Funktions- oder Dienstpostfächer werden häufig als zusätzliches Postfach in Outlook eingebunden. Hier im Beispiel mit dem Postfach Info:

Solange nur ein Benutzer das Postfach verbunden hat, ist das auch kein Problem, wenn aber mehrere Personen auf das Postfach Info zugreifen und auch Mails vom Info Postfach verschicken kommt es zu einem Problem. Mails die vom Absender Info gesendet werden, landen nicht im Ordner “Gesendete Elemente” vom Postfach Info, sondern im Postfach des Benutzers der die Mail abgeschickt hat.

Das ist natürlich schlecht, wenn die anderen Benutzer nicht die gesendeten Elemente einsehen können. Es gibt dazu 2 Registry Schlüssel, die dafür sorgen, das die gesendeten und die gelöschten Elemente im zugehörigen Postfach landen, und nicht in dem Postfach welches die Aktion ausgeführt hat:

http://support.microsoft.com/kb/202517/en-us

In dem Technet Artikel oben ist beschrieben, wie das Verhalten für Gesendete- und Gelöschte Elemente entsprechend geändert wird. Allerdings hat das Ändern der lokalen Registry den Nachteil, das dies pro Benutzer und auch für neue Benutzer durchgeführt werden muss, manchmal ist das nicht ganz so einfach umsetzbar, zum Beispiel, wenn sich Clients nicht innerhalb des Active Directorys befinden oder wenn Benutzer die Mails via OWA versenden.

Für den Ordner “Gesendete Elemente” lässt sich dieses Verhalten allerdings zentral am Exchange Server einstellen. dazu kann der folgende Befehl verwendet werden:

Set-MailboxSentItemsConfiguration info -SendAsItemsCopiedTo senderandfrom -SendOnBehalfOfItemsCopiedTo Senderandfrom

Leider gibt es diese Einstellung nur für “Gesendete Elemente” nicht aber für “Gelöschte Elemente”… Mit Exchange 2013 wurde dieses CMDlet übrigens wieder entfernt. Da helfen nur die Registry Keys.

Und wieder ein schnelles Script aus der Kategorie Quick & Dirty: Einheitliche E-Mail Signaturen für OWA. Wer keine Drittanbieter Software im Einsatz hat, die einheitliche Mail Signaturen auch in OWA verteilen kann, der kann auf dieses schnelle Script zurückgreifen:

$mailboxes = get-mailbox -resultsize unlimited

foreach ($mailbox in $mailboxes)
{
	$uservars = get-user $mailbox
	if ($uservars)
		{
			$SamAccountName = $uservars.SamAccountName
			$UserPrincipalName = $uservars.UserPrincipalName
			[string]$WindowsLiveID  = $uservars.WindowsLiveID
			$NetID = $uservars.NetID
			$AssistantName = $uservars.AssistantName
			$City = $uservars.City
			$Company = $uservars.Company
			$CountryOrRegion = $uservars.CountryOrRegion
			$Department = $uservars.Department
			$DisplayName = $uservars.DisplayName
			$Fax = $uservars.Fax
			$FirstName = $uservars.FirstName
			$LastName = $uservars.LastName
			$HomePhone = $uservars.HomePhone
			$Initials = $uservars.Initials
			$Manager = $uservars.Manager
			$MobilePhone = $uservars.MobilePhone
			$Notes = $uservars.Notes
			$Office = $uservars.Office
			$OtherFax = $uservars.OtherFax
			$OtherHomePhone = $uservars.OtherHomePhone
			$OtherTelephone = $uservars.OtherTelephone
			$Pager = $uservars.Pager
			$Phone = $uservars.Phone
			$PhoneticDisplayName = $uservars.PhoneticDisplayName
			$PostalCode = $uservars.PostalCode
			$PostOfficeBox = $uservars.PostOfficeBox
			$StateOrProvince = $uservars.StateOrProvince
			$StreetAddress = $uservars.StreetAddress
			$Title = $uservars.Title
			$WebPage = $uservars.WebPage
			[string]$WindowsEmailAddress = $uservars.WindowsEmailAddress
			$Name = $uservars.Name
		}

#Die folgenden Variablen können für die Signatur genutzt werden:
#-------------------------------------------------------------------------------------------------------------------------
		
<#

$SamAccountName
$UserPrincipalName
$WindowsLiveID
$NetID
$AssistantName
$City
$Company
$CountryOrRegion
$Department
$DisplayName
$Fax
$FirstName
$HomePhone
$Initials
$LastName
$Manager
$MobilePhone
$Notes
$Office
$OtherFax
$OtherHomePhone
$OtherTelephone
$Pager
$Phone
$PhoneticDisplayName
$PostalCode
$PostOfficeBox
$StateOrProvince
$StreetAddress
$Title
$WebPage
$WindowsEmailAddress
$Name

#>

#Hier Text für die Nur-Text Signatur festlegen:
#-------------------------------------------------------------------------------------------------------------------------

$txtsignature = `
"
---`r`n
Mit freundenlichen Grüßen`r`n
$firstname $lastname`r`n
$Department`r`n
`r`n
Fon: $phone`r`n
Fax: $fax`r`n
`r`n
FrankysWeb`r`n
"

#Hier Text für die HTML Signatur festlegen:
#-------------------------------------------------------------------------------------------------------------------------

$htmlsignature = `
"

