Daniel-H

Grins. Wenn's nach mir ginge, gerne :D

Und als Zusatz noch die Info, was im AgentLog zu der Mail steht: 2011-11-28T12:29:58.571Z,08CE7844036C61ED,192.168.77.4:25,59.176.16.10:28071,59.176.16.10,<4ED37EC1.4020800@unseredomain.de>,user@unseredomain.de,user@unseredomain.de;,externer@empfaenger.co.in;internerempfaenger@unseredomain.de,2,Content Filter Agent,OnEndOfData,AcceptMessage,,SCL,not available: policy is disabled.,

Ich muss den Thread leider noch mal ausgraben, da das Problem nicht entgültig gelöst ist. Nunja, jede Mail eines externen Users ohne VPN und Outlook muss doch zwangsläufig von einer unbekannten IP kommen, oder? Dazu authentifiziert er sich doch via ESMTP, damit er als intern/vertrauenswürdig erklannt wird... Unsere Subnetze stehen natürlich in der IP-Zulassungsliste und führen so zu SCL -1. Ist geschehen (testweise wurde sogar bei "BypassedSenderDomains" unsere Domain eingetragen, was folgerichtig dazu führte, das mehr SPAM durchkam (Absender = Empfänger)...merkwürdigerweise landete der indische Mitarbeiter weiterhin im SPAM! :suspect: Genau das frage ich mich auch... Negativ. Der Kollege hat im Thunderbird unseren Exchange als SMTP eingetragen. Wenn ein Smarthost/Relay dazwischen läge, müsste ich das doch auch im "Received: from" Header sehen!? Da steht aber nur die IP des Clients und die public IP seines Internetzugangs. Received: from [192.168.1.11] (59.176.16.10) by mail.unseredomain.de (192.168.77.4) with Microsoft SMTP Server id 14.1.355.2; Mon, 28 Nov 2011 11:32:01 +0100 Noch ne Idee?

Ja, das tritt pro Monat bei mind. einem meiner 100 User auf. Echt nervig. Mittlerweile hab ich aber Routine drin... ;) Du brauchst dazu die Datei C:\Users\Benutzer\AppData\Local\Microsoft\Outlook\RoamCache\Stream_Autocomplete*.dat. Vorgehen: - Oben genannte Datei sichern - In den Outlook-Optionen den Autovervollständigencache löschen - Outlook neu starten - Beliebige E-Mail senden - Outlook schließen - Jetzt wurde eine neue Stream_Autocomplete*.dat erzeugt. Diese ersetzt Du durch die zuvor gesicherte Datei, muss aber den aktuellen Dateinamen beibehalten (die ID wird beim zurücksetzen neu erzeugt). Falls Du mehrere Exchangekonten parallel hast, musst Du darauf achten, dass Du die richtige Datei erwischst (durchprobieren). Bei MS gibt es einen Thread zu dem Thema: Outlook 2010 stopped retaining address autocomplete data Wenn die dat bereits Schrott ist, und Du keine korrekte KOpie mehr findest, bleibt nurnoch die Notlösung über den Import einer ältere NK2 Datei (falls vorhanden). Viel Erfolg!

Hi, da ich in den Technet-Dokus dazu nichts gefunden habe, frage ich sicherheitshalber mal hier nach: Kann man die Exchange Verbundfreigabe auch zwischen einer Organisation mit Exchange Server 2010 Standard und einer mit SBS 2011 einrichten? Vertrauensstellungen gehen ja bekanntlich zu einem SBS nicht, die Verbundfreigabe aber hoffentlich schon? Danke, Daniel

Nachsatz: Die neue "heimliche" Gruppe muss noch eine Art "Karteileiche" in den ACLs sein (die hatte früher mal Rechte) und ist nicht für den beobachteten Effekt verantwortlich. Warum die nicht angezeigt wird ist zwar merkwürdig, aber im Moment erstmal egal. Bei neu erzeugten Ordnern erscheint diese nicht mehr... Was ich aber gemerkt habe, ist eine Änderung bei der per icacls gesetzten Gruppe: Der oben genannte Befehl erzeugt diesen DACL Eintrag: (A;;CCSWLORC;;;S-1-5-21-1761227572-3249661392-4128413550-1315) Wenn ich die Sicherheitseinstellungen öffne und bestätige wird daraus: (A;;FR;;;S-1-5-21-1761227572-3249661392-4128413550-1315) Und damit bin ich wieder bei der Ursprungsfrage, was dieses "FR" (und die anderen Werte) bedeuten, damit ich den icacls Befehl entsprechend korrigieren kann. Danke!

