Mich erreichen immer mal wieder Mails, von Leuten die den Einstieg in Exchange Server wagen wollen. Diesen Blog vom ersten bis zum letzten Artikel durchzulesen wäre ein Anfang, dauert aber vielleicht doch etwas zu lange. Es gibt aber ein paar Online Trainings als Video die als Basis dienen können. Hier eine kleine Auswahl:

Das Angebot gibt schon länger, aber vielleicht ist es ja trotzdem noch für den ein oder anderen interessant: Zusammen mit dem Partner edX bietet Microsoft Online Trainings für Exchange Server 2016 an. Insgesamt gibt es 4 Trainings:

• CLD208.1x: Microsoft Exchange Server 2016 Infrastructure—Learn how to plan, configure and manage Active Directory infrastructure requirements for Microsoft Exchange Server 2016.
• CLD208.2x: Microsoft Exchange Server 2016 Client Access Services—Find out how to plan and implement mobile messaging, Outlook and secure Internet access to improve client access services.
• CLD208.3x: Microsoft Exchange Server 2016 Mailbox Databases—Get the details on planning and configuring mailbox databases, including backup, recovery and restoration.
• CLD208.4x: Microsoft Exchange Server 2016 Transport Services—Explore planning and configuring message transport services, including antivirus, malware detection and spam-filtering solutions.

Quelle: Office Blogs

Das erste Training ist gratis, die anderen kosten jeweils 49 USD pro Kurs. Alle Kurse sind nur in Englischer Sprache verfügbar.

Da der erste Kurs “Microsoft Exchange Server 2016 Infrastructure” aber kostenlos angeboten wird, muss man nur etwas Zeit investieren und kann dann entscheiden, ob die Kurse je ca. 44 EUR wert sind.

Alternativ kann auch mal bei Video2Brain vorbeigeschaut werden, hier gibt es auch ein paar Kurse für den Einstieg in Exchange Server:

• https://www.video2brain.com/de/exchange-server/2016

Das Abo kostet hier 19,95 EUR pro Monat bzw. 198,00 EUR pro Jahr. Die Kurse sind in deutscher Sprache verfügbar.

Das kostenlose Microsoft Angebot MVA (Microsoft Virtual Academy) hat leider nicht viel im Bereich Exchange Server zu bieten:

• Exchange Migration zu Office 365

Ein weiteres Angebot mit Kursen in englischer Sprache gibt es bei Pluralsight:

• https://www.pluralsight.com/search?q=Exchange&categories=all

Das Angebot von Pluralsight könnte für Personen mit MSDN Abo ganz interessant sein, denn hier können die Trainings kostenlos angesehen werden:

Quelle: Pluralsight

Wer weitere Angebote kennt, kann sie gerne in die Kommentare schreiben.

Der Beitrag Exchange 2016 Online Trainings erschien zuerst auf Frankys Web.

Manche Blogs oder Webseiten die ich gerne lese, bieten leider keine Benachrichtigung per E-Mail an, wenn es neue Posts oder Artikel gibt. Da die meisten Webseiten aber einen RSS Feed bereitstellen, habe ich mir ein kleines PowerShell Script gebastelt, welches eine Mail verschickt, wenn es neue Inhalte gibt.

Das kleine Script verarbeitet mehrere RSS-Feeds und erstellt eine E-Mail die bei beispielsweise so aussieht:

Ich lasse das Script einfach stündlich per Aufgabenplanung starten, so entgeht mir hoffentlich nichts mehr. Falls jemand das Script gebrauchen kann, gibt es hier den Download:

RSSReader 3.90 KB

Download

Im Script selbst müssen nur die entsprechenden RSS Feeds und die E-Mail Einstellungen hinterlegt werden. Ich denke die Einstellungen sind selbst erklärend:

Das Script kann per Aufgabenplanung ausgeführt werden, hier ein Beispiel:

Ein Trigger der jede Stunde die Aktion ausführt:

Eine Aktion die das PowerShell Script ausführt:

PowerShell.exe -File "C:\Scripts\RSSReader.ps1"

Für diese Seite wird das Script übrigens nicht benötigt, bei Anmeldung für den Newsletter gibt es direkt eine Mail wenn neue Beiträge veröffentlicht werden:

Alternativ natürlich auch den RSS Feed:

• https://www.frankysweb.de/feed/

Der Beitrag Quick & Dirty: E-Mail Benachrichtigung bei neuen RSS Feeds erschien zuerst auf Frankys Web.

Sophos hat ein Update für die Sophos UTM 9.5 veröffentlicht, welches ziemlich viele Bugs behebt. Das Update trägt die Versionsnummer 9.501-5 und ist knapp 221 MB groß.

Wer das Update noch nicht über den Up2Date Dienst angeboten bekommt, kann es hier auch direkt runterladen:

• http://ftp.astaro.de/UTM/v9/up2date/

Ganz unten auf der Seite findet sich das Update von Version 9.500-9 auf die aktuelle Version 9.501-5:

Neue Features sind nicht hinzugekommen, aber es wurden 70 Fehler behoben. Da es leider immer wieder zu Problemen mit Updates kommt, ist bei der Installation etwas Vorsicht geboten. Ausgiebige Tests und ein aktuelles Backup sind ratsam. Bei virtuellen Systemen kann zusätzlich ein Snapshot hilfreich sein.

