RobertWi

Na dann: Schön, dass sich das Problem so einfach beheben lies. :)

Die Fehlermeldung sah mir eigentlich auch nicht nach Exchange aus.

Moin,

Unsere Domain wird extern gehostet

Unser DNS wird extern gehostet und die DNS Einträge werden auf unsere externen IP umgeleitet.

 

Als Beispiel sehen unsere DNS Einträge beim Provider wie folgt aus:

IP : 111.111.111.xxx = IP Adressen beim Hoster
IP:  233.233.233.xxx = Unsere Öffentlichen IPs 

Zu DNS-Einträgen gehören i.d.R. auch Namen, nicht nur IP-Adressen.

ANMERKUNG : Die Firewall antwortet bei https noch vor dem Exchange mit einem eigenen selbst erstellten Zertifikat und dieses lässt sich leider nicht umstellen.

Ich denke nicht, dass das nicht anpassen kann. Vermutlich ist das die Management-Oberfläche, die von Extern nicht erreichbar sein sollte und auf einen andere Port umgestellt werden sollte.

Aber Exchange-Technisch ist das eigentlich egal, solange es sich bei der Firewall nicht noch um einen Proxy handelt. Port 443 an Exchange weiterleiten, fertig.

Wir wollen folgendes mit Zertifikaten abdecken :

 

Ticketsystem : support  -  233.233.233.238 ( Bei uns im Haus gehostet )

Fernwartung  : remote  -  233.233.233.239 ( Bei uns im Haus gehostet )

Exchange 2013 - 233.233.233.234  ( Bei uns im Haus gehostet )

In Ein Zertifikat komme NAMEN, keine IP-Adressen (obwohl in SAN auch IP-Adressen gehen, aber wer will in der Webseite einen Dienst per IP-Adresse aufrufen?).

Frage ist nun was für ein Zertifikat oder Zertifikate (wie sinnvoll ist eine Trennung von Exchange und den anderen Diensten im Zertifikat ? ) ich benötige und wie die Einträge im Zertifikat aussehen müssen.

Leider kann man diese Frage nicht schlecht in einem Forum beantworten, weil man dafür deutlich mehr Infos braucht und das den Rahmen eines Forums sprengen würde.

Zu klären wären alle Web-Dienste, die Geräte, die auf Exchange Zugriff haben sollen, ob SplitDNS eingesetzt wird, oder nicht, oder der externe DNS SRV-Einträge kann (beim ISP nicht unbedingt üblich), usw. usf.

Am besten setzt Du Dich also zuerst mal hin und machst eine ordentliche Bestandserhebung.

Für den Exchange 2013 habe ich bei uns im DNS schon die Zonen owa.meinedomain.com und autodiscover.meinedomain.com mit Host A Eintrag auf den Exchange gesetzt, so das trotz interner .local Domain das Zertifikat auf meinedomain.com aufgelöst wird und auch interne Clients die xxx.meinedomain.com anstatt xxx.meinedomain.local hernehmen.

Ok, das deutet dann auch SplitDNS hin. Dann "reichen" für Exchange die beiden von Dir genannten Namen. Autodiscover kann man noch weglassen, wenn man SRV-Einträge setzt und mobile Geräte von Hand konfigurieren will.

Ansonsten wie immer: Viel Spaß mit Ex 2013 und den 2010er nicht zu schnell deinstallieren. ;)

Moin,

ist die Domäne in den akzeptierten Domänen eingetragen?

Jeder sollte sich seine eigene Meinung machen und dann entscheiden dürfen, ob der den Button einsetzt oder nicht.

Das denke ich auch und hier hat IMHO MSFT den größten Fehler gemacht - keine Wahlmöglichkeit.

Solange er läuft, würde ich am alten gar nichts anfassen. Möglicherweise führt schon der nächste Reboot dazu, dass Exchange-Dienste nicht mehr starten.

Moin,

das technische Problem wenn Exchange auf einem DC ist, dass er keinen anderen DC mehr verwendet. Und wenn man den DC unter Exchange wegnimmt, dann passiert es gerne, dass Exchange das nicht mitbekommt und weiterhin auf der lokalen Maschine nach einem DC sucht.

Ich würde den Exchange-Server daher zur Sicherheit neu aufsetzen. Und eigentlich auf einen neuen Server mit anderem Namen. Notfalls (wenn man keine zusätzliche Hardware hat), tut es auch eine doppelte Swing-Migration über eine VM.

Danach würde ich den alten DC3 "wegwerfen", d.h. in AD alle Leichen aufräumen und den Namen nicht mehr verwenden, solange nicht alle Fehler weg sind.

Eventuell steigt ihr in diesem Zusammenhang auch auf einen neuen Exchange um.

