August 2010 Blog Posts
Hallo zusammen,
In Exchange 2010 gibt es eine neue Berechtigungsverwaltung. Diese nennt sich Role Based Access Control (RBAC). Dabei werden einzelne Rechte zu Rollen zusammengefasst und diese Benutzern oder Gruppen zugewiesen. Dabei kann man noch Einschränkungen auf den Schreibbereich (Scope) machen. Bei diesen Einschränkungen kann es sich entweder um eine OU oder (LDAP) Filter setzen.
1) User oder Gruppe wird die Rolle direkt zugewiesen
Es gibt etwa 70 ManagementRollen, welche bestimmte Tasks beinhalten. http://technet.microsoft.com/en-us/library/dd638077.aspx
Get-ManagementRole
Die Rollen könne durch das Cmdlet "New-ManagementRoleAssignment" Benutzern oder Gruppen zugewiesen werden. http://technet.microsoft.com/en-us/library/dd335193.aspx. Man sieht, dass der RoleAssigneeType "User" oder "SecurityGroup" festgelegt wurde.
New-ManagementRoleAssignment -Role "Distribution Groups" -User h.muster
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup...
Hallo zusammen,
Beim surfen bin ich auf die folgende Website gestossen, welche von sich behauptet eine Schätzung über den Wert der Webseite abgeben zu können: http://bizinformation.ch/ Ist wohl eher spielerei oder ein lustiger Zeitvertreib, deshalb habe ich das unter der Kategorie Fun abgespeichert :o)
Immerhin - dieses Blog ist etwa 12'000 CHF wert.
Grüsse
Andres Bohren
Hallo zusammen,
Schon in der RTM Version von Exchange 2010 konnte man PST Files importieren. Jedoch musste hier Outlook 2010 auf dem Exchange Server installiert werden.
Import-Mailbox http://technet.microsoft.com/de-de/library/bb629586(EXCHG.140).aspx
Mit SP1 gibt es nun neue Cmdlets mit welchen man PST Dateien importieren und exportieren kann.
New-MailboxImportRequest
Get-MailboxImportRequest
Get-MailboxImportRequestStatistics
Remove-MailboxImportRequest
Suspend-MailboxImportRequest
Resume-MailboxImportRequest
Set-MailboxImportRequest
New-MailboxExportRequest
Get-MailboxExportRequest
Get-MailboxExportRequestStatistics
Remove-MailboxExportRequest
Suspend-MailboxExportRequest
Resume-MailboxExportRequest
Set-MailboxExportRequest
Zuerst muss aber eine neue Rollengruppe angelegt werden. Das kann aber bequem im "Exchange Control Panel" erledigt werden. Hier im Beispiel wird die Rollengruppe "DST-ImportExport" angelegt, dieser wird dann die Rolle "Mailbox Import Export" zugewiesen und der Administrator hinzugefügt.
Oder man vergibt die Rolle direkt einem User. http://technet.microsoft.com/de-de/library/dd335193(EXCHG.140).aspx
New-ManagementRoleAssignment –Role “Mailbox Import Export” –User Administrator
Get-ManagementRoleAssignment -Role "Mailbox Import Export"
New-MailboxImportRequest -Mailbox...
Hallo zusammen,
Seit gestern steht das SP1 für Exchange 2010 zum Download zur Verfügung.
MS Exchange Team Blog http://msexchangeteam.com/archive/2010/08/25/455861.aspx
What's New in SP1: http://technet.microsoft.com/en-us/library/ff459257(EXCHG.141).aspx
Release Notes: http://technet.microsoft.com/en-us/library/ff728620(EXCHG.141).aspx
Download: http://www.microsoft.com/downloads/details.aspx?FamilyID=50b32685-4356-49cc-8b37-d9c9d4ea3f5b&displaylang=en
SP1 UM Language Packs http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=ee7d3f0e-81bd-46ce-8f23-a38199e2c6ee#filelist
Die Versionsnummer hat auch geändert.