Hallo, hat jemand einen Link parat, der die Syntax der via "icacls /save" exportieren DACLs erklärt? Ich kann dazu im Netz nichts finden. Jeder Zeile beinhaltet ja in Klammern 6 durch Semikolon getrennte Parameter. Beispiel: (A;;CCSWLORC;;;S-1-5-21-1761227572-3249661392-4128413550-1315) (A;CI;0x1200a9;;;S-1-5-21-1761227572-3249661392-4128413550-1159) Das der letzte Eintrag die SID ist, ist mir klar. Was genau sind die anderen 5 Spalten? Hintergrund: Ich füge per icacls zu einem bestehenden Ordner eine Sicherheitsgruppe hinzu, die den Mitgliedern das Anzeigen und Durchsuchen des Ordners gestattet: icacls "\\server\freigabe\ordner" /grant "DL_Group":(RD,RA,REA,RC) Problem: Ich sehe zwar in den Sicherheitseinstellungen, dass die gewünschten Rechte hinzugefügt wurden, aber leider ohne die gewünschte Auswirkung (Ordner ist weiterhin nicht sichtbar). Wenn ich allerdings die Sicherheitseinstellungen öffne und wieder mit OK schließe, wird der Ordner plötzlich angezeigt. Lese ich die DACLS des so modifizierten Ordners aus, tauchen dort plötzlich zwei zusätzliche Zeilen auf, die vorher nicht da waren. Eine beinhaltet sogar eine Gruppe, die auf den Ordner keinen Zugriff haben sollte, und in den Sicherheitseinstellungen auch nicht angezeigt wird! :confused:

Lösung gefunden: Bisher hatte ich eine Adressliste für Räume und eine für Geräte. Da aber nur die Raumliste die entsprechende Ansicht hat, musste ich diese um die Geräte erweitern, und die alte geräteliste löschen: Set-AddressList -Identity "Alle Räume und Geräte" -RecipientFilter {(Alias -ne $null -and (RecipientDisplayType -eq 'ConferenceRoomMailbox' -or RecipientDisplayType -eq 'SyncedConferenceRoomMailbox' -or RecipientDisplayType -eq 'EquipmentMailbox'))}

Hi, ich habe zu einem Gerätepostfach benutzerdefinierte Eigenschaften hinzugefügt, die ich zuvor per Shell definiert hatte: Set-ResourceConfig -ResourcePropertySchema ("Equipment/Webcam","Equipment/Acrobat","Equipment/MSProject") Wo kann der Benutzer diese sehen? Bei Raumpostfächern werden diese im Adressbuch ja angezeigt, aber bei Geräten sehe ich nix... Danke! Daniel

Hi, gibt es bei Exchange 2010 die Möglichkeit den Stellvertreter eines Gerätepostfachs bei einer Buchung der Ressouce zu informieren, auch wenn die Ressourcenautomatik aktiviert ist? Ohne Automatik geht das ja, aber ich brauche die Kombination aus beidem. :confused: Hintergrund: Die Ressource soll die Buchung selber bestätigen, der Stellvertreter soll aber zusätzlich informiert werden, damit dieser die Ressource vorbereiten kann. Er soll nicht (!) zum Termin mitgebucht werden. Danke! Daniel

Puuh, das ist ja schon 1,5 Jahre her...:shock: Das Problem trat damals nur bei "F-Secure 2010" auf, seit unserem Wechsel zu "F-Secure Client Security" gab's keine Probleme mehr. Welchen Ordner ich damals ausgeschlossen hatte weiss ich leider nicht mehr, vermutlich war's der Ordner in dem die Executables liegen. Schließ doch versuchsweise mal das ganze Office-Verzeichnis aus. Falls das Problem dann weg ist, kannst Du den Ausschluss ja schrittweise eingrenzen. Viel Erfolg! Daniel

Dann kann ich es aber in Outlook nicht bei der Makrosignierung auswählen!?Dort werden nur die angeboten, die in "Eigene Zertifikate" liegen... Was mach ich falsch?