Aber das größte Problem, und da beißt sich die Katze in den Schwanz: Eigentlich würde man vorher die AD-Probleme beheben. Ihr solltet also schon in AD nachschauen, ob da nicht noch veraltetet Einträge des DC3 drin sind.

Moin,

ich habe früher bei 1&1 und Strato Windows Server mit VMWARE gehabt.

Das Problem ist, dass die an ihren Switch Ports Mac-Address Spoofing überwachen und die Ports dann sperren. Wenn also eine VM über den Switchport will, sperrt der Switch den Port.

Gelöst habe ich das wie Dunkelmann ähnlich es beschreibt: Loopback-Adapter, RRAS und die VM hing am Loopback, RRAS hat das Routing zwischen den beiden gemacht. War eine leidige und fehlerträchtige bastelei.

Moin,

1. Du hast hoffentlich nicht den DC-Status von DC3 geändert, während darauf Exchange installiert und aktiv war? Damit hast Du Dir die Exchange-Installation zerschossen. DCPromo auf einem Exchange auszuführen, ist nciht supported und führt zu Fehlern. Deine Fehlerbild könnte auch hierzu passen.

2. Bitte prüfe mal DNS und vorallem auch die A-Einträge.

Ergänzung: Der DC3 muss GC gewesen sein, wenn da Exchange drauf ist. Gibt es noch einen mindestens anderen GC? Am besten alle DC zu GC machen.

Also ich persönlich vermisse ihn zu 20%.

Modern UI funktioniert nicht sauber via RDP -> Kommt nur ein leerer Bildschirm. Man kann tippen, sieht aber nichts. Nachvollziehbar für mich auf mehreren Rechnern.

Programme auf dem Desktop abzulegen (nicht in die Taskleiste!) ist viel aufwendiger. Früher hat man sie aus dem Startmenü einfach herausgezogen, jetzt muss man eine neue Verknüpfung von Hand anlegen.

Wenn die notwendigen Programme erstmal auf dem Desktop sind, braucht man das neue Startmenü kaum noch. Ich persönlich hätte gerne eine Wahlmöglichkeit, zwischen den beiden Startmenüs.

Es gibt aber andere Kleinigkeiten, die mich mehr nerven in Windows 8 / 2012 (Warum gibt's im Charms-Menü nur Herunterfahren+Neustarten aber kein Abmelden?). Das hält sich mit den Neuerungen ungefähr die Waage.

Moin,

Gegenfrage: Was hast Du offizielles von Microsoft bisher zu diesem Thema gehört? ;)

Alles, was 8.1 betrifft ist bisher ein Gerücht und in irgendeiner Beta drin. Und da wissen wir, dass sogar zwischen offiziellen CTP und RTM Funktionen wieder verschwinden können.

Moin,

in Outlook ist Outlook zuständig, in OWA Exchange.

http://www.howto-outlook.com/faq/blockedattachments.htm

http://technet.microsoft.com/en-us/library/bb124232.aspx

Outlook kann man auch via GPO verteilen.

Moin,

wenn der Pfad leer ist, dann hat der CAS es noch nicht heruntergeladen, das macht der nur alle 480 Minuten.

Probier mal:

Update-Filedistributionservice SERVERNAME

aus.

Wenn sich nichts tut, überprüfe bitte im OAB, ob die Webverteilung aktiv ist und der eigene Server da drin steht.

 

Damit muß ich dann aber Antiviren- und Spamkontrolle selber übernehmen, wenn ich das richtig verstehe.

Wenn die Mails direkt zu Dir kommen, bist Du auch für Antiviren und Antispam Kontrolle zuständig.

Also, Du musst nicht - aber Du solltest. ;)

Moin,

liegt den der Ordner Argus auch in der Root, ist also der oberste Ordner?

Du meinst vielleicht das hier:

http://blogs.technet.com/b/filecab/archive/2012/05/21/introduction-to-data-deduplication-in-windows-server-2012.aspx

Abschnitt Portability.

Vielleicht ist die Frage b***d: Aber ist auf dem neuen Server die Dedup auch vorher aktiviert worden? Schedules müssen nicht eingerichtet sein, aber der Rollendienst.

Moin,

ich benutze immer die folgenden beiden Scripte, um die Inhalte der ÖO zu vergleichen:

http://blog.iteach-online.de/index.php/2012/08/replikation-der-offentlichen-ordner-erfolgreich/

http://www.msxfaq.de/tools/pfreplcheck.htm

Und nein, Du kannst die Replikation nicht wirklich beschleunigen, die läuft komplett im Hintergrund. Und da die per SMTP/Mails passiert, willst Du das auch nicht wirklich, weil sonst eventuell die Server in die Knie gehen und niemand mehr normale Mails senden und empfangen kann.

