Thursday, January 19, 2012
Hallo zusammen,
Es gibt immer wieder Fragen zu den Berechtigungen von Mailboxen, beziehungsweise wie denn einzelne Ordner für andere Mitarbeiter freigegeben werden können.
Als Beispiel mal folgendes: Der User25 möchte seinen Ordner "ScharedFolder" im Posteingang freigegeben.

Die Berechtigung für den Ordner "SharedFolder" wird auf die Stufe2 für den User "Bohren, Andres" gesetzt. Man kann nur Benutzer auswählen, welche im Globalen Adressbuch sichtbar sind.

Wird einer der Standardfolder freigegeben, so kann mit "Ordner eines anderen Benutzers" öffnen

Die Standardfolder sind:
- Posteingang
- Aufgaben
- Journal
- Kalender
- Kontakte
- Notizen
- Posteingang

Wird die Mailbox als zusätzliches Postfach hinzugefügt...

...so gibt es eine Fehlermeldung - man kann nicht auf das Postfach, bzw. den "SharedFolder" zugreifen.


Damit das funktioniert, muss auf jeder Stufe mindestens die Leseberechtigung gegeben werden.

| Outlook Name |
Exchange |
Berechtigung |
| Postfach |
Top of Information Store |
Stufe 2 |
| Posteingang |
Posteingang |
Stufe 2 |
| SharedFolder |
SharedFolder |
Stufe 2 |
Durch diese Berechtigungen kann aber der User auch auf den Posteingang zugreifen.

Ändert man die Berechtigung auf den Ordner "Posteingang" auf die Berechtigungsstufe "Keine", so kann der andere Benutzer nur noch auf den Unterordner "SharedFolder" zugreifen...
| Outlook Name |
Exchange |
Berechtigung |
| Postfach |
Top of Information Store |
Stufe 2 |
| Posteingang |
Posteingang |
Keine |
| SharedFolder |
SharedFolder |
Stufe 2 |
...aber das erzeugt ziemlich viele Fehlermeldungen - ist also nicht empfohlen.

Mit den Exchange Management Tools kann man die Berechtigungen ebenfalls prüfen, jedoch nur mit der Exchange Management Shell (EMS)
Um die MAPI Berechtigungen vom "Top of Information Store" anzuzeigen kann folgender Befehl verwendet werden
Get-MailboxFolderPermission -Identity user25:\
Um die MAPI Berechtigungen vom Posteingang anzuzeigen kann folgender Befehl verwendet werden
Get-MailboxFolderPermission -Identity user25:\posteingang

Für Exchange Administratoren empfehle ich ExFolders.

Grüsse
Andres Bohren

Thursday, January 12, 2012
Hallo zusammen,
Gestern hat Microsoft das Rollup 1 für TMG 2010 SP2 veröffentlicht. Das Update kann unter folgender URL heruntergeladen werden: http://support.microsoft.com/kb/2649961







Grüsse
Andres Bohren

Tuesday, January 10, 2012
Hallo zusammen,
Mitte Dezember hat Microsoft mehrere Updates für Lync 2010 herusgegeben.
http://support.microsoft.com/kb/2493736
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=11551
Lync Server Update
Am einfachsten geht es, wenn man den LyncServerUpdateInstaller herunterlädt und auf dem Lync Server ausführt - so werden die benötigten Updates identifiziert und können gleich installiert werden.

So, nun ist alles wieder up to date - und das sogar ohne Neustart des Servers.

Lync Client Update
Auch für den Client gibts ein Update Package
Description of the cumulative update for Lync 2010: November 2011
http://support.microsoft.com/?kbid=2514982





Grüsse
Andres Bohren

Hallo zusammen,
Über Zertifikate habe ich ja schon ein paar Artikel geschrieben, beispielsweise die beiden folgenden, welche mir als Grundlage für diesen Artikel gedient haben:
Heute möchte ich zeigen, wie man mit openssl ein Certificate Signing Request (CSR) für ein Subject Alternative Name (SAN) Zertifikat austellt.
Die Benötigten Informationen und Tools gibts hier:
Zuerst erstellen wir den Private Key - Dokumentation dazu gibts hier http://www.openssl.org/docs/apps/genrsa.html
openssl genrsa -out priv_sample_icewolf.pem 2048

