Scripte und Infos für Active Directory, Exchange und Windows
Einen Linked Server hinzufügen: EXEC sp_addlinkedserver ‘ADSI’, ‘Active Directory Services 2.5′, ‘ADSDSOObject’, ‘adsdatasource’
Das SQL Statement sieht dann so aus:
SELECT [Name], SN [Last Name], ST State
FROM OPENQUERY( ADSI,
‘SELECT Name, SN, ST FROM ”LDAP://Domaincontroller/DC=YourDomain,DC=local”
WHERE objectCategory = ”Person” AND objectClass = ”user”’)
Nachdem ich nun Stunden damit verbracht habe, die sidHistory Filterung auszuschalten obwohl sie “angeblich” aus ist, bin ich nun auf die Lösung gestoßen:
bei den Parametern /enableSIDHistory und /quarantine gibt man üblicherweise NO an (weil ja alles in Englisch ist). Wenn es aber ein deutsches Betriebssystem ist, dann muss man hier aber NEIN angeben, dann klappt’s sofort.
Da kommt doch kein Mensch drauf….. 
Damit der durch die GUI angelegte Receive Connector auch wirklich nach extern relay macht, muss ein Recht “Accept any recipient” am Connector hinzugefügt werden. Das geht nicht mittels GUI, sondern entweder mit ADSIEdit.msc (u.a. siehe hier: “Exchange 2007 Receive Connector Authentication“ ) oder mit dem Powershellbefehl:
Get-ReceiveConnector “Anonymous Relay” | Add-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient”
Die UDP Registrierung zwischen Exchange 2010 und Outlook 2003 wird nicht mehr unterstützt, so dass der Client auf sein Polling Verfahren zurück fällt. Das kann bis zu 1 Minute dauern. So lange wird die Ansicht in Outlook nicht aktualisiert.
Lösunge 1.) Outlook im Cached Mode verwenden, Lösung 2.) Die Pollzeit etwas heruntersetzen (Artikel von MS: http://support.microsoft.com/kb/2009942/en-us)
Bei der Migration nach Exchange 2010 kann es bei älteren Outlook Clients zu Verbindungsproblemen kommen. Das liegt dann u.U. daran, dass die Verbindung über RPC vom CAS Server verschlüsselt angefordert wird, das per Default nicht aktiviert ist.
Es gibt mehrere Lösungsansätze, der schnellste Weg ist einfach die Verschlüsselungsanforderung auf allen CAS Serven zu deaktivieren.
Set-RpcClientAccess –Server –EncryptionRequired $False
Weitere Infos hier: http://support.microsoft.com/kb/2006508/en-us
Seit Exchange 2007 gibt es die Möglichkeit, auf dem Hub-Transportserver Regeln einzurichten. (Ähnlich wie in Outlook)
Leider hat Microsoft die maximale Größe für den Regelspeicher auf 8k beschränkt. Viele Regeln passen da nicht rein, insbesondere wenn die Regeln viel Inhalt (Mailadressen oder Wörter) enthalten.
Als Lösung/Workaround wird deshalb ein Transport Agent vorgeschlagen.
Hier eine Lösung für einen RoutingAgent, der Mailverteiler nur im BCC Feld zulässt. Sollte ein Mailverteiler in To oder CC verwendet werden, wird die Nachricht zurückgeschickt. Die Gruppen werden anhand des Active Directory Attributes “msExchRequireAuthToSendTo” gefiltert, welches auf TRUE stehen muss. Continue reading ‘Exchange 2007 Transport Agent (RoutingAgent) VB.NET selbst gemacht’ »
Mich nervt diese umständliche Eingabe an Informationen beim Message Tracking. Ich brauche eine Quick and Dirty Lösung, da zu 95% immer nach Sender, Empfänger und Betreff in einem Bestimmten Zeitraum gesucht wird. Die Angabe des Servers (Hub oder MBX) soll automatisch (immer) erfolgen.
Schnell mal eine Lösung mit Powershell gebastelt, somit leicht modifizierbar! (Suchen über mehrere Tage würde das Zeitfenster pro Tag auf die angegebenen Zeiten beschränken. Da muss ich mir noch was überlegen, wie der LogParser wirklich Date+Time erkennen kann.)
1.) CmdLets importieren
import-module activedirectory
import-module servermanager
….
Works with Windows Server 2008 now!
NRM hat den Plattformtest für Windows Server 2008 bestanden. (Windows Server 2008 und Managed Code)
Mehr Infos gibts hier!
Matthias
Da ich es immer wieder vergesse, was alles installiert sein muss, hier die Liste der ToDos unter Windows Server 2008.
Matthias
Der UPM (User Printer Manager) wurde upgedated und heißt nun NRM (Network Ressource Manager). (Hier der UPM Artikel)
Weitere Infos zu den Tools gibt es hier: DynaTools
Bisher konnte der UPM Drucker dezentral managen und Druckerzuweisungen im Active Directory vornehmen. Dabei kann man die Drucker sowohl den Benutzern, als auch den Computern und auf OU Ebene zuweisen.
