RobertWi

Moin,

eine DAG hat keinen notwendiges Zertifikat, das haben CAS und HT.

Da Du ein selbsterstelltes Zertifikat nutzt, fordere halt bei Deine CA genau wie beim ersten Mal ein neues Zertifikat an. CSR erstellen, einreichen, Cert importieren und Dienste zuweisen sind die gleichen Schritte.

Der "RevocationCheckFailure" kommt vermutlich daher, dass in der eigenen CA CRL nicht korrekt eingestellt wurden. Da das intern ist, ist es meistens unwichtig.

Danke für deine Hilfe - also ist oben genannter PS befehl korrekt und kann verwendet werden?

Ich habe ihn nicht testen können, aber auf den ersten Blick sieht er gut aus. Verzeichnis musst Du nur angeben, wenn Du nicht das Standard-Verzeichnis unter C: willst. Sonst baut Exchange das alleine.

Kannst du mir bitte aus Interesse sagen warum das ganze nicht mit dem Cluster.exe verschoben werden soll?

Wie immer bei Exchange: Alle Konfigs, die Exchange außerhalb des eigenen Programms vornimmt (IIS, Cluster, Einstellungen der Postfächer im AD) müssen mit den Exchange-Werkzeugen gemacht werden, weil Exchange sonst die Änderungen nicht mitbekommt. Im besten Fall passiert nichts, um ungünstigen Fall ist die Änderung unwirksam, im schlechtesten Fall geht die DAG nicht mehr.

Du verstehst das Hauptproblem immer noch nicht: Du lieferst nicht die erforderlichen Infos, um Dir helfen zu können.

Woher sollen wir wissen, welche CAS-Server Du hast? Woher sollen wir wissen, welche URLs Du wo konfiguriert hast? Das musst Du uns schon sagen!

Moin,

bitte mit dem Exchange-Befehl verschieben und NICHT mit dem Cluster.

Nachtrag: Der FSW wird im laufenen Betrieb übrigens nciht gebraucht und nur für *over-Vorgänge verwendet. Es ist also im Prinzip egal, wie oft der andere Rechner neugestartet wird. Die Fehlermeldung vom Cluster-Dienst kann man ignorieren.

Na dann funktioniert doch alles, oder?

Oder anders: Wie sollen wir Dir mit dieser Informationsflut wirklich helfen können. :(

Moin,

da Autodiscover nichts mit den DAG zu tun hat, müsstest Du uns sagen, wie Deine CAS-Server konfiguriert sind, ob die Autodiscover-URL und die übrigens URLs eventuell angepasst worden sind.

Moin,

es gibt mehrere Möglichkeiten, einer der einfachsten dürfte aber sein, die benötigten Module im Profil zu laden:

http://www.howtogeek.com/50236/customizing-your-powershell-profile/

Moin,

"die" Clients oder "den" Client? Da bist Du nicht eindeutig. Wieviel und unter welchen Bedingungen betrifft es denn?

Die Rechtschreibprüfung nimmt der Browser vor. 

Allerdings könnte es wirklich an einer falschen Einstellung der Webseite liege, da der HTML-Code beginnt mit:

html lang="en"

Ja. Aber das ist was für eine private Unterhaltung.

Proxy 2.0.... das waren noch Zeiten.

Ich setze i.d.R. Produkte ein, weil ich sie brauche, und nicht weil sie einfach sind. Sonst hätte ich nie mit Exchange angefangen.... :)

Korrekt. Aber das TMG war 1. sehr einfach konfigurierbar und mir wird hoffentlich niemand erklären wollen, dass es "per se" zu einer unsicheren Konfiguration führte. Und wie gesagt, gerade im KMU Umfeld war das Ding extrem beliebt eben weils die eierlegende Wollmilchsau ohne gravierende Schwächen war. Ja, es gibt bessere und leistungsfähigere Firewallsysteme.

TMG war schon seit der letzten ISA-Version nicht mehr als Edge-Firewall angesehen, sondern höchstens noch als Application Firewall, aber vor allem als Proxy, der in der DMZ steht und zwei Firewalls um sich hat. Gekonnt hat es Firewall zwar, aber das spielte sogar für Microsoft keine Rolle mehr. Insofern ist die Entwicklung beim TMG aus Sicht von MSFT schon konsequent: Als Firewall wird es nicht eingesetzt, als Proxy braucht man es nicht mehr -> weg damit.

Das es ein schön einfaches Produkt war, stimmt zumindest seit ISA 2004. ISA 2000 war eine Katastrophe. Aber ist das wirklich die Begründung, warum es immer noch einsetzen will? Weil es "einfach" ist?

Ok.

Natürlich kannst Du die Lösung hier reinschreiben. Nur die Arbeit mit der Findung soll gefällt vorher Microsoft habe, die nehmen ja Geld dafür!