---

Mit freundenlichen Grüßen

$firstname $lastname

$Department



Fon: $phone

Fax: $fax



FrankysWeb


"

#Sigantur zuweisen:
#-------------------------------------------------------------------------------------------------------------------------

write-host "Erstelle Signatur für $SamAccountName"
$signature = Set-MailboxMessageConfiguration $SamAccountName -SignatureText $txtsignature -SignatureHtml $htmlsignature -AutoAddSignature:$true

}

Diese Variablen können zum Erzeugen der Signatur verwendet werden:

$SamAccountName
$UserPrincipalName
$WindowsLiveID
$NetID
$AssistantName
$City
$Company
$CountryOrRegion
$Department
$DisplayName
$Fax
$FirstName
$HomePhone
$Initials
$LastName
$Manager
$MobilePhone
$Notes
$Office
$OtherFax
$OtherHomePhone
$OtherTelephone
$Pager
$Phone
$PhoneticDisplayName
$PostalCode
$PostOfficeBox
$StateOrProvince
$StreetAddress
$Title
$WebPage
$WindowsEmailAddress
$Name

Im unteren Teil des Scripts kann dann mit diesen Variablen eine Signatur erzeugt werden, die entsprechend in OWA angehangen wird. Ähnlich wie in Outlook auch.

Bitte beachten das bei der Nur-Text Signatur ein Zeilenumbruch eingefügt werden muss, damit nicht die komplette Signatur in einer Zeile steht (“`r`n”)

Das Script gilt für OWA, nicht für Outlook. Viel Spaß damit.

Exchange 2013 und VMware im Einsatz? Oder geplant? Dann lohnt es sich diese PDF zu lesen:

• http://www.vmware.com/files/pdf/Exchange_2013_on_VMware_Best_Practices_Guide.pdf
• http://www.vmware.com/files/pdf/Exchange_2013_on_VMware_Design_and_Sizing_Guide.pdf
• http://www.vmware.com/files/pdf/Exchange_2013_on_VMware_Availability_and_Recovery_Options.pdf

Die 3 PDFs sind alles keine dicken Wälzer und bringen es durchaus auf den Punkt. Lesenswert.

Wer über ein MSDN Abo verfügt, kann jetzt die Preview Version von Windows 10 Desktop und Server runterladen. Auch eine Preview der neuen Hyper-V Version steht bereit.

Viele haben sich wohl das lang vermisste Startmenü zurück gewünscht. Die gute Nachricht: Es ist tatsächlich enthalten, vieleicht startet ja jetzt der Durchbruch in den Unternehmen

Hier geht es zum MSDN Download:

https://msdn.microsoft.com/de-de/subscriptions/securedownloads/hh442898

Den Server werde ich gleich mal installieren… Noch scheinen die Download Server nicht überlastet zu sein

Gerade wurde Windows Server 10 als Preview veröffentlicht. Ich habe das ISO-File runtergeladen und direkt installiert. Hier ein erster Eindruck.

Am Setup hat sich bisher nichts getan, bin mir gerade nicht sicher, stand da schon immer keine Versionsnummer hinter Windows Server?!

Es wird also auch wieder eine Core Version geben

Bei der Installation kann man wenig verkehrt machen

Wie gehabt, wird nach der Installation nach dem Admin Passwort gefragt

Der Server Manager sieht sieht auf den ersten Blick genauso aus wie der Server Manager bei Server 2012 R2

Aber es gibt ein Startmenü

Und die PowerShell 5

Es gibt schon Updates?! Die Preview ist vor nicht einmal 2 Stunden veröffentlicht worden…

Mal sehen was es neues im Active Directory zu sehen gibt

Sieht aus als gebe es bisher keine Neuerungen, als höchstes Funktionslevel kann Server 2012 ausgewählt werden

Oberflächlich hat sich im AD nichts getan

Windows 10 tritt ebenfalls brav der Domain bei, Dort zeigt sich auch das Startmenü in seiner vollen Pracht

Auf der Festplatte des Servers landen übrigens knapp 12 GB.

Das erste Fazit: Die Installation geht schnell von der Hand, auch das System arbeitet schnell und bisher habe ich keine Fehlermeldungen erhalten. Nur ein Diagnose Dienst mag in meiner VM nicht starten, aber auf den ersten Blick macht Windows Server 10 schon einen guten Eindruck. Es wird sich sicherlich noch einiges bis zur fertigen Version tun.Die Preview sieht aber schon nach einer guten Basis aus. Ich werde mal weiter testen.

Ich möchte mich erst einmal für das viele Feedback für den Exchange Reporter 2.0 bedanken und auch noch einmal an die Verlosung erinnern:

http://www.frankysweb.de/exchange-reporter-2-0-verffentlicht-und-es-gibt-eine-verlosung/

Noch bis zum 21.10.2014 habt ihr die Möglichkeit eins von zwei Exemplaren des Buchs “Microsoft Exchange Server 2013 – Das Handbuch” zu ergattern

Was ihr dafür tun müsst steht im Link oben. Viel Erfolg!