Für SAN Zertifikate muss ein config File erstellt werden (in diesem falle hab ich das config file "sample_icewolf.conf" benannt)
[ req ]
default_bits = 2048
default_keyfile = priv_sample_icewolf.pem
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
commonName = Common Name (CN)
organizationName = Organization (O)
OU = Organizational Unit (OU)
localityName = City / Locality (L)
stateOrProvinceName = State / Province (S)
countryName = Country/Region (C)
[ req_ext ]
subjectAltName = @alt_names
basicConstraints = CA:TRUE
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
[alt_names]
DNS.1 = sample.icewolf.ch
DNS.2 = other.icewolf.ch
DNS.3 = www.domain.net
Nun kann der CSR mithilfe des Private Kays und des config Files erzeugt werden.
openssl req -new -nodes -out sample_icewolf.csr -config sample_icewolf.conf
http://openssl.org/docs/apps/req.html#
http://openssl.org/docs/apps/x509v3_config.html#

Nun stelle ich bei der Windows CA das Zertifikat aus

Und da haben wir das Zertifikat

Grüsse
Andres Bohren

Thursday, January 05, 2012
Hallo zusammen,
Microsoft hat mitte Dezember die kumulativen Updates für Office 2007 veröffentlicht.
Office 2007 kumulative Update für Dezember 2011
http://support.microsoft.com/kb/2639880
Outlook 2007 hotfix package December 13, 2011
http://support.microsoft.com/kb/2596985
Grüsse
Andres Bohren

Wednesday, January 04, 2012
Hallo zusammen,
Heute versuche ich zu zeigen wie SNMP (Simple Network Management Protocol) Monitoring mit Microsoft System Center Operation Manager 2007 R2 (SCOM) funktioniert.
Es wird unterschieden zwischen
- Probe based (SNMP Query wird in einem bestimmten Interwall ausgeführt)
- Trap Based (Bei auftreten des Events wird eine Meldung versendet)

SNMP auf dem Server einrichten
Als erstes richten wir auf einem Server welchen wir per SNMP überwachen wollen das SNMP Protokoll ein. Dazu muss das Feature "SNMP Service" installiert werden.

Anschliessend kann der Service "SNMP Service" under services.msc konfiguriert werden. Es gehört sich, dass die Felder Contact und Location ausgefüllt werden.

SNMP bietet keine grossen Sicherheitsfeatures - der ganze Datenverkehr ist nämlich unverschlüsselt. Das einzige Sicherheits Merkmal ist die Community - eine Art Passwort für den SNMP Zugriff. Aber man kann den SNMP Verker mit "Accept SNMP Packets from these hosts" auf den Management Server eingrenzen.

Möchte man auch Traps versenden, so muss auch noch die Registerkarte "Traps" mit der Community und der Trap Destination ausgefüllt werden.

Traps prüfen
Nun werden SNMP Traps versendet. Was auf der Trap Destionation denn ankommt kann man mit dem Tool "SNMP Trap Watcher" geprüft werden. http://www.bttsoftware.co.uk/snmptrap.html
Dazu muss aber auf der Trap Destination sichergestellt sein, dass der Service "SNMP Trap" gestoppt ist, ansonsten ist der Listening Port UDP 162 bereits belegt.

So sieht es aus, wenn man den SNMP Service auf dem zu überwachenden Server neu startet. Es wird ein "Cold Start" Trap gesendet und die Link Up's werden gemeldet.

SNMP Monitoring auf SCOM 2007 einrichten
Nun sollte der "SNMP Trap" Service wieder gestartet werden.

Als erstes muss das SNMP Device über den Discovery Wizard registriert werden.





Nun ist der Server als "Network Device" registriert.

In den Eigenschaften sieht man auch die Werte, welche unter Contact und Location eingetragen wurden.

Und im Monitoring ist das Device auf "Healthy"

Auch der Health Monitor meldet, dass das Device verfügbar ist.

