RobertWi

Moin, das ist nicht "merkwürdig", das ist normal. Hast Du Dich nie gefragt, was mit den lokalen Gruppen passiert, sobald Du einen Member-Server zu einem DC machst? Die AD "builtin"-Gruppen sind nichts anderes, als die lokalen Gruppen eines Member-Servers - nur für die DC. Kann man gut sehen, weil die SID bei den builtin/administrators identisch zu den Lokalen Admins auf einem Member-Server oder einer Workstation ist (S-1-5-32-544, ein sog. Well-known security identifier). Und, so wie bei jeder lokalen Gruppe lässt sich die Gruppe daher nur auf dem lokalen Rechner benutzen. In diesem Fall auf den DCs. Probier es aus: Nimm einen Memberserver und such im Berechtigungsassistenten über "Erweiterte Suche" direkt im Container AD/builtin. Du wirst die Gruppe "Administratoren" nicht finden. Danach mach das gleiche auf irgendeinem DC: Und da gibt es die Gruppe "plötzlich". Der einzige Unterschied ist, dass die echten lokalen Gruppen "maschinenlokal" sind, also nur auf der einen Maschine benutzt werden können. Die "builtin"-Gruppen dagegen sind DC-lokal, können auf allen DC benutzt werden.

Moin, mal der allgemeinen Sicherungsproblematik hier abgesehen, habe bisher nur sehr wenig gute Erfahrungen mit USB 3.0 gemacht. Entweder sind die externen Gehäuse schlecht oder die Bords oder die Treiber. Gerade beim Kopieren sehr großer Dateien ist es ein sehr häufiges Problem, dass man auch oft genug im Internet findet, dass die Platten "ausgehängt" und wieder eingebunden werden. Und dann ist die Sicherung kaputt. USB 2.0 ist da deutlich ausgereiftet (aber auch langsamer), eSATA geht aber meistens auch ganz gut. Thunderbolt ist leider im Windows-Bereich noch nicht so wirklich gut vertreten.

Moin, PTR gehen auf die IP und Du kannst damit pro IP nur einen PTR setzen. Sorge dafür, dass der FQDN des Sende-Connectores -> A -> PTR passt, dann sollte es keine Probleme geben.

Prima, danke für das Feedback!

Es ist korrekt, dass sich das Standard-Sendeverhalten geändert hat. Ex 2003 hat direkt munter ins Internet gesendet, Ex 2007 und höher brauchen zwingend einen Connector.

Moin, ich würde spontan sagen, dass es dafür keine einfache Lösung in Exchange gibt. Die Logik ist: Solange es keinen expliziten Fehler gibt, probiere ich es weiter. Der Zeitraum, über den probiert wird, kann man leider nicht einzeln ändern, der gilt für die gesamte Organisation. Du könntest z.B. einen *-Connector einrichten und den auf nicht existenten Smarthost (mit FQDN am besten aus Deiner Domäne) zeigen lassen. Wenn der DNS einen authorativen Fehler zurückgibt, könnte es sofort einen NDR geben. Oder Du lässt vom *-Connector die Mails an einen Mailserver in Deinem Bereich einliefern, der aber diese Mails mit Fehler ablehnt. Andersrum solltest Du Dir aber auch überlegen, ob der Aufwand den Nutzen rechtfertigt. Du hast mehrere Mail-Server, die Du pflegen musst. Wenn Mails nachvollzogen werden müssen ("warum ist die Mail nicht angekommen"), musst Du auf verschiedenen Servern suchen. Und was bringt Euch das? Am Ende Nichts. Denn alles, was der Benutzer machen muss, ist ein anderes Outlook-Konto zu wählen. Und bitte nicht argumentieren, dass das ja dann absichtlich und bewusst so getan wird. Das sind Benutzer, die suchen grundsätzlich den Weg des geringsten Widerstandes und tun das selten "bewusst". Dann müsst ihr andere Maßnahmen ergreifen. Ich bin auch in einer Behörde mit gleiche Aufgabe, wie Du. Wir würden nie auf die Idee kommen, uns für quasi nicht existenten Nutzwert eine so hohe Komplexität einzuführen.