E-Mail Made in Germany, NSA-Skandal, Abmahnung für Mail Server Betreiber usw usw usw… Verschlüsslung ist zur Zeit in aller Munde. Aber es ist nicht damit getan nur schnell irgendein Zertifikat an den Exchange Server zu hängen. Wer eine sichere Umgebung (nach der aktuellen Definition…) haben möchte, muss sich ein paar mehr Gedanken machen. Ein Gedanke dabei sollte das Zertifikat selbst und die verschiedenen Verschlüsselungsmöglichkeiten sein. Auch PFS ist aktuell ein Thema. Um seine Zertifikate zu testen, bietet SSLLabs einen kostenlosen Test an, der die Zertifikate und deren Schachstellen abklopft.

https://www.ssllabs.com/ssltest/

Hier ein Beispiel von einem Exchange 2013 auf Windows Server 2012 R2 der direkt via NAT im Internet erreichbar ist:

Der nächste Screenshot zeigt das Ergebnis mit einem Zertifikat welches SHA2 (SHA256) nutzt, das Zertifikat stammt ebenfalls von einer internen CA, das rote gemeine “T” bleibt, ist auch völlig OK, aber zumindest ein Fehler weniger:

Und jetzt einmal mit einem gültigen Zertifikat einer öffentlichen CA. Ich habe GeoTrust verwendet, da GeoTrust SHA2 Zertifikate zum Testen für 30 Tage ausstellt

https://www.geotrust.com/de/ssl/free-ssl-certificate/

Hier mal ein Beispiel für einen Server der kein PFS nutzt (und auch ein paar andere Dinge falsch macht), in diesem Fall ist es ein Server 2008 R2 mit einem relativ altem Zertifikat. Das Zertifikat stammt zwar von einer öffentlichen CA und ist somit gültig, nutzt aber SHA1. Der Server bietet zusätzlich alte SSL Versionen an.

Wie dem auch sei, mit ein paar Optimierungen kann das Rating noch verbessert werden, allerdings werden damit auch ein paar ältere Clients ausgesperrt, dafür nutzen aber alle anderen PFS:

Dafür steigt das Rating leicht:

Es ist also immer ein Kompromiss aus Sicherheit und Komfort (bzw. welche Geräte werden unterstützt). Hier steht beschrieben wie ein A+ Rating erreicht werden kann:

https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009e.pdf

Ich denke ein A+ Rating in Verbindung mit Exchange ist kaum durchsetzbar, denn so werden wirklich die meisten Clients ausgesperrt.

Mit einem öffentlichem Zertifikat und halbwegs aktuellen Clients lässt sich aber ohne große Einschränkungen auf ein A-Rating inkl. PFS kommen, was mit einem Sicherheitsgewinn einhergeht:

Wie etwas weiter oben bereits erwähnt verwende ich ein öffentliches Zertifikat, welches SHA2 (SHA256) und eine Keylänge von 2048Bit nutzt

Eine Keylänge von 4096Bit führt zu deutlich mehr CPU-Last, das mag der Exchange Server noch locker verkraften, Smartphones allerdings schaffen das entweder nicht mehr, oder unterstützen es erst gar nicht.

Nur mit dem Zertifikat ist es aber nicht getan: Zur Verschlüsselung greift Exchange auf die Funktionen des Betriebssystems zurück. Das Betriebssystem (in meinem Fall Server 2012 R2) gibt also vor, welche Protokolle, Cipher Suiten und Key Exchange Verfahren der Client nutzen kann.

Der Handshake zwischen Client und Server bestimmt dabei, welche Cipher Suite zum Einsatz kommt. Client und Server versuchen dabei die beste Cipher Suite auszuhandeln, die von beiden unterstützt wird. Die Cipher Suite bestimmt welches Protokoll, welcher Hash-Algorithmus und welches Key Exchange Verfahren zum Einsatz kommt.

Damit Clients gezwungen werden PFS (Perfect Forward Secrency) zu nutzen, kann das jeweilige Betriebssystem so angepasst werden, dass es nur noch Cipher Suites anbietet, die PFS unterstützen. Das Tool IIS Crypto hilft dabei die entsprechenden Einstellungen zu setzen:

https://www.nartac.com/Products/IISCrypto/Default.aspx

Um die Einstellungen für PFS wie im Screenshot oben gezeigt vorzunehmen, wird einmal auf “Best Practices” geklickt und dann RC4, Triple DES und AES128 als Cipher abgewählt. Zusätzlich werden  die letzten 4 Cipher Suiten deaktiviert.

Server neustarten und schon wird nur noch PFS genutzt. Dieses Beispiel ist natürlich von der jeweiligen Umgebung abhängig. Ich habe für meine Tests einfach Port 443 auf den Exchange Server weitergeleitet. Wenn eine Web Aplication Firewall oder ein Reverse Proxy genutzt wird, muss die entsprechenden Einstellungen natürlich dort vornehmen.

FrankysWeb wurde in das Microsoft CLIP Programm aufgenommen.Für alle die CLIP nicht kennen, Microsoft schreibt dazu folgendes:

CLIP ist das Betreuungsprogramm von Microsoft für Betreiber deutschsprachiger, nichtkommerzieller Online- und Offline-Communities, die sich mit Microsoft Produkten, Services und Technologien beschäftigen – z.B. in Form von Web-Portalen, Online-Foren, Blogs oder User Groups.

Mit CLIP unterstützt Microsoft das Community-Engagement und stellt den Community-Betreibern u. a. einen persönlichen Ansprechpartner, Hilfestellungen von Microsoft-Experten und frühzeitig technische Informationen zur Verfügung. Die CLIP-Mitgliedschaft ist zeitlich unbegrenzt, erlischt aber bei Beendigung des Community-Engagements.

http://www.microsoft.com/germany/community/programme/clip.mspx

Vielen Dank für die Aufnahme. Natürlich ist das für mich ein Anreiz dieses Projekt weiter fortzuführen. Es sind auch schon wieder ein paar Dinge in Planung, bald gibt es dazu mehr.

