die CMDLETs aus. Für die EMS scheinen Sie damit nicht vorhanden zu sein.

Ach so, es sind nicht alle Logs noch da, sondern nur ein paar der letzten? Das wäre dann vollkommen normal. Die Datenbank ist nie sauber beim Backup, enthält also nie alle Log-Dateien. Und die Log-Dateien, die nicht in der Datenbank sind, werden zusätzlich gesichert und müssen natürlich nach der Sicherung erhalten bleiben. Das sagt dann auch die Meldung aus: Diese Log-Dateien werden abgeschnitten (=gelöscht), sobald sie wiedergegeben (=in die Datenbank übernommen) worden sind. Noch sind sie es nicht, dann dürfen sie nicht gelöscht werden, sonst droht Datenverlust. Und gerade bei einer DAG kann es sein, dass noch Log-Dateien fehlen, die noch repliziert werden müssen, in den passiven Kopien fehlen, usw. Solange wir hier nicht über "Millionen" von Dateien reden, würde ich mir keine Gedanken machen.

Moin, ich würde die Transport-Datenbank einfach komplett löschen. Sie wird beim Start des Transport-Dienstes neu angelegt. Ansonsten ist eine Hilfe bei Deinen vielen Try&Error-Versuchen aus der Ferne in einem Forum nur sehr schwer möglich. Du solltest Dir dringend jemanden ins Haus holen, der sich das anschaut!

Wie Norbert schreibt: Proxy prüfen! Ansonsten mit E-Mail-Autokonfiguration testen prüfen, welche URLs für den Verfügbarkeitsdienst verwendet werden.

Moin, offiziell unterstützt WSB nur das Backup der aktiven Datenbank. Wenn man WSB über die GUI bedient, muss man unbedingt daran denken, den Backup-Modus auf "Vollbackup" einzustellen! IMHO ist der Standard-Wert "Kopiesicherung". Ansonsten hier noch ein wenig zum Lesen: Chris and Robin's Technology blog: Exchange 2010 DAG backups using Windows Server Backup

Die Relay-Funktion ist aber mit "get-adpermission" abrufbar, weil es eine Sicherheitsberechtigung ist.

Über "Kniffe" beim RAID-Controller kann ich nichts sagen, die Type kenne ich nicht. Bei den mir bekannten würde das zumindest nicht mit Bordmitteln gehen (die können keine Spiegel von Dritten Platten anlegen, nur von am Controller angeschlossenen). Aber mit Drittanbieter-Software ginge das eventuell. Übrigens kannst Du Dich glücklich schätzen, dass der Onboard-Controller die Platten erkennt. Nach meinen Erfahrungen wollen manchmal noch nicht mal die Controller des gleichen Herstellers Platten einlesen, wenn z. B. die Firmware nicht stimmt.

Moin, den Stand der alten Platte zu nutzen, hat zwar den Charakter eines unsupporteten Snapshots, aber wenn Du in drei Tagen keine RUs oder Service Packe installiert hast oder irgendwelche großen Konfigänderungen, sehe ich da wenig Probleme. Vor allem, wenn die Daten selbst auf einem anderen Volume sind. Eventuell müssen so Dinge wie das OAB aktualisiert werden, aber das ist ja nicht wirklich ein Problem.

Moin, D.h., Du hast OHNE Cache Mode einen anderen Zustand, als im OWA? Ich würde dann trotzdem mal die temp. Outlook-Daten löschen.

Von innen greift DIESE Empfängerfilterung gar nicht, weil sie nur auf dem SMTP-Weg gilt und innen per MAPI gearbeitet wird und alle internen Server natürlich auch bekannt sind, und also Ausnahme im Spam-Filter funktionieren.

Benutze bitte keine Domänen-Namen, die AUSSEHEN, als wären es die echten. Nimm entweder die echten (das Risiko wird massiv überschätzt) oder nimm Namen, denen man ansieht, dass sie verstellt sind. Ich habe einige Zeit mit TELNET und MXLOOKUP gesucht -> das hätte ich mir sparen können. Aber wenn ich Dir richtig verstehe, lieferst Du die Mails zuerst beim Ex 2003 ein, oder? Dann musst Du natürlich dort auch die Relay-Funktion aktivieren: Exchange 2003 SMTP Namespace Sharing Woher soll der sonst wissen, dass er die zweite Hälfte der Mails auf den anderen Server weiterleiten soll?

Moin, und die Meldung kommt wirklich vom Exchange und nicht von einem vorgelagerten Rechner? Bei "mail.medical.com" scheint keine Exchange-Server zu hängen (überhaupt hat "medical.com" keinen MX-Eintrag?).