Moin, wenn Oultlook im Cache Mode läuft, nimmt es die lokale Windows 7 Suche. Die von Exchange wird nur bei der Erstellung des Index, bei Online-;Mode oder OWA benutzt. Siehe hier: https://support.microsoft.com/kb/2647937/de

Für ews und oab finde ich es ziemlich sinnlos, ein eigenes Zertifikat oder einen eigenen Namen zu bauen. OWA/ECP/EAS/EWS/OAB laufen alle über den gleichen Kanal. Außer bei OWA kommt niemand außer dem Admin mit der URL wirklich in Berührung, also läuft das alles über den gleichen Namen.

Wobei da nicht wirklich was zu tun ist. Wenn man kein ÖO angelegt hat, werden auch keine angezeigt. Nachtrag: Den Eintrag in Outlook kann man IMHO nicht entfernen. Der ist entweder leer oder bringt eine Fehlermeldung.

Moin, das Du Dein Zertifikat extern gekauft hast, hängt der Vorgang der Verlängerung von Deinem Herausgeber ab. Da ist alles möglich von: "Komplett Neuerstellen wie beim ersten Mal" bis hin zu "CA macht alles und Du musst nur noch importieren". Nur der letzte Schritt ist immer der gleiche: Enable-Exchangecetificate -services XX,YY,ZZ

Nichts genaue weiß man nicht. PST? Oder meinst Du OST? Spielt die Systempartition bei heutigen Clients wirklich noch eine Rolle? Selbst bei SSD waren die Falschenhälse eher an anderer Stelle, als bei OST-Datei. Das wiederrum widerspricht so ziemlich allen offiziellen Aussagen und Erfahrungen, aber na ja. In wiefern hat eine DAG oder CAS-Array anforderungssenkende Auswirkungen? Im Gegenteil: Du brauchst vier Server, die höher dimensioniert sein müssen, als erforderlich. Bitte mach das. Eventuell kommt ja noch mal jemand anders mit so komischen Problemen, der wird vermutlich nie woanders was dazu finden. :P

Definiere "neu anlegen"...

Auch im Online-Mode gibt es eine OST-Datei, keine Ahnung, was da drin steht. Allerdings benutze ich Outlook nur in wenigen Ausnahmefällen ohne Cache Mode, weil damit die Systemanforderungen an Netzwerk und Exchange kräftig ansteigen.

Warum sollte das einbinden eines deaktivierten Kontos nicht funktionieren? Eventuell musst Du es beim Einbinden einmalig aktivieren, aber für den späteren Zugriff ist das uninteressant. Habe ich hier öfter bei ausgeschiedenen Leuten. Wie gesagt: Mit Automapping habe ich unter bestimmten Umständen negative Erfahrungen gemacht, die mit nativ eingebunden immer verschwunden sind. Das muss offensichtlich irgendwas mit der OST-Datei zu tun haben, denn der wesentliche Unterschied ist, dass bei einem nativen Konto eine eigene Datei angelegt wird.

Moin, wie genau ist das zusätzliche Postfach eingebunden? Weiteres Exchange-Konto, Automapping oder über "erweiterte" im primären Konto. Nach meiner Erfahrung gibt es am wenigsten Problem, wenn das Konto als echtes weiteres Exchange-Konto inkl. OST-Datei eingebunden ist. Ansonsten kann es defintiv helfen, die OST-Datei(en) einmal zu löschen und das Postfach komplett neu zu synchronisieren.

Du machst etwas, von dem der Hersteller abrät und es offiziell nicht erlaubt und wunderst Dich dann, dass er Dir bei Problemen nicht helfen will? Merkwürdige Logik. Das ist allerdings wahr und ein sinnvoller Abbruchfehler oder wenigstens eine deutliche Warnung hätte einige Vorfeldprobleme verhindert. Der Wunsch ist intern aufgenommen und soll eventuell mal umgesetzt werden. Alle "Verpflichtungen", die ich kenne, haben eine Übergangsfrist (MAPS: 12 Monate, wobei 2012 R2 dort noch gar nicht offiziell drin ist). Und davon abgesehen, wird Microsoft Dir sicher keinen Strick draus drehen, wenn Du aufgrund von Microsoft-eigenen Problemen einen Exchange-Server-BS erst verspätet auf den neuesten Stand bringen kannst.