Die kleine Verlosung der beiden Bücher ist vorbei und die Gewinner stehen fest.

Herzlichen Glückwunsch an:

• Sebastian W.
• Marco W.

Die beiden Gewinner wurden bereits per Mail benachrichtigt. Die Bücher treten dann diese Woche ihre Reise an. Viel Spaß beim Lesen.

Ich hasse es wenn Anwendungen automatisch gestartet werden, wenn ich mich an einem System anmelde, dazu zählt auch der Servermanager. Wer nicht möchte das der Servermanager automatisch bei Anmeldung startet, kann entweder in der Aufgabenplanung die entsprechende Aufgabe deaktivieren

oder aber eine GPO auf alle Server anwenden:

Dazu einfach auf einem Domain Controller eine Neue GPO mit entsprechendem Namen erstellen

innerhalb der GPO zum folgendem Unterpunkt wechseln:

Computerkonfiguration  –> Richtlinien –> Administrative Vorlagen –> System –> Servermanager

und diese Einstellung aktivieren:

Server-Manager bei Anmeldung nicht automatisch anzeigen

Zum Schluss noch die “Benutzekonfigurationseinstellungen deaktivieren”

und die neue GPO mit den entsprechenden OUs verknüpfen

Fertig…

Bei virtuellen Exchange 2010 Servern auf VMware vSphere Umgebungen kann es passieren, dass während eines vMotion Vorgangs der Exchange Datenbank Server ein FailOver der Datenbanken ausgelöst wird.

Die Ursache ist häufig der Heartbeat TimeOut, wenn die Exchange VM auf einen anderen ESX Host verschoben wird. Es kann vorkommen das die Switches den geänderten Port nicht schnell genug lernen, oder eben der vMotion Vorgang einen Tick zu lange dauert.

In der Standard Einstellung liegt der TimeOut bei einer Sekunde (1000ms). Die Einstellungen können mit dem Befehl “cluster /prop” überprüft werden:

Um zu Verhindern, dass während einen vMotion Vorgangs ein Fail Over der Exchange Datenbanken ausgelöst wird, kann der Wert auf zwei Sekunden angehoben werden. In dieser Zeit sollten alle Switches den geänderten Switch Port mitbekommen haben und auch der kurze Verbindungsabbruch während des vMotion Vorgangs sollte überbrückt sein.

Mit dem folgenden Befehl lässt sich der TimeOut auf zwei Sekunden anheben:

cluster /prop samesubnetdelay=2000

Wenn DRS innerhalb der vSphere Umgebung aktiv ist, hilft es allerdings auch, die Anzahl der automatischen vMotion Vorgänge möglichst gering zu halten und lieber den FileServer oder ähnliches zu verschieben, wenn es zu Leistungsproblemen kommt.

Um die Anzahl der vMotion Vorgänge für die Exchange Datenbank Server möglichst gering zu halten sind zwei Sphere DRS Regeln nötig:

1. Virtuelle Maschinen zu Hosts: Um beispielsweise 3 Datenbank Server auf 3 ESX Hosts zu halten

2. Separate Virtuelle Maschinen: Um sicher zu stellen, dass die Exchange Datenbank Server nicht auf demselben ESX Host laufen

Die DRS Regeln können auch für Client Access und Hub Transport Server verwendet werden.

Der erste Tag des Microsoft Technical Summits 2014 in Berlin neigt sich dem Ende. Zeit für ein kleines Fazit.

Die Key Note war schon einmal ganz interessant zu hören. Satya Nadella hat sie persönlich gehalten:

Jetzt ist die Key Note für mich nicht das interessanteste an der Veranstaltung. Der darauffolgende Vortrag von Jeff Woolsey war da schon viel interessanter. Er hat viel zu den Neuerungen von Windows Server vNext erzählt und auch zur Strategie von Microsoft zu Public und Private Cloud.

Weiter ging es dann mit Benedict Berger der die Neuerungen in Hyper-V anschaulich vorgetragen hat. Direkt im Anschluss kam dann der Vortrag von Carsten Rachfahl zu Software Defined Storage. Jeder Vortrag enthielt einiges an Neuerungen und Ankündigungen, viel zu viel um es alles hier wiederzugeben. Zum Glück wird es aber bald die Aufzeichnungen der Vorträge auf Channel9 geben.

Alles in allem hat sich der erste Tag schon einmal gelohnt. Ich bin sehr gespannt auf Morgen. Viele Grüße aus Berlin

Microsoft hat damit begonnen Clutter für Office 365 Kunden freizuschalten. Clutter soll helfen den Posteingang automatisch aufzuräumen und wichtige von unwichtigen Mails zu unterscheiden. Clutter arbeitet dabei ähnlich wie manche Spam Filter, Mails müssen in einen Ordner verschoben werden, damit Clutter “lernen” kann. Auf dem Office Blog gibt es dazu einen Artikel:

http://blogs.office.com/2014/11/11/de-clutter-inbox-office-365/

Clutter ist bisher nur für Office 365 erhältlich, mal sehen ob es auch seinen Weg in Exchange 2013 on-premise findet.