Grüsse
Andres Bohren

Hallo zusammen,
Mit "Auto Mapping" werden Mailboxen, auf welchen man Full Access Berechtigungen hat, automatisch in Outlook gemappt. Wie das genau funktioniert, habe ich bereits in einem früheren Blog Artikel beschrieben.
Das Automapping kann nur mit der Exchange Management Shell (EMS) eingeschränkt werden.
Add-mailboxPermission sharedmbx -User a.bohren -AccessRight FullAccess -Automapping $false

Legt man die Full Access Permissions über die Exchange Management Console (EMC) fest...

so wird der Distinguished Name im AD Attribut "msExchDelegateListLink" gespeichert.

Das Auto Mapping von bestehenden Permissions können mit dem gleichen Befehl deaktiviert werden.

In diesem Fall wird dann das Automapping, bzw das AD Attribut "msExchDelegateListLink" angepasst.

Grüsse
Andres Bohren

Tuesday, January 03, 2012
Hallo zusammen,
Mit Windows 8 Server werden auch einige Technologien im Unterbau verbessert. Dazu gehört auch ein neues SMB Protokoll 2.2. Mit Vista wurde ja SMB 2.0 eingeführt, welches für grössere Daten und WAN Verbindungen optimiert wurde.
Zu den neuen Features gehören:
- Transparent Failover and node fault tolerance with SMB 2.2 (Cluster Client Failover)
- Fast data transfers and network fault tolerance with SMB 2.2 Multichannel (MPIO)
- Scalable, fast and efficient storage access with SMB2 Direct
- Active-Active File sharing with SMB 2.2 Scale Out
- Volume Shadow Copy Service (VSS) for SMB 2.2 file shares (Remote VSS)
Ebenfalls soll nun das Teaming von Netzwerkkarten direkt in Windows und sogar mit verschiedenen Herstellern möglich sein.
Weitere Informationen dazu gibts im folgenden Artikel auf dem Technet Blog:
http://blogs.technet.com/b/server-cloud/archive/2011/09/20/storage-and-continuous-availability-enhancements-in-windows-server-8.aspx
Weiterführende Links:
Grüsse
Andres Bohren

Monday, December 19, 2011
Hallo zusammen,
Wie dass Exchange Text Messaging funktioniert, habe ich euch bereits in einem früheren Blog Artikel vorgestellt.

Die SMS werden vom Mobiltelefon / Smartphone mit Exchange synchronisiert und haben die Message Class IPM.Note.Mobile.SMS

Zwar kann man das Text Messaging in OWA in Segmentation deaktivieren...

...aber selbst wenn diese Policy aktiv ist, dann ist es weiterhin möglich über Active Sync SMS zu synchronisieren und zu versenden.

Grüsse
Andres Bohren

Thursday, December 15, 2011
Hallo zusammen,
Manchmal müssen Group Policys nur angewendet werden, wenn bestimmte Bedingungen erfüllt sind. Beispielsweise eine bestimmte Software ist installiert, ein bestimmtes Betriebsystem, ein bestimmtes Computermodell etc.
Dies kann über WMI Filtering in Group Policys erreicht werden.In meinem Beispiel soll die Gruppenrichtlinie nur angewendet werden, wenn der Computername mit VISTA* anfängt.
Als erstes erstellen wir einen WMI Filter

Der WMI Filter hat folgende Bedingung:
SELECT * FROM Win32_ComputerSystem WHERE Name like 'VISTA%'

Nun erstellen wir eine neue GPO und wenden den erstellten WMI Filter an

Zum einfachen Testen werwende ich Group Policy Preferences um einen Link auf dem Desktop zu erstellen

Im Detail sieht das so aus

Erzeuge einen Hyperlink mit der URL www.blick.ch und dem namen blick.ch auf dem Desktop

Nun muss die GPO noch mit der richtigen OU verlinkt werden.
So, nun gehts ans testen... Auf einer VM starte ich gpupdate - da der Computername nicht mit VISTA anfängt zieht die GPO nicht.

Auf dem Computer welcher dem WMI Filter enspricht, wird der Link jedoch erzeugt.

Weitere Informationen
Grüsse
Andres Bohren