Die Replikation kann allgemein dauern.

Ok, schieben wir die Kugel mal ein bischen weiter:

Ja, solche Infos wären natürlich vorher gut gewesen. ;)

2x die oben genannten Server, zusaetzlich kommen noch dazu:

 

2x Hardware DCs

OK, dann braucht man nicht unbedingt weitere DCs als VM. Sie schaden aber auch nicht unbedingt.

1x Hardware Fileserver

Das ist ja nur einer. Hier könnte man eventuell mit DFS oder mit Hyper-V-Replica eine Redundanz hinbekommen (wobei ich beim zweiten nicht weiß, ob das supported wird).

5x virtuelle Server die propritäre Software realisieren

Dazu müsste man natürlich wissen, was für Last die erzeugen. Wenn die im Hintergrund große Datenbanken haben, sieht das anders aus, als bei ein paar Dateien.

Realer Hyper-V Server 2012 vs. Microsoft Server 2012 + Hyper-V 2012 Service.

 

- Wieviel Performance geht verloren ? Welche moeglichkeiten ergeben sich ?

Ich denke, bei den Kisten wird man keinen Unterschied merken.

Bei der Hardware wird vermutlich das Plattensystem der Flaschenhals sein. Dir Wirkung des Prozessor wird meist überschätzt. Wenn man nicht gerade Videorendering oder Primzahlen-Berechnung macht, ideln die meist vor sich hin. Wichtig ist RAM, weil das die VM brauchen. Und wichtig sind schnelle Festplatten, weil sich die Zugriffe gegenseitig blocken. Daher viel RAM (= weniger Plattenzugriffe) und viele schnelle Festplatten.

Bei fast allen Performance-Problemen, die ich gesehen habe, waren es eigentlich immer die beiden: Zu wenig RAM und zu wenig Festplatten.

Das hat nichts mit dem MX-Einträgen zu tun, die braucht man für's Empfangen. ;)

Schreib Deinen Provider an, der den Smart Host betreibt und schick ihm die Spam-Meldung. Der erkennt dann vermutlich, welcher Server auf eine RBL steht.

Moin,

zuerst mal: POP-Connectoren sind Mist und schaffen eine zusätzliche Fehlerquelle, die sich nur schwer finden lässt.

Schau Dir mal den Header der Spam-Mail an, eventuell bekommst Du darüber heraus, ob der Spam überhaupt von Dir kommt oder nicht eventuell nur der Absender gefälscht ist.

Die Aussage "Das ganze passiert wie beschrieben nur bei einem Account" ist aus Exchange-Sicht eigentlich egal, da alle über den gleichen Sendeconnector ihre Mails rausschicken.

Also könnte das Problem auch ein anderes sein (z.B. Backscatter).

Das ist leider Exchange 2013. ;)

Empfehlung bei Ex 2013 ist alle Rollen auf einen Server zu packen. WNLB gibt es nicht mehr, also gehört entweder ein VM-LB dazu, oder ein wenig DNS-Spielerei.

Also pro Host

1x DC

1x Exchange (DAG)

LB könnte ein Replica sein.

Ok, dann poste die das nächste Mal. Dann hätte ich Dir auch sagen können, dass die GAL gar nicht aktualisiert wird, solange diese Fehler drin sind. :(

Moin,

und was genau ist jetzt die Frage?

ich würde mir bei Virtualisierung übrigens zuerst die Doku, des virtualisierten Produktes ansehen, nicht die der Virtualisierungsplatform: Klick.

Zusammengefasst: Geht grundsätzlich, wenn man sich an ein paar Dinge hält und z.Zt. in Kauf nimmt, dass Windows 2012 noch nicht supported ist auf VMX.

Die Frage ist, was man erreichen will. Hardware spart man damit nicht, aber man bekommt andere Möglichkeiten der Verfügbarkeit.

Ach, und es gab wie in meinem Blog beschrieben keine Fehlermeldung beim Aktualisierung der Adresslisten?

Moin,

das ist doch gefühlt ein Thema, dass schon 1000 Mal da war.

Lies mal hier:

http://blogs.technet.com/b/exchange/archive/2013/04/05/common-response-from-a-shared-repository-mailbox-manual-operation.aspx

Oder binde das Postfach als echtes, zusätzliches Exchange-Postfach ein. Dann geht das und noch ein wenig anderes, automatisch.

Genau: Bei mehr als einem Server werden die verschoben, nicht gelöscht.

Die Postfächer werden eigentlich automatisch neuerstellt, wenn die Benutzerkonten noch vorhanden sind.