Der zweite Tag des Microsoft Technical Summits 2014 in Berlin ist für mich zu Ende. Damit ist es auch gleichzeitig für mich der letzte Tag, denn leider war ich etwas spät dran und habe keinen freien Platz mehr für die Workshops am dritten Tag ergattern können.

In der Keynote war ganz interessant zu sehen, wie schnell Azure VMs sein können, über 50.000 IOPS finde ich schon ganz ordentlich, für Azure… für Cloud…

Im allgemeinen musste man doch etwas vorsichtig sein, wenn man wie ich der Cloud (egal welcher Anbieter) eher kritisch gegenüber steht. Die Vorteile liegen definitiv auf der Hand, jedoch bestimmt immer noch das Einsatzgebiet ob die große Wolke sind macht, oder eben nicht. Sei es drum, es gab wieder viele interessante Vorträge.

Der Roundtable war mein persönliches Highlight des Tages. Daher möchte ich Florian und allen beteiligten Teilnehmern für die gute Möglichkeit zum Austausch danken.

Fazit des Technical Summits 2014: Ich kann es nur Jedem empfehlen daran teilzunehmen, das Treffen bietet gute Möglichkeiten sich über Neues zu informieren und mit Kollegen oder Microsoft in Kontakt zu treten. Oliver hat sogar eine gute Idee für diese Seite gehabt. Danke dafür.

Jetzt geht es aber erst einmal nach Hause

In Exchange Umgebungen mit DAG und mehreren Datenbankkopien, sollten die Datenbanken normalerweise gleichmäßig über die Datenbank Server verteilt werden. Allerdings kann sich diese Situation ändern, wenn ein Failover eingetreten ist, oder die Datenbanken zu Wartungszwecken auf anderen Servern aktiv geschaltet wurden. Irgendwann hat man dann ggf. die Situation das alle Datenbanken auf einem Server aktiv sind und die anderen Server sich langweilen.

Abhilfe schafft dieses kleine Script:

#www.FrankysWeb.de
#Frank  Zöchling
#---------------------------------

$From = "DBMover@frankysweb.de"
$To = "frank@frankysweb.de"
$SMTPServer = "smtp.frankysweb.de"

#---------------------------------

$exsnapin = Add-PSSnapin *exchange*
$Databases = Get-MailboxDatabase
$DBStatus = @() 
[string]$mail = "Der MailboxServer für folgende Datenbanken wurde geändert

"
foreach ($database in $databases)
	{
		$DBName = $database.Name
		$DBPreferedServer = ($database.ActivationPreference | where {$_.value -eq "1"}).key.name
		$DBCurrentServer = ($database.Server).name
		if ($DBPreferedServer -ne $DBCurrentServer)
			{
				write-host "Aktiver Mailbox Server für Datenbank $DBName wird auf Server $DBPreferedServer geändert (war aktiv auf $DBCurrentServer)" -ForegroundColor yellow
				$MoveDB = Move-ActiveMailboxDatabase $DBName -ActivateOnServer $DBPreferedServer
				$DBStatus += new-object PSObject -property @{Database="$DBName";DBPreferedServer="$DBPreferedServer";DBCurrentServer="$DBCurrentServer";DatabaseMove="yes"} 
				
			}
		else
			{
				write-host "Datenbank $DBName ist aktiv auf dem vorgesehenen Server" -ForegroundColor green
				$DBStatus += new-object PSObject -property @{Database="$DBName";DBPreferedServer="$DBPreferedServer";DBCurrentServer="$DBCurrentServer";DatabaseMove="no"} 
			}
	}

if ($DBStatus.databasemove -contains "yes")
	{
		$DBmoved = $DBStatus | where {$_.Databasemove -match "yes"}
		[string]$mail += $DBmoved | ConvertTo-Html
		Send-MailMessage -From $from -To $to -SmtpServer $SMTPServer -Subject "Mailbox Datenbanken neu verteilt" -Body $mail -BodyAsHTML -Encoding UTF8
	}

Das Script verteilt alle Datenbanken auf die entsprechenden Server. Das Script kann manuell oder per Taskplaner ausgeführt werden. Sobald die Datenbanken gemäß ihrer Präferenz verteilt wurden, wird eine Mail zur Benachrichtigung verschickt.

Im oberen Teil des Scripts müssen nur Empfänger, Absender und SMTP Server angegeben werden. Per Taskplaner kann diese Einstellung für das Ausführen des Scripts zu einem gewählten Zeitraum genutzt werden:

Derzeit scheint der SChannel Fix (KB2992611) Probleme mit SQL und IIS-Servern zu machen. Verschiedene Quellen berichten über Probleme beim Verbindungsaufbau von Chrome zu IIS-Servern die das Update installiert haben.

Exchange 2013 auf Server 2012 R2 scheint mit dem Update keine Probleme zu haben. OWA mit Chrome und Internet Explorer funktionieren einwandfrei. Scheinbar ist in meiner kleinen Exchange Welt also alles gut

Allerdings bestätigt Microsoft Probleme mit den neuen Cipher Suites:

https://support2.microsoft.com/kb/2992611/en-us

Die neuen Cipher Suites lassen sich mit diesem IIS Crypto Tool komfortabel deaktiveren:

https://www.nartac.com/Products/IISCrypto/Default.aspx

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256

Ich habe schon mehrere Anfragen erhalten, die sich um das Thema Back Pressure drehen. Wenn sich Exchange im Back Pressure Zustand befindet, werden Mails nur noch langsam oder gar nicht mehr empfangen oder gesendet.

