RobertWi

Wie bereits gesagt: Bei einem SPAM-Filter geht es eben darum, dass Du das gerade NICHT machen musst und der Filter Dir Arbeit abnimmt.

Noch mal zusammengefasst:

Es gibt Filter, die bieten eine Quarantäne. Hier kannst Du denn entscheiden, ob Du eine Mail zustellen oder löschen willst. Neben der Tatsache, dass das arbeitstechnisch unsinnig ist, bringt es aber auch diverse rechtliche Probleme mit. Große Anbieter haben daher erst diese Möglichkeit gar nicht.

Mir ist allerdings kein Filter bekannt, in der man Mails in einer Queue sehen kann, die noch nicht in meinem Unternehmen ist. Das wäre technisch sehr aufwendig zu gestalten, weil ich entweder gar nichts sinnvolles sehe (bei Greylisting sehe ich nur Empfänger und Absender, aber sonst keine weiteren Infos) oder ich die Mail komplett erhalten, danach aber die Annahme abbrechen.

Ein Zwischenlösung zwischen "noch beim Absender aber ich kenne sie schon" und "komplett angekommen" kann ich mir daher auch nur schwer vorstellen.

Moin,

ein Spamfilter, der Mails nicht ablehnt ist technisch ziemlich unsinnig und in Deutschland rechtlich problematisch.

Du behandelst doch Spam, weil Du die Mails nicht sehen willst. Schon das durcharbeiten von irgendwelchen Listen ist da widersinnig.

Der "gute" Absender wird über die abgelehnte Mail informiert. Und wenn er auf einer Blacklist steht, muss er sich darum kümmern, dass er da runter kommt. Da bringt es nichts, wenn Du stattdessen ihn Whitelistest (was Du im Notfall ja aber immer noch kannst, wenn der Absender Euch kontaktiert hat).

Moin,

die Throttlingpolicy ist schon der richtig Ort. Und die Änderung ist nun nicht so aufwendig. ;)

Allerdings hat auf meinen Servern IMAP keine Begrenzung und wenn die Throttlingpolicy greift, solltest Du gleichzeitig auch Einträge im Eventlog sehen (oder andere Fehlermeldungen, wenn ein anderes Limit greift).

Zuerst schaust Du dir an, ob auf dem Postfach eine Policy ist:

Get-Mailbox POSTFACH | ft throttlingpolicy

Wenn das Feld Throttlingpolciy leer ist, dann greift die Defaultpolicy. Wenn nicht, hast Du darin einen Namen oder eine GUID.

Default findet man so:

Get-ThrottlingPolicy | Where-Object { $_.isdefault -eq $true } | fl Imap*,Identity

Und ändern dann halt mit:

Set-ThrottlingPolicy NAME -IMAPMaxConcurrency ZAHL

Nachtrag: Und bitte auch hier prüfen:

Get-ImapSettings | fl Max*

Moin,

wie gesagt: Neben autodiscover.URL.eu brauchst Du EINE weitere Adresse. Ob Du die mail.URL.eu, owa.URL.eu, exchange.URL.eu oder weihnachtenfindeichdoof.URL.eu nennst, ist egal. Theoretisch geht sogar nur URL.eu, was aber eher zu Verwirrungen führen wird. Wichtig ist nur, dass Du SplitDNS korrekt einrichtest und alle URLs in Exchange gleichlautend setzt.

Ach ja: Eine HTTP-Weiterleitung, wie Du oben schreibst, geht nicht. Der Name muss per IP-Adresse beim Exchange/Firewall landen.

Moin,

ein Wildcard-Zert kann man nehmen.

Für Exchange brauchst Du zwingend nur einen Namen (egal, wie der heißt), inkl. Autodiscover für intern via SCP.

Dann musst Du allerdings Autodiscover (für Externe) via SRV-Einträgen machen, was nicht von allen mobilen Geräten unterstützt wird.

Wenn Du Autodiscover ohne SRV machen willst, brauchst Du auch diesen Namen im Zertifikat.

Moin,

und weil es manchmal an Kleinigkeiten liegt: Die Ansicht (Stichwort "F5 drücken") hast Du schon auch mal aktualisiert in der EMC?

Moin,

ja, die Zeit ist normal. Das CU ist halt eine komplette Installation.

Besonders lange dauert dabei NGEN des .NET-Frameworks.

Der Artikel zu Daniel hilft schon, den ohne diese CRLs abrufen zu können, kann die CU-Installation auch schon mal 7 bis 8 Stunden dauern. ;)

Moin,

das wollte ich schon immer mal schreiben: RTFGH!

:)

Aus der Hilfe: "Standardmäßig ist der Empfängerbereich auf die Domäne festgelegt, in der sich Ihre Server mit Exchange befinden."

Füge mal in Deinem Script ein "Set-AdServerSettings -ViewEntireForest $true" ein.