Moin,

ok, dass das Office 365 ist, hättest Du dazu sollen. Hier bezahlt ihr für den Support von Microsoft und sollten daher diesen auch in Anspruch nehmen. Das kannst Du entweder über eine Support-Anfrage oder über einen Post im entsprechenden Microsoft-Forum für Office 365 (NICHT Exchange!) machen.

Moin,

Deine Ausführungen deuten daraufhin, dass Du nur sehr wenig Erfahrung mit Exchange hast. Ein Forum ist prinzipiell nicht geeignet, um Grundlagenwissen zu vermitteln, vor allem, bei einem so komplexem Produkt, wie Exchange.

Fangen wir mal mit der wichtigsten Infos an: Über welche Exchange-Version reden wir eigentlich?

Tritt das Problem nur bei einem Benutzer oder bei mehreren/allen auf?

Ich sehe das nicht ganz so, wie ihr.

Gerade in Sicherheit und Microsoft erlebe ich bei Kunden entweder viel übertriebene Sicherheit oder Dogmatismus. Da werden teilweise Fremdsysteme davor gestellt, von denen man keine Ahnung hat, und mir erklärt, dass ein Linux ohne Ahnung sicherer ist, als ein Windows mit. Viele Vorurteile stammen aus einer Zeit von vor 10 oder mehr Jahren und sind schon längst überholt.

Ich finde daher den einen Satz von Greg aus dem Link sehr wichtig: "We have come to learn that adding layers of security often adds little additional security, but certainly lots of complexity."

und das "Mehr" an Komplexität führt dann leider oft dazu, dass man unter dem Strich weniger Sicherheit, als vorher.

Und leider besteht die Welt (auch um das TMG) eben nicht nur aus Exchange.

Das ironische hierbei ist: Linuxer, die echt Ahnung haben, schütteln den Kopf über das Sicherheitsgebahren der Windowser. Die würden nie auf die Idee kommen, eine Firewall auf dem System zu installieren, das sie schützen wollen  oder bei einem Apache-Server noch einen Proxy davorzustellen (müsste das dann ein IIS sein?). Diese Gedanken gibt es nur in der Windows-Welt und da gebe ich Norbert und Greg recht: Unwissen und Vorurteile.

Danke für die Infos hinsichtlich EDB/Log. Gemeint ist also eine physikalische Trennung der Daten auf unterschiedliche Spindeln? Gibt's dazu denn Links wo man mal lesen kann?

Klar, hier: KLICK

Dann runter im Abschnitt "Database and log file choices for the Exchange 2010 Mailbox server role".

Und dann beginnt das Chaos.

Beispiel 1: Es wird von "Volumes" gesprochen. Wie sinnvoll sind verschiedene Volumes, die sich aber auf dem gleichen LUN oder der gleichen Platte befinden?

Beispiel 2: Zeile "File placement: database per log isolation" spricht bei "Stand-alone:" nur von "Best-Practise", aber nicht von "Supported". Bei "High availability" steht aber "Supported: Isolation of logs and databases isn't required.". Muss man nun daraus schließen, dass es bei "Stand-alone" nicht supported ist?

Beispiel 3: Zeile "File placement: database files per volume" spricht bei "High availability" von "Supported: When using JBOD, divide a single disk into two volumes (one for database; one for log stream)." Wie muss man das verstehen, wenn man ein RAID-LUN aus einem SAN hat? Oder ein simples RAID1 mit lokalen Platten. Sind zwei Volumes dann nicht mehr supported.

Das ist da also alles ein wenig merkwürdig formuliert. Es ist nicht wirklich klar, wie die Abhängigkeiten zwischen Volume, LUN und physischer Platte zu verstehen sind. Und was nun wirklich Best-Practise und was noch supported ist, wird auch nicht wirklich klar.

Warum sollte ich den Hyper-V Server nutzen, wenn ich Windows Server Lizenzen gekauft hab. Seit 2012 gibt's dafür keinen Grund mehr.

Weil ich auch mit einer WIndows 2012 Standard Lizenz nicht unbegrenzt virtualisieren darf. Aber natürlich hast Du grundsätzlich recht, dass wenn ich eine Windows 2012 Lizenz habe (egal, ob St oder DC), spielt es keine Rolle, ob auf dem Host 2012 Hyper-V oder diese gekaufte 2012 Lizenz ist. Auswirkungen gibt es nur auf die VM.

Und ja, solche Konstruktionen hab ich auch im Einsatz. Ich sagte nirgends, dass man Unsummen an Geld in die Hand nehmen muß. Aber es sollte korrekt geplant sein. Und mal eben die Aussage: Mehr als 30 Minuten wollen wir nicht, rechtfertigt meiner Meinung nach eben keine DAG-Installation (Und ja, ich bin ebenfalls als Dienstleister unterwegs, und habe DAGs und Single Server Umgebungen).

