wise

Weil ichs in der GUI nicht gefunden hab Aber ich hab die Zertifikatsdienste jetzt noch mal deinstalliert und über die GUI installiert (die vorherige Installtion hatte ich mit besagtem install-windowsfeature ad-certificate vorgenommen). Und stimmt... da gibts dann den extra Haken zum installieren der Management Tools, den ich jetzt auch aktiviert hab. und siehe da, jetzt sind sie auch da Ist mir bewusst, dass man das so machen sollte. In diesem Fall werde ich es aber auf dem DC belassen, weil ich aus ressourcengründen dafür keine dedizierte VM nutzen wollte. Wobei meine Frage an der Stelle noch wäre: Gilt diese Empfehlung vor allem aus Gründen ... der Sicherheit des DCs? oder mehr der Sicherheit der CA? oder überwiegend der Performance einer der beiden Dienste? Oder einfach nur aus Prinzip? Wenn ich das bei der Installation vergessen hab, könnte ich das nachträglich damit einfach noch mal drüber bügeln? Jetzt frag ich nur noch aus Interesse, denn mein Problem hab ich mit der Neuinstallation über die GUI und dem entsprechenden Haken (also genau diese Option) ja bereits behoben...

offensichtlich nicht. Aber weißt du, wie ich die z.B. mit install-windowsfeature noch installieren kann? Die meisten Management Tools fürs AD sind ja da (siehe Screenshot aus Post 1)

Hallo, ich wollte die CA von einem Windows Server 2012 R2 auf einen Windows Server 2019 umziehen. Nachdem auf dem Windows Server 2019 die AD CA Dienste installiert sind (über install-WindowsFeature AD-Certificate), hatte ich angenommen, dass sich das Snap-In für Zertifizierungsstellen auswählen lassen würde. Leider ist dem nicht so. In %windir%/System32 finde ich auch keine certsrv.msc. Was fehlt denn dafür noch?

Hallo, ich geb mich geschlagen: Unabhängig eines Performance Vorteils ists bei Problemen doch recht nervig nur mit der Core Version auf Problemsuche zu gehen. Unterm Strich muss ich nun doch Nobby recht und "klein bei" geben und werd jetzt doch wieder zurück in die Desktop Umgebung wechseln... Schade, dass das Umschalten in den neueren Servern entfernt wurde und nur noch per Neuinstallation möglich ist.

In meiner Konfiguration machts was aus. Das liegt aber vorallem auch an der schmalen Internetanbindung; Wenn ich remote da drauf will, dann hatte ich bisher nur die Möglichkeit über die GUI - und das ist manchmal ganz schön zäh. Da ich auf dem Exchange ohnehin ausschließlich nur diese "Anwendung" betreibe und auch nicht vorhab auf diesen Server noch was anderes drauf zu packen, bot sich der für mich irgendwie als Core Server an. Zusätzlich eben die Überlegung ihn damit mehr einzuschränken... ja; Ich geb ja auch zu, dass ein evtl. Angriff (eben so wie der Hafnium kürzlich) sich davon nicht beeindrucken lässt, dass nur die Konsole verwendet werden kann... was anderes nutzen die Scripte eh nicht. Außerdem ist der RAM des Hyper-Vs mit seinen 32GB auch nicht gerade üppig... wie gesagt; Beim Exchange wars mir eben wichtig diesen wirklich nur dafür und nicht noch für irgendwas anderes zu nutzen. Da kann ich bei der Core Version schon mal 2GB RAM einsparen Aber sonst ists natürlich Geschmacksache. Ich komm ganz gut damit zurecht: Ich kann die verschiedenen mmc-Snapins genauso gut von woanders öffnen Der Exchange wird seit 2013 eh ohne die GUI konfiguriert Wenn ich im Dateiexplorer arbeiten will, geht das auch Remote (SMB/CIFS) So hab ich mehr Anreiz ein bisschen mehr die Powershell zu verwenden; schadet nicht und aus Bequemlichkeits-Gründen nutz ich die oftmals gar nicht so oder nur, wenn ich irgendwelche "Massen-Konfigs" machen will (z.B. ne ganze Liste an Postfächern erstellen etc.). Jedenfalls hab ich mir mittlerweile ne ganze Latte an nützlichen Powershell Kommandos zusammen gestellt; die hätte ich ohne die Entscheidung zur Core-Version vermutlich nicht Und natürlich war noch ein maßgeblicher Gedanke: Ich muss mich von Vornherein für oder gegen Core entscheiden: Das man das zwischendrinn umswitchen kann, wurde ja leider entfernt Wenn ich mit der Entscheidung langfristig doch noch mal umdenken will, kann ich das immer noch machen: Dann muss ich eben noch mal neu aufsetzen und zu nem neuen Exchange Migrieren... vielleicht komm ich aber auch ganz gut damit klar und belasse es für die nächsten Versionen sogar dabei. Aber danke für die Meinung zur GUI; In den betreuten Umgebungen werd ich dann eher von der GUI absehen... (Darüber hatte ich mir nämlich durchaus auch Gedanken gemacht). Das hier ist meine Testumgebung. Sozusagen der "zweite Arbeitsplatz" Daheim. Gruß Wise