Der NRM kann das auch und zusätzlich noch Laufwerkmapping vornehmen. Dies kann wiederum auf User-, Computer-, oder OU Ebene erfolgen. Jede Zuweisung kann durch Bedingungen (Gruppenmitgliedschaften) noch granular gesteuert werden. Dabei können die Bedingungen auf “muss Mitglied sein” oder “darf nicht Mitglied sein” konfiguriert werden.
Nettes Feature: Ich kann einen Friendly Name angeben, so dass der Benutzer nicht den UNC-Pfad am Laufwerk sieht, sondern einen für ihn verständlichen Namen. Beispiel: M:\(Sharename auf Server) wird dann als M: (Meine Daten) angezeigt.
Wenn ein Benutzer zum ersten Mal sein OWA startet, dann kommt nach dem Anmelden ein Formular, in dem er die Einstellung für Blinde und Personen mit Sehbehinderung aktivieren kann.
Das OWA Fenster ist anschließend im OWA Light Modus (kein Premium OWA).
Diese Einstellung wir im Postfach (Mailbox) in Verbindung mit dem Attribut Languages gespeichert (da steht es aber nicht wirklich drinnen). Um diesen Modus als Admin zurückzusetzen muss das Feld Languages mittels Powershell auf $NULL gesetzt werden (set-Mailbox <Identity> -Languages:$null). Der User bekommt beim nächsten Anmelden an OWA wieder das Auswahlfenster angezeigt.
Einschränkungen am Receive Connector. Hier kann man festlegen, welche Systeme/User Mails am HUB Transport Server (Receive Connector) abgeben dürfen/können.
Wichtig, die Berechtigungen müssen auf dem Connector im Active Directory gesetzt werden. Dazu den ADSIEdit.msc verwenden und den entsprechenden Receive Connector in Configuration/Services/Microsoft Exchange/
Den Gewünschten Benutzer hinzufügen und folgende Rechte vergeben:
Weitere Infos gibts hier: http://technet.microsoft.com/en-us/library/aa996395.aspx
Weil ich es immer wieder googeln muss, hier endlich mal die Links:
How to Install Exchange 2007 SP1 Prerequisites on Windows Server 2008 or Windows Vista
http://technet.microsoft.com/en-us/library/bb691354.aspx
How to Create a Windows Server 2008 Failover Cluster for Cluster Continuous Replication
http://technet.microsoft.com/en-us/library/bb676403.aspx
The installation of the Exchange Server 2007 Hub Transport role is unsuccessful on a Windows Server 2008-based computer
http://support.microsoft.com/kb/952842/en-us
(watch the “Fix it for me” 
)
Vor kurzem stellte ich fest, dass EAS nur richtig funktioniert, wenn vom BackEnd Server zum FrontEnd Server der Port 2883 (udp) geöffnet ist. Nur dann ist ein aktives pushen möglich.
Warum ich das nicht früher festgestellt habe? Weil ich bisher immer nur mit good gepushed habe. EAS habe ich nur zu Testzwecken mal aktiviert.
Zur Info:
Exchange als Proxy verwenden
GC referral ausschalten:
You can disable referrals altogether and force smart clients to use proxying. To do so, add the No RFR Service REG_DWORD value to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters registry subkey on the Exchange 2000 server and set the value to 0×1.
Ansonsten werden die smart Clients (Outlook 2000 und höher) durch den Exchange mit einer Liste an verfügbaren GCs versorgt. Der Client benötigt dann direkten Zugriff auf den Domaincontroller (Firewall Ports beachten!). Wenn das nicht klappt, versucht es Outlook so lange bei allen GCs, anschließend macht es dann doch der Exchange direkt. Das kann u.U. jedoch schon einige Nerven kosten.Matthias
Mit DS Proxy Service:
ohne DS Proxy Service (RegKey):
Mehr Infos gibt es unter diesem Link.
Durch den CAS Server besteht ab Exchange 2007 nicht mehr die Möglichkeit der Kennwortänderung. Ein Benutzer mit Postfach auf Exchange 2003 bekommt eine Fehlermeldung angezeigt, dass die Seite nicht zur Verfügung steht.
Das ist leider richtig. Damit es aber wieder funktioniert sind folgende Schritte nötig (wohl gemerkt: WIEDER, d.h. ich setze voraus, dass es unter Exchange 2003 schon funktioniert hat!):
Danach sollte die Kennwortänderung wieder funktionieren.
Aber: Wenn es unter 2003 schon nicht ging, dann bitte den vielfältigen Anleitungen im Internet folgen, dann sollte es ohne Probleme möglich sein, dieses Feature zu aktivieren.
Matthias
Hier ein Beispielbild
Defragmentierung kann nun geplant werden.
File Server Resource Manager: Quotas in allen erdenklichen Reports anzeigen lassen (vorher einrichten nicht vergessen!)
Allerdings kommt beim FileBlocking eine wenig aussagenreiche Meldung:
Man kann auch Mails senden lassen, das muss aber konfiguriert werden.