Wie willst Du ohne DAG 30 Minuten Erreichbarkeit erzielen? Jetzt machst Du mich neugierig. :)

ich würde sogar weiter gehen und sagen: Sogar in meinem Beispiel sind 30 Minuten nicht zu erreichen, weil viele Komponenten noch fehlen (USV, Netzwerk, eventuell Internet).

 

Jetzt machst du mich neugierig. Fast?

Ja, es gibt immer wieder mal Diskussionen wegen der Platzierung der Exchange-DB und der LOG-Files. Die Support-Bedingungen sind hier nicht ganz eindeutig und schreiben bei 2010 eigentlich eine Trennung von EDB und LOGs vor. Oder zumindest kann man das rauslesen und es wird als Werbung für 2013 benutzt, hier alles auf ein Volume zu packen. Ein solcher Hyper-V-Server müsste also ziemlich eigentlich recht viele Platten haben (und das zweimal) oder ein SAN. Und das macht die ganze Sache dann wieder aufwendiger und teurer. Und dann gibt es noch einige Unterschiede zwischen DAG und Nicht-DAG.

Haben wir beim letzten Summit diskutiert, weil nicht nur ich überrascht war, dass die Microsoft-Leute eine Trennung EDB/LOG als Verpflichtung haben, es seit spätestens 2010 aber kaum jemand so macht. Rein verbal waren wir aber einig, das "einfach" besser ist und wenn die Leistung stimmt, keine Probleme zu erwarten sind. Auf dem Papier ist das aber viel komplizierter.

Um die Wogen ein wenig zu glätten, ein Modell, dass ich bei zwei Kunden und bei mir praktiziere:

- 2x halbwegs vernünftige Hardware mit lokalen Platten (wichtig: viel RAM, schneller Platten, Prozessor ist unwichtig)

- darauf Windows 2012 Datacenter - oder Windows 2012 Hyper-V-Server, siehe unten

- dann pro Kiste einen virtuellen DC und einen virtuellen Exchange (DAG)

- einmal einen File-Server mit Hyper-V-Replikation

Datacenter hat den Vorteil, dass man beliebig viel virtualisieren darf. Ist aber richtig teuer, eventuell sind einzelne Windows Standard Lizenzen in Summe auf einem kostenlosen Hyper-V-Server billiger. Die zwei Exchange-Lizenzen hast Du ja eh schon eingeplant.

Für den Zugriff auf die Exchange gibt es dann einige Möglichkeiten:

 - virtuelle IP zeigt auf den ersten Exchange -> muss manuell geändert werden

 - Loadbalancer als VM (kemp)

 - Loadbalacner als HW

Das Modell ist fast komplett supported und die wenig Dinge, die es offiziell eventuell nicht sind, dürften in der kleinen Umgebung technisch unwichtig sein.

Der große Vorteil ist, dass man damit sehr flexibel und erweiterungsfähig ist, die Verfügbarkeit gut (Achtung, das ersetzt noch kein Backup). Es steigt aber der Verwaltungsaufwand deutlich.

Funktioniert ein Cluster überhaupt zwischen den zwei Windows-Versionen und ist das supported? Kann ich mir nicht vorstellen, habe ich aber noch nie ausprobiert (und würde ich auch nicht).

Aus gegebenem Anlass:

http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx

Gibt es den Befehl "Set-MailboxSentItemsConfiguration" in Exchange 2013 nicht mehr oder hat den MS vergessen ?

Das ist noch unklar, weil sich MSFT noch nicht dazu verbindlich geäußert hat.

Aber sonst korrekt: Den Befehl gibt es zur Zeit in Ex 2013 nicht.

Ein Eintrag in der Hosts-Datei ist grundsätzlich natürlich auch möglich. Das alles erschwert aber Fehlersuchen ungemein, weil man an so etwas dann nicht denkt.

Moin,

zuerst wie immer: POP3-Connetoren sind Mist und schaffen mehr Probleme, als sie lösen. Aber in dem Fall ist das mal unrelevant.

Wenn alle drei Exchange-Server die gleiche Maildomäne hosten und nicht im gleichen AD sind, hast Du Exchange-seitig wenig Chancen. Wie auch, der kennt ja den Rest nicht.

Eventuell geht ein CNAME am zweiten und dritten Standort, der auf den lokalen Exchange zeigt. Das geht aber natürlich nur intern.

Du kannst Outlook anders konfigurieren: http://msexchangefaq.de/e2007/autodiscover.htm

Aber das geht nur, wenn Du Zugriff auf die Outlook-Rechner hast.

Richtig gut sind aber alle Lösungen nicht.

Ich denke, dass war ein typisches "Drücke F5, um die Ansicht zu aktualisieren" Problem. ;)