14.0 (Build 632.21) - Exchange 2010 RTM
14.1 (Build 218.15) - Exchange 2010 SP1
Grüsse
Andres Bohren
Hallo zusammen,
Mit SP1 von Exchange 2010 wird das Dienstprogramm ISInteg durch das neue CMD'let New-MailboxRepairRequest ersetzt. Quelle: http://msexchangeteam.com/archive/2010/08/23/455899.aspx
New-MailboxRepairRequest -Database MDB01 -CorruptionType SearchFolder,AggregateCounts,ProvisionedFolder,FolderView
Leider sieht man in der EMS kein Resultat. Dies muss man im Eventlog nachschauen.
Grüsse
Andres Bohren
Hallo zusammen,
Im Blog von Mark Russinovich gibt es einen neuen coolen Artikel bei welchem ein Exchange Problem behoben wurde. Sicherlich eine spannende Lektüre...
The Compound Case of the Outlook Hangs: http://blogs.technet.com/b/markrussinovich/archive/2010/08/24/3351213.aspx
Grüsse
Andres Bohren
Hallo zusammen,
Bei Exchange 2007 kann man beim Anlegen von Mailboxen mit Templates arbeiten.
Ich lege ein Template User an, bei dem ich POP3 deaktiviere
$Password = ConvertTo-SecureString Pass@word1 -AsPlainText -Force
New-Mailbox -Name Template01 -Database MBDB_ICE02 -UserPrincipalName template@icewolf.ch -Password $Password
Set-CASMailbox -Identity Template01 -PopEnabled $false
Auf dem Template User ist POP3 nun also deaktiviert.
Nun lege ich einen neuen User an und gebe den Template User als Vorlage an.
$Template = Get-Mailbox Template01
$Password = ConvertTo-SecureString Pass@word1 -AsPlainText -Force
New-Mailbox -Name "Bart Simpson" -Database MBDB_ICE02 -UserPrincipalName b.simpson@icewolf.ch -Password $Password -TemplateInstance $Template
Et voila, auch beim neuen User ist POP3 deaktivert.
Leider geht das bei Exchange 2010 nicht mehr, weil der Parameter "-TemplateInstance"...
Hallo zusammen,
Wie man mit den Windows Tools oder mit AD Restore.net gelöschte Objekte wiederherstellt habe ich euch ja schon in früheren Blog Artikeln beschrieben.
http://blog.icewolf.ch/archive/0001/01/01/windows-2008-r2-active-directory-recycle-bin-ad-papierkorb.aspx
http://blog.icewolf.ch/archive/0001/01/01/active-directory-restore-with-adrestore.net-gui.aspx
Heute zeige ich euch eine neue Möglichkeit: PowerGUI von Quest
http://www.powergui.org/
Ich mache eine neue OU "MyOU" eine Gruppe "MyGroup" und einen User "Hans Muster".
Der User "Hans Muster" ist Mitglied der Gruppe "MyGroup".
Anschliessend lösche ich die OU und starte PowerGUI. Im Navigation Tree wähle ich "Deleted Objects" aus und es wird mir die OU mitsamt den enthaltenen Objekten angezeigt.
Mit Recurive Restore wird die OU mitsamt den enthaltenen Objekten wiederhergestellt.
Leider...
Hallo zusammen,
Im Netz habe ich ein paar PDF's gefunden welche die relevanten Gesetzesartikel für die Emailarchivierung in der Schweiz auflisten:
http://www.fh-fid.ch/Vollversammlung06/baerkarrer.pdf
http://baerkarrer.ch/upload/publications/18_41_28EMCOutoftheBox-Email-Archivierung.pdf
Links zu den Gesetzen
OR - Obligationenrecht
GeBüV - Geschäftsbücherverordnung
DSG - Datenschutzgesetz
HregV - Handelsregisterverordnung
StGB - Schweizerisches Strafgesetzbuch
ArGV -Verordnung zum Arbeitsgesetz
Obligationenrecht
OR Art. 9
1 Trifft der Widerruf bei dem anderen Teile vor oder mit dem Antrage
ein, oder wird er bei späterem Eintreffen dem andern zur Kenntnis
gebracht,...