Häufig wird dann ungefähr die folgende Situation geschildert:

Exchange sendet oder empfängt keine Mails mehr und das Ereignis 15004 wird protokolliert, welches den Hinweis enthält das der Wert für Version Buckets zu hoch ist. Das Problem tritt unter Umständen nur sporadisch auf. Nach einem Neustart der Exchange Dienste oder des Servers können Mails wieder gesendet und empfangen werden, bis irgendwann das Problem wieder auftritt.

Die Ressourcenauslastung ist von Normal auf Hoch gestiegen.

Die folgenden Ressourcen sind überlastet:
Version-Buckets = 8 [Hoch] [Normal=1 Mittel=2 Hoch=3]

Aufgrund von Rückstau wurden die folgenden Komponenten deaktiviert:
Eingehende Nachrichtenübermittlung von Hub-Transport-Servern
Eingehende Nachrichtenübermittlung aus dem Internet
E-Mail-Übermittlung von PICKUP-Verzeichnis
E-Mail-Übermittlung von Wiedergabeverzeichnis
E-Mail-Übermittlung von Postfachserver
E-Mail-Zustellung an Remotedomänen
Inhaltsaggregation
Erneute E-Mail-Übermittlung über die Komponente zur erneuten Nachrichtenübermittlung.
Erneute Nachrichtenübermittlung von der Komponente für Shadow-Redundanz

Kurze Erklärung:

Exchange verarbeitet Mails mittels Batches, Bach Points und Version Buckets. Eine Nachricht mit großem Anhang kann in mehrere Batches aufgeteilt werden, die dann abgearbeitet werden. Version Buckets sind eine Liste mit Transaktionen von Batches die noch nicht in die Transaktionsprotokolle der Warteschlangendatenbank übergeben wurden. Im Prinzip ist es also ein Transaktionsprotokoll im Arbeitsspeicher des Servers.

Das Back Pressure Feature überwacht die Anzahl der Version Buckets und Batches die zu diesem Zeitpunkt nur im Arbeitsspeicher des Servers existieren und greift in den Übermittlungsprozess ein, falls die Werte zu hoch werden.

Die häufigste Ursache:

Die Ursache für zu hohe Version Buckets oder Batch Point Werte sind zu große Mails die der Exchange Server nicht mehr handeln kann. Wird zum Beispiel eine Mail mit einem 50 MB großen Anhang empfangen, die an mehrere Empfänger zugestellt werden soll, können die Werte für Version Buckets und Batch Points in die Höhe schnellen. In diesem Fall greift Back Pressure ein und weist Mails ab um die Last zu senken. Exchange hat dann etwas Zeit um die Änderungen an die Warteschlangen Datenbank zu übergeben.

Problem beheben:

Die wohl einfachste Lösung für das Problem ist, die maximale Größe der Nachrichten zu verringern. Es gibt bessere Wege große Daten auszutauschen, als diese per Mail zu verschicken. Leider lässt sich das nicht immer durchsetzen. Wenn also große Mails empfangen werden müssen, muss sichergestellt sein, dass die Spitzenlast abgefangen werden kann die große Mails verursachen. Schnell wird dann der Storage zum Flaschenhals. Kleines Rechenbeispiel:

Ganz Mutige können auch die auch das Verhalten von Back Pressure anpassen, indem die sie Maximalwerte erhöhen werden (NICHT EMPFOHLEN). Dazu können die Werte für “VersionBucketsHighThreshold”, “VersionBucketsMediumThreshold” und “VersionBucketsNormalThreshold” in folgender Datei höher gesetzt werden:

C:\Program Files\Microsoft\Exchange Server\V15\Bin\EdgeTransport.exe.config

Besser ist es allerdings den Engpass zu finden, der die hohen Werte verantwortlich ist. Ich habe das Problem in meiner Testumgebung nach gestellt (Ich habe die Maximum Werte in der EdgeTransport.exe.config extrem niedrig gesetzt um das Verhalten zu reproduzieren). Ich erhalte also irgendwann das Event 15004 mit dem Hinweis auf zu hohe Version Bucket Werte:

Das Event ist um 20:42 Uhr aufgetreten, also können zunächst die TrackingLogs durchsucht werden, um herauszufinden, ob in dem Zeitraum tatsächlich große Mails gesendet wurden:

$start = "19.11.2014 20:40" | get-date
$end = "19.11.2014 20:45" | get-date
Get-MessageTrackingLog -Start $start -End $end -ResultSize unlimited | where {$_.sender -notmatch "health"} | select timestamp,sender,recipients,totalbytes,eventid

Hier sehen wir dann tatsächlich eine Mail die etwas größer war:

Im Hintergrund habe ich mal den Perfmon laufen lassen, dort sieht es so aus:

Der Leistungsindikator lässt sich auf per Powershell für alle Exchange Server abfragen, daraus könnte man auch ein kleines Monitoring Script bauen:

$exchangeserver = get-mailboxserver

$versionbuckets = @() 
foreach ($server in $exchangeserver)
	{
		$servername = $server.name
		$versionbucketscount = (get-counter "\\$servername\msexchange-datenbank(information store)\zugewiesene versionsbuckets").countersamples.CookedValue
		$versionbuckets += new-object PSObject -property @{Servername="$servername";Versionbuckets="$versionbucketscount"} 
	}
$versionbuckets