Hi, ich habe leider vergeblich nach Hinweisen gesucht, wie ich ein Codesignatur-Zertifikat, dass zur Signierung von Outlook-Makros genutzt werden soll, an die Clients (XP-SP3) verteilen kann. Wie ich mit den Office-Tools ein selbstsigniertes Zertifikat erstellen kann weiss ich. Ich weiss auch wie ich ein Codesignatur-Zertifikat von unserer internen PKI (2008R2) abrufen kann. Eine Vorlage für Codesignatur ist erstellt, manueller Abruf via https://server/certsrv/ (als Admin) und Signierung des Makros funktioniert auch. Nun möchte ich das aber nicht an jedem Cliennt manuell ausführen müssen. Mir ist bekannt wie ich per GPO Zertifikate für eine vertrauenswürdige Stammzertifizierungstelle sowie vertrauenswürdige Herausgeber verteilen kann. Aber wie stelle ich das mit einem Codesignatur-Zertifikat an? Gruß, Daniel

Hallo olc, Das kann ich m.E. ausschließen. Die Standortkonfiguration ist korrekt und bei der Größe auch noch leicht überschaubar. Außerdem wird kein NETLOGON-Event 5807 protokolliert (%SystemRoot%\debug\netlogon.log ist sauber), was bei fehlender Subnetzzuordnung einer Client-IP ja erfolgen würde. Danke für den Tip, mit dem Verfahren hatte ich mich noch nicht auseinandergesetzt. Ich schmeiss mal Wireshark an und schaue was dort passiert. Ich melde mich ggf. mit dem Ergebnis. Mit ist in der Zwischenzeit schon aufgefallen, das das Problem offensichtlich nur bei Clients auftritt, die nicht Mitglied der Domäne sind. Wenn ich also z.B. mit meinem Home-PC via VPN aufs DFS zugreife. Gibt es da einen Zusammenhang? Ich dachte bislang, das allein die Subnetzzuordnung via IP ausschlaggebend für die Zuordnung des passenden Servers ist... Gruß, Daniel

Einen Schritt bin ich weiter: Im Explorer wird für die DFS-Freigaben "Offline (langsame Verbindung)" angezeigt. Freigaben, die hingegen direkt auf den Server zeigen, gehen sofort nach dem Verbindungsaufbau online. Ein ping auf den DFS Stamm zeigt eine Latenz von 170ms, auf den Server hingegen nur 40ms. Der Grund ist offensichtlich, dass ein ping auf den DFS Stamm mal vom Server am Standort des VPN-Servers (40ms) und mal von einem Server an den anderen Standorten (170ms) beantwortet wird. Wenn ich jedoch per GPO die Erkennung langsamer Verbindungen deaktiviere (oder auf >200ms setze), geht der DFS-Stamm trotzdem nicht online... :confused:

Hallo, wir nutzen DFS in Verbindung mit Offlinedateien auf Windows 7 Clients mit Server 2008 R2. Wenn sich nun ein User via VPN mit dem Netz verbindet, bleibt der DFS-Stamm oftmals offline (sehr lange gewartet!). Das führt dann dazu, dass beim Öffnen gemappter DFS-Pfade eine unschöne Fehlermeldung kommt. Ein Workaround ist, via UNC den DFS-Stamm zu öffnen, und dort auf "Onlinebetrieb" zu klicken: Voila, die Laufwerke gehen wieder. Für die User ist das natürlich inakzeptabel. Was könnte der Grund sein, warum der DFS-Stamm nicht automatisch online geht, sobald die Verbindung zum Netz steht, und diese ausreichend schnell ist? Wie kann ich den Grund abfragen, warum der Stamm offline ist? Habs mit den WMI Klassen ("Get-WmiObject -Class win32_OfflineFilesItem") nicht herausfinden können... Danke, Daniel