Moin, ich rate mal ins Blaue: Der Server hat einen IPv6-Eintrag im DNS registriert, der nicht funktioniert. Der Client probiert dann erst v6, was nicht geht und nimmt nach dem Timeout dann den v4-Eintrag. So etwas erlebe ich hier regelmäßig bei RDP-Sitzungen.

Moin, wird wohl Exchange 2013 sein. ;) BB 10 kann Exchange Active Sync, der BB Server bieter aber mehr Möglichkeiten. BB 9 und früher kennt nur den BB Server.

Moin, Self-Signed Zertifikate sind nicht 100% supported. Es ist deutlich unproblematischer, wenn man eine interne PKI betreibt. Die kann dann auch noch Zertifikate für andere Dienste ausstellen und dass CA-Zert wird i.d.R. automatisch per GPO an die AD-Clients verteilt.

Moin, eine wöchentliche Sicherung des DC reicht aber nicht wirklich. Da gibt es ständig Veränderungen. Kritisch sind z.B. die regelmäßig Änderung der Computerkennwörter. Wenn Clients nicht mehr sauber starten, weil das Computerkennwort nicht mehr passt, ist das lästig. Bei Exchange führt es zum Totalverlust der Dienste. Im schlimmsten Fall kannst Du den Server nicht mal mehr normal starten und musst ihn sehr zeitaufwendig über den abgesicherten Modus reparieren. Auch muss man bei einem solchen "Forest-Recovery" bestimmte Dinge in Bezug auf die anderen DC, Uhrzeit, Replikation, DNS, usw. beachten. Das sieht in der Sicherung einfach aus, die Probleme kommen dann beim Wiederherstellen. Ich habe das alles schon durch und die Kosten für diese Reparaturen waren meist erheblich teurer, als gleich was sinnvolles zu machen. Was ist dem mit dem von nic7575 genannten zweiten Brandabschnitt?

Moin, schau Dur mal das hier an: Klick. Im unteren Abschnitt findest Du, welche Firewall-Regel automatisch eingerichtet werden. Das schwierige bei Outlook (also RPC) ist, dass es normalerweise keinen statischen Port gibt. Der Endpoint Mapper (TCP/135) vergibt die Ports dynamisch (TCP/>1023). Eine Alternative wäre es, für die verschiedenen RPC-Verbindungen statische Port zu konfigurieren. Du hast nun drei Möglichkeiten: - Firewall-Regeln nachbauen mit dynamischen Ports - Firewall-Regeln nachbauen und vorher auf statische Ports umstellen - Firewall deaktivieren Ich bin ehrlich: In einem geschützten Netzwerk sehe ich nur sehr wenig Sinn in einer lokalen Firewall. Der Sicherheitsgewinn ist marginal, die Komplexität und Fehleranfälligkeit steigt aber immens. Daher deaktiviere ich die lokale Firewall i.d.R. Seitens Microsoft gibt es zwar die grundsätzliche Empfehlung, die FW zu aktivieren, aber es ist kein Muss und wird daher auch nicht als Fehler betrachtet. Das äußert sich auch darin, dass wenn man die Frage stellt, welche Ports müssen zwischen Exchange und DC und Exchange und Exchange frei sein, die einfache Aussage lautet: ANY:ANY. Das kommt faktischer der Abschaltung gleich. Hier gibt es noch weitere Infos zu diesem doch ziemlich komplexen Thema: Klick.

Ja, so sollte es sein. Aber probiers doch einfach aus. Da kann nichts bei kaputtgehen, außer, dass es nicht funktioniert.

Siehe auch hier: http://social.technet.microsoft.com/Forums/de-DE/exchange_serverde/thread/d3ee32ea-bcc0-4623-80f3-48b98216af6a/

Moin, der SRV-Eintrag muss in die E-Mail-Domäne, also das hinter dem At-Zeichen. Das wird dann vermutlich nur "myad.de" sein.

In den Einstellungen des Postfaches, bzw. mit Get-/Set-Mailbox. Nachtag: Bist Du sicher, dass alle Largeitems übersprungen werden? In Deinem Befehl oben erlaubst Du 99. Es würde mich nicht wundern, wenn daher 99 große Mails ankommen und nur die danach nicht importiert werden. Setzt doch mal eine höhere Zahl ein oder "Unlimited".