Leider gibt es keine Universal Lösung wie in etwa “Hey da ist die Platte zu langsam” oder “Steck halt mehr RAM rein”, Aber wenn man schon einmal die Uhrzeit und den Auslöser kennt, kann man tiefer in die Analyse einsteigen. Wichtige Faktoren sind:

• CPU Auslastung
• RAM
• Storage Latenz
• Storage Auslastung (IOPS)

In virtuellen Umgebung, kommen noch ein paar weitere Faktoren hinzu (Ich kann jetzt nur von VMware sprechen)

• Ready Werte
• Storage Latenz
• HBA Queues (bei FC)
• ESX Host Auslastung

Mir ist als häufigste Ursache das Storage aufgefallen, mal waren es überlastete HBAs oder überlastete Netzwerkkarten für iSCSI. Mal konnte das Storage selbst einfach nicht genug IOPS für Lastspitzen liefern. Häufig sieht man auch stark überbuchte ESX Hosts.

Es ist also wichtig sich zu anzuschauen, was alles in der Infrastruktur passiert während das Event auftritt. Laufen Virenscans? Läuft ein Backup? usw usw.

Ein guter Ansatz ist folgender: Alle relevanten Konsolen, die Daten liefern können (Storage Monitoring, esxtop oder vSphere Client Leistungsdaten, Windows Perfmon, LAN Switch Konsolen, FC Switch Konsolen usw) und versucht das Problem außerhalb der Geschäftszeit nachzustellen. Einfach mal eine 50 MB Mail an 5 Empfänger schicken und schauen wo es zu Engpässen kommt. Diese kann man dann gezielt abstellen, oder eben die maximale Mailgröße senken…

Die Videos vom Microsoft Technical Summit 2014 aus Berlin sind auf Channel 9 verfügbar. Insgesamt stehen dort 46 Videos zu verschiedenen Themen bereit:

.NET Compiler Framework „Roslyn“
ASP.Net vNext
Abschluss Keynote
Alive and kicking: .NET vNext im Überblick
Authentifizierung und Single Sign-On für Mobile-, Web- und Desktop-Anwendungen
Automation 2.0 – Rechenzentrum-Automatisierung in der Public (Azure Automation) und Private Cloud
Azure IaaS: Welche Möglichkeiten bieten sich für IT-Pros und Admins?
Azure Pack in Real World Scenarios
Big Data mit Microsoft – Hadoop, Azure und HDInsight
Build–Deploy–Manage: Eine praktische Einführung in DevOps mit Visual Studio
Client-Management mit System Center Configuration Manager
Coole APIs für App Developer
Cross Plattform App Development mit .NET, C# und Xamarin
Cross-Plattform Apps für Windows, Web & Mobile mit AngularJS und Cordova
Der Verlockung widerstehen: Shims mit Microsoft Fakes sinnvoll genutzt
Die Office 365 API im Überblick
Einsatz von Windows Phone im Unternehmen aus IT-Pro-Sicht
Empowering Enterprise Mobility
End-to-End Web Development mit Azure Websites
Hyper-V: Highlights und Neuerungen im Bereich Software Defined Computing
Identity Management for Hybrid IT with Windows Azure and Windows Server 2012 R2
Integration in die Office-Plattform – machen eigene Erweiterungen Sinn?
Internet of Things und Big Data in der Praxis: ein Kundenszenario aus der Produktion
Keynote Tag 2
Mehr Produktivität mit Visual Studio
Microsoft Azure AD – (Hybrid Identity) – Authentifikation für B2B-Services und mein Unternehmen
Moderne Anwendungen mit Azure PaaS
Neue Möglichkeiten für Unternehmen: Dynamische Kommunikation mit Lync
Office & Power BI: Das Self-Service BI Werkzeug
Office 365 ProPlus Deployment – Migration und Management
One Size Fits All? Adaptives Layout in der Praxis!
Optimizing Your Datacenter with Windows Server vNext
PowerShell – Tipps aus dem Praxiseinsatz
Predictive Analytics aus Deinen Apps – Application Insights meets Machine Learning
Recalling Windows Memories: Useful Guide to Retrieving and Analyzing Memory Content
Remote Desktop Services und Azure RemoteApp – flexibler Zugriff auf entfernte Windows-Anwendungen
SQL Server 14 – Deep Dive in InMemory
Service Provider in einer Stunde! Oder von 0 zu IaaS mit Windows Server, Hyper-V, Virtual Machine…
Software Defined Storage: Windows Server als Storage für Ihre Private Cloud
Visual Studio ALM – Planning and Managing the modern Application Lifecycle
Was ist neu bei SQL Server?
Web APIs auf dem Prüfstand: Volle Kontrolle oder Out-of-the-Box mit den Azure Mobile Services?
What’s New in Azure with Data?
What’s new in Failover Clustering in Windows Server 2012 R2
Windows App Sideloading: Die wichtigsten Fragen und Antworten
Zehn Gründe für den Einsatz von System Center Virtual Machine Manager!

Hier geht es zu den Videos:

http://channel9.msdn.com/Events/microsoft-techncial-summit/Microsoft-Technical-Summit-2014

Die Videos von Channel9 lassen sich auch bequem runterladen, diese Website erstellt ein Script welches euch die gewünschten Videos runterlädt:

http://dayngo.com/channel9/Events/aa44fdac-9fd8-4b2e-bbf6-a3ea00aeecd6/Microsoft_Technical_Summit_2014

Viel Spass beim anschauen.