Siehe auch hier:

http://technet.microsoft.com/de-de/library/aa996861(v=exchg.141).aspx

Moin,

Du suchst "Get-Mailpublicfolder".

Allerdings solltest Du noch mal über die Verwendung  von "-match" nachdenken. Wenn Du nicht weißt, was der macht, ist er vermutlich falsch und kann zu einigen unerwarteten Ergebnissen führen.

Dann solltest Du lieber -like “*SahneKuchen@COntoso.com*” benutzen.

Moin,

als Behörden-Kollege mal ein Tipp: Es gibt keine Pflicht, dass jeder MA DE-Mail verwendet. Die Behörde muss erreichbar sein!

Wir haben daher einen Account, im Büro des Präsidenten. Und sobald andere Kollegen einen brauchen (z.B. in de Beschaffung), bekommen nur genau die einen.

Moin,

zu Fehlermeldungen im Eventlog: Es ist einfach so, dass Exchange sehr viel protokolliert und nicht alles davon unmittelbare Auswirkung hat oder eine unmittelbare Reaktion erfordert. Es gehört mit zu Erfahrung eines Exchange-Admins zu erkennen, wann ist ein Fehler von außen induziert (z.B. weil ein DC neugestartet wurde), wann ist ein Fehler einmalig und man wartet ab, ob er sich wiederholt und ab wann muss man sofort reagieren. 

Zum Problem 1: Versuch das mal näher zu analysieren. Betrifft es nur migrierte Konten? Betrifft es auch neue Konten? Funktionieren neue Regeln nach dem Aufräumen wieder? Wie wird aufgeräumt? Outlook.exe /cleanrules oder MFCMAPI können notwendig sein. Gibt es beim Ausführen der Regeln eine Fehlermeldung im Eventlog dies sich dem Vorgang zuördnen lässt?

Zum Problem 2; Symantec.... seufz. Muss ich mich leider auch mit rumschlagen. Erste Regel: Prüfen, ob Du die aktuellste Version benutzt - bis auf die vierte Stelle. Wenn nicht, aktualisieren. Und niemals auf Versprechungen verlassen, dass da mit der Version schon funktionieren müsste. Ich habe bei denen grundlegende Funktionaleänderungen erlebt, obwohl sich die Versionsnummer nur an der vierten Stelle änderte.

Und wichtig auch hier: Prüfen, welche Abhängigkeit GRT eventuell zum CU hat. Es wäre leider auch aus Exchange nicht das erste Mal, dass nach einem CU das Backup nicht mehr sauber funktioniert.

Und natürlich: Auf die neueste Version von Exchange updaten. Muss nicht helfen, aber es ist müßig ein Problem zu suchen, dass eventuell schon längst gefixt wurde.

Moin,

12 GB RAM dürften für 100 Postfächer zu wenig sein. Da würde ich mindestens 24 GB vorsehen.

Ansonsten wäre es schön, wenn Du wirklich die Fragen und Probleme mal nennen würdest.

Eingangs schreibst Du, dass Du Posteingangsregeln gelöscht hast. Und erst hier, dass es damit irgendein Problem gibt, aber welches verschweigst Du uns immer noch.

Dann kommen plötzlich Backup-Probleme ins Spiel, die Du auf zu wenig RAM schiebst, aber einen KB-Artikel postest, der etwas mit der Festplatte zu tun hat.

Die meisten von uns sind keine Hellseher und wenn Du Deine Probleme nicht beschreibst, sondern nur, wie Du irgendwas änderst, dann werden wir Dir nur schwer helfen können.

Moin,

ein Update wird sicher nicht schaden. IMHO wurde im CU6 (oder evt. auch erst im demnächst erscheinenden CU7) auch was an den Indikatoren geschraubt.

Über wie viele Benutzer reden wir denn?

Und was ist denn nun wirklich das Problem? Viele Eventlog Einträge sind bei Exchange üblich und nichts besonderes - solange man keine negativen Folgen merkt.

Mehr als das hier gibt es bei 2007 noch nicht: Klick

Richtiges Auditing kann erst 2010.

ABP = Addressbookpolicy = Adressbuchrichtinlien.

Norbert sprach ein paar Posts weiter oben davon.

@Norbert: Nein, gerade nicht! Die 15 Leute haben keinen Admin vor Ort. Die haben noch nicht mal einen, der mehr kann, als einen Rechner neustarten. Fällt der eine Server aus, muss ich rennen. Dadurch, dass die nun zwei Server haben, kann ich gefahrlos aus der Ferne Updates machen und wenn ein Problem auftritt, merkt das niemand. An den Hardwarekosten kann ich wenig machen, aber durch die günstigen Softwarekosten habe ich nun quasi zwei Server mit Redundunz zum Preis von einen. Und in diesem Umgebungen brauche ich keinen aufwendigen LB.

@MrCocktail: HAProxy kenne ich nicht. Hat auch seine Vorteile. Bei Zen ist der Vorteil, dass der das OS mitbringt. Nach dem Setup ist das Ding komplett fertig und in einer Hyper-V-Umgebung läuft der auch sofort. HAProxy empfehle ich Kunden, bei denen Linux-Wissen vor Ort sitzt.