Hallo zusammen,
Gestern hatte ich auf dem 2007 Hub Transport Server ein Queue zum 2010 Hub Transport welche sich einfach nicht leeren wollte. Als Last Error wurde folgendes zrückgegeben: 452 4.3.1 Insufficient system resources
Da ist also Back Pressure am Werk. Diese Technik schützt den Exchange Server wenn zum Beispiel zu wenig Speicherplatz zur Verfügung steht.
Auf dem Exchange 2010 wurde dies auch ins Eventlog geschrieben.
Grüsse
Andres Bohren
Hallo zusammen
Nach der Installation von AD LDS ist nun die Synchronisation mit dem AD angesagt.
Dazu importieren wir erst mal das entsprechende Schema.
C:\Windows\Adam>ldifde -i -u -f ms-adamschemaw2k8.ldf -s DMZ01:389 -j . -c "cn=Configuration,dc=X" #configurationNamingContext
Nun geht es ans Konfigfile der Synchronisation. Ich habe die Datei MS-AdamSyncConf.xml in MS-AdamSyncConf.icewolf.xml kopiert und hier die Änderungen vorgenommen.
Die grösste schwierigkeit liegt wohl in der Konfiguration des AdamSyncConf XML Files. Dazu sind am Ende des Artikels noch ein paar Links.
<?xml version="1.0"?>
<doc>
<configuration>
<description>Icewolf Adamsync configuration file</description>
<security-mode>object</security-mode>
<source-ad-name>corp.icewolf.ch</source-ad-name>
<source-ad-partition>DC=corp,DC=icewolf,DC=ch</source-ad-partition>
<source-ad-account>administrator</source-ad-account>
<account-domain>corp</account-domain>
<target-dn>DC=dmz,DC=int</target-dn>
<query>
<base-dn>dc=corp,dc=icewolf,dc=ch</base-dn>
<object-filter>(objectClass=contact)</object-filter>
<attributes>
<include>objectSID</include>
<include>sourceObjectGuid</include>
<include>userPrincipalName</include>
<include>uid</include>
<include>proxyaddresses</include>
</attributes>
</query>
<user-proxy>
<source-object-class>user</source-object-class>
<target-object-class>userProxy</target-object-class>
...
Hallo zusammen,
Als ich die Microsoft Prüfung zum Enterprise Admin gemacht habe, fand ich die Fragen zu AD LDS (Active Directory Lightweight Directory Services) eher lästig. Bis heute habe ich mich noch nie näher mit diesem Thema auseinander gesetzt.
Mit den folgenden Screenshots zeige ich euch wie man eine AD LDS Instanz installiert.
So, die AD LDS Instanz ist installiert. Und man kann sich auch schon darauf verbinden.
Administrationswerkzeuge sind ldp.exe, adsiedit.msc und dsmgmt.exe
C:\Windows\ADAM>dsmgmt
dsmgmt: partition management
partition management: connections
server connections: connect to server localhost:389
Binding to localhost:389 ...
Connected to localhost:389 using credentials of locally logged on user.
server connections: q
partition management: list
Deinstalliert wird die AD LDS Instanz...
Hallo zusammen,
Als Messaging Administator benötigt man zum Troubleshooting im Emailbereich oft die Message Headers der Emails. Wo sind diese aber in Outlook 2010 zu finden?
Zugegeben, das ist ein bisschen versteckt. Erst mal muss man die Email öffnen, so dass die Email in einem separaten Fenster offen ist.
Danach unter File -> Eigenschaften anklicken
Und so sieht man die Message Headers.