Hallo Danke, dann bin ich ja beruhigt. Ehrlich gesagt ist das weniger aus Sicherheitsgründen (ich will nicht leugnen, dass der Gedanke da mitspielt) als viel mehr aus Performance Gründen. Und die sind doch erheblich spührbar... zu mindestens beim Arbeiten mit/auf dem Server. Die Exchange Umgebung selbst ist relativ klein. Da kann ich jetzt wenig zu sagen. Ich hatte mich letztlich dafür entschieden, weil ich die GUI für den Exchange mindestens ab 2013 (auf dem sonst wirklich nichts anderes läuft) einfach unnötig finde. Die Angriffsfläche hab ich jetzt (zugegeben erst nach den kürzlichen Vorfällen) durch VPN reduziert: Nur SMTP und IMAP ist noch ohne VPN erreichbar; der Rest erfordert entweder interne LAN Anbindung oder eine Anbindung übers VPN. Grüße Wise

Hallo, ich habe einen Testserver mit Windows Server 2019 Core vor einigen Wochen eingerichtet und darauf einen Exchange 2019 installiert. In der Registry hab ich unter anderem "AllowMUUpdateService" auf 1 gesetzt, damit auch für den Exchange Updates installiert werden. Ich hatte zuerst Exchange 2019 mit CU 5 installiert (das war schon einige Tage her) und heute CU 9 nach installiert. Trotzdem erhalte ich nicht das Update KB5000978. Folgend Updates sind nur installiert worden: $> wmic qfe get hotfixid HotFixID KB4601555 KB4486153 KB4535680 KB4589208 KB5000859 KB5000822 Würde mich freun, wenn mich jemand hierbei aufklären könnte. Liebe Grüße Wise

Hallo, ich möchte in einem Script auf verschiedene Netzwerkfreigaben zugreifen. Das Script wird über GPO (Computerkonfiguration > Richtlinien > Windows-Einstellungen > Scripts > Starten) ausgeführt und läuft deshalb als Benutzer NT-AUTORITÄT\SYSTEM. Die Netzwerkfreigaben möchte ich aber nicht pauschal für jeden Nutzer freigeben (schon gar nicht schreibend). Deshalb wollte ich nur den Benutzer unter dem das Script läuft - also NT-AUTORITÄT\SYSTEM - entsprechend freigeben. Aber wie wähle ich den denn in den Sicherheitseinstellungen am Fileserver der Domain aus? Ich habe dort nur die Benutzer der Domain zur Auswahl. Wäre super, wenn jemand dafür nen Tipp (oder auch eine ganz andere Lösung) hätte. Grüße Wise

Danke. Unsere Beiträge haben sich ein bisschen überschnitten :) Wie oben geschrieben liegt mein Problem darin, dass nicht jeder Kontakt in jeder Gruppe sein soll. Verbunden mit dem Aufbau meiner Liste kommts dabei zu diesem Problem. Ich denke ich werde die Liste entsprechend anpassen. Fürs Filtern war mein Aufbau zwar einfacher, aber man kann sich umgewöhnen. Solltest du trotzdem noch eine schöne Lösung für meine bisherige Liste haben, würde mich das aber trotzdem noch interessieren. Vielen Dank jedenfalls für deine Hilfe.

Mein erstes Problem hab ich grad selbst behoben: Da fehlten einfach nur die Anführungszeichen. Beim zweiten Problem hab ich immerhin einen Workaround: Es darf keine leere Spalte geben, da alle nachfolgenden Spalten auf Grund des dann folgenden Fehlers nicht mehr bearebitet werden, weshalb leider mein bisheriger Ansatz so nicht funktioniert. Ich muss die Tabelle also dahingehend umbauen, dass ich für jede Gruppe eine Spalte an den Kontakt anhänge. Damit kann ich leben, aber es macht die Liste unübersichtlicher. Ich vermute ich müsste vorher immer eine Prüfung einbauen: Import-Csv C:\datei.csv|%{New-MailContact -Name $_.Email -DisplayName $_.Email -OrganizationalUnit OU=ExterneKontakte,DC=domain,DC=de -ExternalEmailaddress $_.Email; WENN(%_.Gruppe1 gesetzt, dann ´Add-DistributionGroupMember -Identity $_.Gruppe1 -Member $_.Email´); WENN(%_.Gruppe1 gesetzt, dann ´Add-DistributionGroupMember -Identity $_.Gruppe2 -Member $_.Email´)} Aber da weiß ich nicht, wie ich so Prüfungen richtig einbaue. Außerdem denke ich gibt es vielleicht schönere Lösungen :)