DNS Roudrobin war bei Exchange noch nie sinnvoll, weil es Client-abhängig ist und IMHO Outlook das bis heute gar nicht kann.

Wobei "teurer" Loadbalancer ja definiert werden sollte. ;) Aber kostenlos ist selten zu schlagen...

Ich habe Kunden, die sind gemeinnützige Vereine. Da bekomme ich Windows Datacenter für 250 Euro, Exchange für unter 100 - inkl. SA. Bei denen baue ich via Hyper-V eine saubere, supportete, ordentlich lizenzierte Umgebung auf zwei Low-Price-Servern für unter 5.000 Euro auf (und dabei ist die Hardware das teuerste). Da ist jeder LB, der Geld kostet, zu teuer. ;)

Aber genau für diese Umgebungen mit unter 15 Leuten reicht dann auch ZEN aus.

BTW: Es wäre schön, wenn Du schreiben würdest, dass Du Deinen Fragen-Komplex auch in einem anderen Forum geschrieben hast - Siehe auch Regel 19 in diesem Forum!

Klick

Moin,

doch, dann passiert leider auch was. Da sich der Exchange in AD registriert (geht nicht anders), werden seine Einstellungen auch von dem bestehenden Server gesehen und verwendet.

Du musst daher unbedingt auch auf dem Ex 2013 alle notwendigen URLs korrekt einstellen. Sonst landen die Clients auch beim 2013.

BTW: Das Konstrukt "1x CAS + 1x MBX" ist ziemlich sinnfrei. Wenn Du zwei Server hast, dann mach zwei Multi-Role-Server auf denen sich alles befindet und richte eine DAG ein. Dann hast Du wenigstens Datenverfügbarkeit und kannst immer noch einen Loadbalancer davor setzen.-

Moin,

nein, es ist nicht supported und damit nicht sichergestellt, das es funktioniert.

Frank hat hier sehr übersichtlich die verschiedenen Lösungen beschrieben:

http://www.msxfaq.de/e2010/2serverdag.htm

Ich persönlich nutze bei kleinen Kunden, die sich keinen teuren Loadbalancer leisten wollen, ZEN Loadbalancer. Der ist kostenlos und funktioniert in den Grundfunktionen super. Es fehlen ihm aber diverse Premium Funktionen, z.B. SSL Offloading oder Draining,

Moin,

na das war ja einfach.

Exchange RTM ist auf Windows 2012 R2 unsupported und funktioniert wie Du siehst auch nicht fehlerfrei.

Auf Windows 2012 R2 MUSS mit mindestens SP 1 installiert werden. Auch ein Update Deines Servers ist nicht supported und rettet den Server auch nicht mehr und führt nur zu noch mehr merkwürdigen Fehlern.

Es gibt nur einen offiziellen Weg: Du musst nun einen neuen Server installieren, dort gleich mit CU6, und hoffen, dass Du die Postfächer verschoben bekommst. Da geht nach ,meiner Erfahrung aber.

Wenn Du willst, kannst Du danach den eigentlich Server wieder neuinstallieren und alles wieder zurückschieben.

Und das solltest Du schnell machen, denn Du wirst sonst bald noch mehr lustige Fälle erleben.

BTW: Und wenn wir dabei sind: Systemanforderungen und den Rest der Technet-Doku lesen!

Moin,

das mit dem Besitzer ist auch die Antwort auf Punkt 2.

Wer ein Element anlegt ist immer Besitzer dieses Elementes. Ich wüsste auch nicht, wie man das offiziell verhindern könnte.

Was genau hast du denn gelesen? Dann kann jemand dir auch sagen, ob er es schon umgesetzt hat.

Wahrscheinlich bei 2003/2007. Allerdings würde ich auch hier behaupten, dass die Lösung nicht das Problem des OP löst, den die AD-Berechtigungen blenden ganz Adresslisten aus, aber nicht nur einzelne Einträge.

Ab 2010 gibt es ABP und das manuelle Änderungen von Sicherheitsberechtigungen von oder für AL ist unsupported mit teilweise lustigen Seiteneffekten.

Will ich, dass nur bestimmte Leute einen Raum in einer AL sehen können, brauche ich eine neue AL und passende Einstellungen, damit nur diese Leute die AL sehen. Und das nennt sich dann ABP.

Und nicht antworten "kann doch nicht die Lösung sein", denn 1. es ist die Lösung und 2. froh sein, dass es überhaupt eine offizielle Lösung gibt.

Moin,

welche Version haben denn Betriebssystem und Exchange genau?

Korrekt. Mit Vollzugriff kann er auch andere Berechtigungen verwalten.

Und falls alles schiefläuft, kannst Du immer noch das Konto aktivieren, ein neues PW setzen und Dich daran ganz normal anmelden.