Das positive Feedback zu Exchange Monitor 1.0 hat mich ermutigt Exchange Monitor weiter zu entwickeln. Dabei habe ich festgestellt, dass das bisherige Design nicht sonderlich gut für ein kleines Monitoring Tool ist. Daher habe ich mich für ein anderes Design und auch für ein anderes Konzept für die Daten entschieden.

Hier einmal die wichtigsten Neuerungen:

• Historische Daten
  • Daten werden in CSV Dateien gespeichert
  • Anzahl der historischen Daten konfigurierbar
• Dashboard
  • Neues Design, besser Überblick
  • Gesamtsystemstatus
• Detailseiten
  • Detailierter Status der Server
• Integration Exchange Reporter
  • Reports aus Exchange Reporter können in Exchange Monitor angezeigt werden

Natürlich gibt es auch weiterhin Alarmaktionen die frei konfigurierbar sind (Mail, SMS, etc). Die Integration mit Exchange Reporter erfordert Version 2.1 des Exchange Reporters. Version 2.1 steht schon in den Startlöchern.

Genug geschrieben, so sieht das Dashboard aus: Kein Datenwust, oder viel Text. Grün heißt OK, Gelb ist Warnung, Rot ist Fehler… Das lässt sich wunderbar auf einem 55 Zoll Fernseher an die Wand bringen

Bei einem Klick auf die Server lassen sich dann die Daten im Detail sowie auf die vorherigen Daten anzeigen, das sieht dann so aus:

Ich werde nach und nach weitere Sensoren hinzufügen. Bisher funktioniert alles, was auch in Exchange Monitor 1.0 funktioniert hat:

• Mail Versand/Empfang Überwachung (verschickt eine Mail ins Internet und wertet die Antwort aus)
• Überprüft zusätzliche SMTP Gateways bei Bedarf (Proxys, AntiSPAM Gateways)
• Listet die Warteschlangen auf und alarmiert bei volllaufenden Warteschlangen
• Überwacht den Speicherplatz der Exchange Server
• Überwacht die SMTP Gateways per Ping
• Überwacht die Exchange Dienste
• Kann per SMS Fehler melden

Die Installation ist einfach: Runterladen, entpacken, settings.ini anpassen, starten.

.\Start-ExchangeMonitor.ps1 -Installpath c:\ExchangeMonitor

Der Parameter –Installpath gibt das Verzeichnis an, indem Exchange Monitor 2 gespeichert ist.

In dem Verzeichnis findet sich die folgende Struktur:

Im Verzeichnis “HTML” liegt nach dem ersten Durchlauf eine Datei mit dem Namen “index.html”, diese kann entweder direkt per Browser geöffnet werden, oder es wird ein IIS installiert der auf dieses Verzeichnis zeigt.

Im Exchange Monitor Verzeichnis findet sich ebenfalls die Datei “settings.ini”. Hier müssen die entsprechenden Einstellungen vor dem ersten Start vorgenommen werden:

• Checkpoints = Anzahl der zu speichernden Prüfpunkte
• Echomail =Testmail mit Autoresponder für Mailflow (kann normalerweise so belassen werden)
• Testmailbox =E-Mail Adresse von der die Testmail geschickt und wieder empfangen werden
• TestUser =Der zugehörige Benutzername zur Testmailbox
• TestUserDomain =Die zugehörige AD-Domain in der sich das Konto des TestUsers befindet
• TestUserPass =Passwort des Testusers
• AddSmtpServers =zu prüfende SMTP Gateways, die per SMTP Port 25 erreichbar sind (AntiSPAM Gateways, Proxys etc)
• Latency =Zeit in Sekunden in der die Testmailbox wieder innerhalb des Postfachs gefunden werden muss, der Wert muss ggf je nach Umgebung höher oder niedriger gesetzt werden
• IncludeExchangeReport =Ab Exchange Reporter Version 2.1 wird es die Möglichkeit geben, die Exchange Reports auch im Monitor anzuzeigen. Bis dahin bitte auf “nein” belassen.

Eine detaillierte Anleitung reiche ich noch nach. Hier gibt es Exchange Monitor 2.0 zum Download:

Exchange Monitor 2.0 30.86 KB

Download

Kurz als Info:

Aktuell scheint es einen Bug in der Sophos UTM zu geben, der verhindert das eine TLS Verbindung zu Stande kommt.

Im Logfile des MTAs des Absenders finden sich dann Einträge mit der Meldung “TLS Handshake failed”. Hier im Beispiel mal von Clearswift:

Auch im Forum von Sophos findet sich dazu bereits eine Meldung:

https://www.astaro.org/local-language-forums/german-forum/54875-bug-9-210-20-smtp-send-receive.html

Scheinbar ist heute Update Tag bei den Admins… Auf dem Sophos FTP Server gibt es bereits Version 9.3, ob dort die TLS Fehler behoben wurden, kann ich nicht sagen. Wäre aber ein Versuch wert, bevor einige Mails verloren gehen.

Update:

In der Version 9.3 ist das Problem wohl behoben worden, da es bisher kein direktes Update von 9.210 gibt, kann über die Shell die Version geändert werden, sodass sich das Update manuell einspielen lässt:

echo ‘ 9.209009′>/etc/Version