Hallo, ich hab eine Frage zu DFS und Round Robin: Es existiert eine Domain mit drei Sites mit eigenen DCs: Site 1: DC1 IP 192.168.2.2 Subnets 192.168.1.0/24 (VPN-RoadWarrior) + 192.168.2.0/24 (LAN) Site 2: DC2 IP 192.168.3.2 Subnet 192.168.3.0/24 Site 3: DC3 IP 192.168.4.2 Subnet 192.168.4.0/24 Die Replikation zwischen den Standorten funktioniert. Die Kosten wurden aufgrund unterschieldicher Bandbreiten angepasst: DC1 - (cost 10 - 8MBit) - DC2 DC1 - (cost 20 - 1MBit) - DC3 DC2 - (cost 20 - 1MBit) - DC3 Es existiert ein DFS-N "\\intern.domain.de\DFS", alle DCs hosten eine Kopie. In Site1 existiert ein VPN-Server. Problem: Ein RoadWarrior verbindet sich mit dem Netz und will aufs DFS Zugreifen. Vom DNS bekommt es auf den Request nach "intern.domain.de" die IPs aller drei DCs in wechselnder Reihenfolge zurück (Round Robin). Das führt folglich dazu, dass der Warrior die Kommunikation in 2/3 der Fälle nicht über den Server am Standort des VPN-Server abgewickelt (DC1), sondern umständlich erst über einen langsamen Standort-Tunnel geht. Das führt natürlich zu einer relativ nervigen Verzögerung beim DFS-Zugriff. Ist das normal (Round Robin ist ja standardmäßig aktiv), oder habe ich bei der Standortverknüpfung bzw. beim DFS-Setup etwas falsch gemacht? Danke! Daniel

Schon einen memtest gemacht?

Hat sich erledigt. In den Eigenschaften des Namespace kann man die Sortierreihenfolge festlegen. Standard ist "niedrige Kosten" wobei laut Windows-Hilfe auf die Standortverknüpfungen zurückgegriffen wird.

Ich habe drei 2008 R2 Server auf drei Standorte verteilt: S1, S2, S3. Eine DFS-Freigabe wird auf alle drei Server repliziert. Angenommen in S1 fällt die DFS-Freigabe aus: Wie kann ich beeinflussen auf welchen anderen Standort Clients in S1 beim Zugriff aufs DFS ausweichen? Geht das über die IP-Verbindungskosten in der AD-Standortverknüfung? Danke, Daniel

Jepp, hatte ich ja im Anfangspost geschrieben. Immerhin führte der Import dazu, dass die Autovervollständigung zumindest mit diesem NK2-Stand wieder funktionierte. Immernoch besser als nüscht.... Leider nicht hilfreich, da die nur das Zurücksetzen des Cache und Reimport der NK2 beschreiben, also genau das, was ich bislang auch schon gemacht habe....

Türlich, sonst hätte es ja nicht funktioniert ;) How to import .nk2 files into Outlook 2010 Sind sie ja. Und wenn es trotzdem nicht funktioniert?

Hi, es kommt leider sporadisch vor, dass bei Outlook 2010 Benutzern der "Autovervollständigen Adresscache" im Zusammenspiel mit Exchange 2010 plötzlich leer ist. Natürlich ist in den Optionen das Autovervollständigen aktiviert. Bislang habe ich das über ein /importnk2 gelöst, doch mitterweile sind die Dateien so alt, das die User das nicht mehr gebrauchen können. Laut kb980542 liegt der cache in einer "versteckten Nachricht im Standardnachrichtenspeicher". Im "Top of Information Store" finde ich zwar den Kontaktordner mit "vorgeschlagenen Kontakten", der scheint aber nicht das Problem zu sein, da der in Outlook nicht leer ist. Weiss jemand ob/wie man den Cache ggf. aus einem Backup (BachupExec 2010 + Exchange Agent) wieder herstellen kann? PS: Wirkt der eigentlich gemeinsam von Outlook und OWA genutzt? Danke, Daniel

Bei mir geht's nach dieser Prozedur wieder: - Outlook schließen - %appdata%\Microsoft\Outlook\Outlook.NK.old in Outlook.NK2 umbenennen (gibt es nur, wenn vorher ein älteres Outlook genutzt wurde) - outlook.exe /importNK2 Ich hab zwar keine Ahnung, warum der Adresscache für das Problem verantwortlich war, aber immerhin hat es das Problem gelöst. Wer keine alte NK2 hat, kann es ja mal über das Zurücksetzen des Adresscaches in den Outlook-Optionen versuchen... Gruß, Daniel

Oder einfach die ersten Buchstaben der Adresse tippen und STRG+K drücken, dann schlägt Outlook m.E. alle passenden Kontakte aller Adressbücher vor...