Es gibt aber noch einen schnelleren Weg. Im geöffneten Fenster eifach auf Kategirien den kleinen Pfeil nach unten klicken und schon öffen sich die Eigenschafen und man kann die Message Headers anschauen.
Grüsse
Andres Bohren
Hallo zusammen,
Ich habe mir das Shadow Redundancy Feature von Exchange 2010 mal ein bisschen genauer angeschaut.
Shadow Redundancy ist ein SMTP Hochverfügbarkeits Feature. Ein Email wird erst aus der Shadow Queue gelöscht, wenn der nächste Server das Email versendet hat. Dabei werden die XSHADOW und XQDISCARD Befehle verwendet.
Ein Email wird vom Hub an den Edge gesendet.
Der Edge versendet das Email nach extern.
Bei der nächsten Verbindung zwischen Hub und Edge wird der Mailversand bestätigt und die Shadow Queue auf dem Hub gelöscht.
Oder der...
Hallo zusammen,
Wegen eines Problems habe ich mich mal genauer mit dem Autodiscover Service von Exchange auseinandergesetzt. Auf der Technet Seite http://technet.microsoft.com/en-us/library/bb124251.aspx wird Autodiscover erklärt.
Autodiscover im LAN
Im Lan versucht Outlook also ein SCP (Service Connection Point) im AD zu ermitteln, welcher die URL vom Autodiscover Service auf dem CAS Server zurück gibt.
Also habe ich mich im AD mal auf die Suche nach diesem SCP gemacht. Die Base DN wird auf die Configuration Partition gesetzt und der Filter sieht so aus:
(&(objectclass=ServiceConnectionPoint)(serviceClassName=ms-Exchange-AutoDiscover-Service))
Dabei werden nun zwei solcher SCP's gefunden. Das deckt sich ja mit dem Log aus dem Outlook.
Also schaue ich mir dieses AD Objekt mit...
Hallo zusammen,
Gestern wurde ich auf den folgenden Heise Artikel aufmerksam: Antivirensoftware nutzt Exploit-Schutz von Windows nur unzureichend.
Den Herstellern von Sicherheitssoftware wird vorgeworfen, dass ihre Software Exploit-Schutz Techniken wie ASLR (Adress Space Load Randomisatuion) und DEP (Data Excecution Prevention) ungenügend genutzt wird.
Ich habe mir mal bei meiner Antivirus Software angeschaut. Es handelt sich dabei um Symantec Endpoint Protection 11.0.6005.562.
Es stimmt also, manchmal wird DEP verwendet, manchmal ASLR und manchmal keines von beidem.
Grüsse
Andres Bohren
Hallo zusammen,
Wie das man die Exchange Edge Rolle installiert habe ich ja bereits in einem früheren Blog Artikel beschrieben.
Die Exchange Edge Rolle hat ja ein AD LDS (Active Directory Lightweight Directory Services) Service installiert, welcher nur einen Teil des Active Directory über den Port 50636 (Secure LDAP) in die DMZ repliziert.
Configuration Information
...
Hallo zusammen,
Ich habe mir die Managed Service Accounts in Windows 2008 R2 mal ein bisschen näher angeschaut.
Auf dieser Technet Website gibt es eine Step-By-Step Anleitung: http://technet.microsoft.com/en-us/library/dd548356(WS.10).aspx
import-Module ActiveDirectory
New-ADServiceAccount -SamAccountName MyService -Name MyService
Remove-ADServiceAccount -Identity MyService
Install-ADServiceAccount -Identity MyService
Remove-ADServiceAccount -Identity MyService
Beim Install-ADServiceAccount kommt es zu einem Fehler. Ursache ist hier, dass der AccountName länger als 15 Zeichen ist. Davon steht aber leider nirgends etwas.
So sieht das dann in der AD Management Console aus. Die Accounts sind unter "Managed Service Accounts" abgelegt.
Also machen wir doch mal den Test und legen den neuen Managed Service Account für einen Service fest. Entweder direkt im Feld...