Ich hab mit der Powershell Erfahrung nur bei wirklich einfachen Befehlen; Also eher nur rudimentär. Ich weiß auch, dass man Verkettungen herstellen kann und habe (durch Hilfen aus verschiedenen Beiträgen) zum Beispiel folgende zwei Ansätze für mein Problem gefunden: (Import-CSV 'c:\datei.csv' -Delimiter ";") | %{ New-MailContact -Name $_.Name -ExternalEmailaddress $_.Email } Quelle: https://www.administrator.de/forum/exchange-2013-kontakte-csv-importieren-326974.html bzw. Import-Csv C:\datei.csv|%{New-MailContact -Name $_.Name -DisplayName $_.Name -ExternalEmailAddress $_.ExternalEmailAddress -FirstName $_.FirstName -LastName $_.LastName} Quelle: https://support.office.com/de-de/article/massenimport-von-externen-kontakten-in-exchange-online-bed936bc-0969-4a6d-a7a5-66305c14e958#step1 Ich möchte so wenig wie möglich Verwaltungsaufwand haben, weshalb mir die Mailadresse einfach als Anzeigename genügt. Meine Liste sieht nun also wie folgt aus: Email,Gruppe1,Gruppe2 Mueller@mail.de,Verteiler1, Maier@mail.de,,Verteiler2 Schulze@mail.de,Verteiler1,Verteiler2 Meine Tabelle hat also für jede mögliche Verteilergruppe, in welcher die Kontakte eingetragen werden sollen, eine eigene Spalte. Ich weiß nicht, wie es sinnvoll anzugeben wäre: Eine Spalte und "wie auch immer getrennt" die Verteilergruppen - das wäre kein Problem, die Liste dahingehend umzubauen - oder quasi diese Felder einfach hintereinander irgendwo anzugeben und bei Bedarf ist das Feld halt leer und daher findet keine Eintragung statt... Ich bräuchte also noch einen Parameter "Mitglied in Gruppe" für den New-MailContact Befehl, den ich dann entsprechend mit den Spalten fülle. Ich denke also, es müsste irgendwas sein wie: Import-Csv C:\datei.csv|%{New-MailContact -Name $_.Email -DisplayName $_.Email -OrganizationalUnit OU=ExterneKontakte,DC=domain,DC=de -ExternalEmailaddress $_.Email -Group $_.Gruppe1,$_.Gruppe2} Mein erstes Problem ist hier die Angabe mit der OU: Die Argumenttransformation für den Parameter "OrganizationalUnit" kann nicht verarbeitet werden. Der Wert "System.Collections.ArrayList" vom Typ "Sys tem.Collections.ArrayList" kann nicht in den Typ "Microsoft.Exchange.Configuration.Tasks.OrganizationalUnitIdParameter" konvertiert werden. + CategoryInfo : InvalidData: (:) [New-MailContact], ParameterBindin...mationException + FullyQualifiedErrorId : ParameterArgumentTransformationError,New-MailContact Mein zweites Problem ist die Angabe der Gruppen: Wie es mir nach deinem Link scheint, gibt es diesen Schalter so nicht. Demzufolge müsste ich das wohl wie hier beschrieben verketten: Add-DistributionGroupMember -Identity "Staff" -Member "JohnEvans@contoso.com" Aber da weiß ich nun nicht, wie ich das in den obigen Befehl einbaue. Evtl. würde folgendes funktionieren? Import-Csv C:\datei.csv|%{New-MailContact -Name $_.Email -DisplayName $_.Email -OrganizationalUnit OU=ExterneKontakte,DC=domain,DC=de -ExternalEmailaddress $_.Email; Add-DistributionGroupMember -Identity $_.Gruppe1 -Member $_.Email; Add-DistributionGroupMember -Identity $_.Gruppe2 -Member $_.Email} Aber DIESE Art von Verkettung sieht irgendwie falsch aus :( Danke erstmal für deine Hilfe. Kannst du mir hierbei noch auf die Sprünge helfen?

Hallo, ich möchte in einen Exchange Server 2010 zahlreiche Email Kontakte einbringen. Wie kann ich z.B. über die Management Shell eine CSV Datei abarbeiten und daraus die AD-Objekte nebst Exchange Kontakte anlegen? Falls es möglich wäre, diese über die CSV Datei auch noch einer oder mehrerer Verteilergruppen zu zuweisen (diese kann ich natürlich zuvor selbst per Hand anlegen), wäre das super. Ich würde mich sehr über eine Hilfe freuen - sonst muss ich die alle per Hand anlegen :( LG Wise

Genau, wobei mir die Idee kommt, dass man vielleicht dafür eine eigene Gesellschaft (Rechtsform - da kenn ich mich nicht so aus) schaffen müsste, zu der die alle drei gehören - und die kauft dann die Lizenzen. Ich muss mal abklären inwieweit das möglich ist.

Es sind drei eigene juristische Personen; Alle drei Werke sind eingetragene Vereine, haben eigene Steuernummern und eigene Satzungen. Aber die Personen sind größtenteils die gleichen: Der Vorstand ist ein gleicher Personenkreis. Die Mitarbeiter arbeiten für alle drei Werke gleichzeitig (in unterschiedlicher Gewichtung) und zum Teil Ehrenamtlich

Der eine Server gehört Werk 1 :) Aber bei der Freigabe der OpenAcademic Lizenzberechtigung steht folgender Passus: Deshalb komme ich zu der Frage. Vorher hätte ich gar nicht darüber nachgedacht.