Bugfixes

Fix [NUTM-6868]: [AWS, REST API] Missing trailing slash in Swagger URLs
Fix [NUTM-6908]: [AWS, REST API] [RESTD] Consistent authentication look and feel
Fix [NUTM-7173]: [AWS, REST API] [RESTD] Selfmon cannot (re)start restd
Fix [NUTM-7633]: [AWS, REST API] Authentication with umlauts and some special characters not working
Fix [NUTM-6727]: [AWS] AWS_CONVERSION_PRE_CHECK_FAILED (Pre-check failed: 127.)
Fix [NUTM-7374]: [AWS] Link to RESTful API documentation
Fix [NUTM-7497]: [AWS] selfmon complains about missing awslogsd during Up2Date
Fix [NUTM-7658]: [AWS] Swagger UI XSS vulnerability
Fix [NUTM-7442]: [Access & Identity, RED] [RED] 3G Failback with RED15(w) not working if DHCP server is shutting down
Fix [NUTM-6504]: [Access & Identity] OpenVPN 2.4.0 deprecated option „tls-remote“
Fix [NUTM-6606]: [Access & Identity] Re-occuring issues with the Sophos UTM Support access
Fix [NUTM-7111]: [Access & Identity] Multiple open vulnerabilities in libvncserver
Fix [NUTM-7157]: [Access & Identity] VPN users not being created when backend AD group is used
Fix [NUTM-7295]: [Access & Identity] HTML5 VPN: Comma not working on Portuguese (Brazil) keyboard
Fix [NUTM-7350]: [Access & Identity] [RED] USB stick E3372 does not work with RED 15
Fix [NUTM-7377]: [Access & Identity] Remote Access tab won’t load after selecting the OTP Token tab in the User Portal
Fix [NUTM-7448]: [Access & Identity] SSLVPN: download of configuration for windows should use tls-remote option
Fix [NUTM-7774]: [Access & Identity] HTML5 – Mouse not working on Touch Devices
Fix [NUTM-7874]: [Access & Identity] Openvpn: DoS due to Exhaustion of Packet-ID counter (CVE-2017-7479)
Fix [NUTM-6956]: [Basesystem] Hardware LCD screen: IP address of ports other than eth0 cannot be changed through LCD
Fix [NUTM-7067]: [Basesystem] Update OpenSSH to openssh-6.6p1
Fix [NUTM-7069]: [Basesystem] Linux: CVE-2017-6214: ipv4/tcp: infinite loop in tcp_splice_read()
Fix [NUTM-7626]: [Basesystem] BIND Security update (CVE-2017-3136, CVE-2017-3137)
Fix [NUTM-7646]: [Basesystem] NTP Security update (CVE-2017-6458, CVE-2017-6460)
Fix [NUTM-7742]: [Basesystem] Update Appctrl (4.4.1.21)
Fix [NUTM-6978]: [Confd] Configuration backups do not properly sanitize information
Fix [NUTM-7160]: [Confd] „&“ sign in RADIUS secret will be converted into „&“
Fix [NUTM-7636]: [Confd] If changing name in REF_DefaultSuperAdmin ‚Admin reset password‘ page is not presented
Fix [NUTM-3513]: [Email] MIME type filter doesn’t detect real mime type
Fix [NUTM-3516]: [Email] POP3 prefetch sometimes stops working
Fix [NUTM-3669]: [Email] SMTP Proxy vulnerable by TLS renegotiation (CVE-2011-1473)
Fix [NUTM-3671]: [Email] SPX encrypted messages are vulnerable to access without proper authentication
Fix [NUTM-3677]: [Email] Maildrop locked for account_id
Fix [NUTM-4324]: [Email] Changing Email Protection settings fails with Sandstorm enabled and trial expired
Fix [NUTM-5388]: [Email] Individual SMTP profiles not updated with changed global settings
Fix [NUTM-5545]: [Email] Quarantine report can’t be enabled under some circumstances
Fix [NUTM-6379]: [Email] Frequent cssd coredumps
Fix [NUTM-6986]: [Email] Sender blacklist doesn’t allow ‚&‘ sign within the email address
Fix [NUTM-7220]: [Email] WAF reporting virus found when AV engine on the UTM is updating
Fix [NUTM-7625]: [Email] SMTP DLP expressions do not trigger under specific condition
Fix [NUTM-7722]: [Email] mailbox_size_limit is smaller than message_size_limit in notifier log
Fix [NUTM-3170]: [Network] Time-base access for wireless is dropping ipsec-routes and not creating them again
Fix [NUTM-6992]: [Network] OSPF re-announcing static routes
Fix [NUTM-7044]: [Network] Disable a VLAN associated with the WAN interface breaks the complete communication
Fix [NUTM-7439]: [Network] nf_ct_dns: dropping packet: DNS packet of insuffient length: 25
Fix [NUTM-7395]: [RED] [RED] Split networks/domains fields not shown when editing RED10/15
Fix [NUTM-7491]: [RED] WARNING: CPU: 0 PID: x at net/core/dst.c:293 dst_release+0x30/0x51()
Fix [NUTM-7060]: [Reporting] Search in reports doesn’t work if the username contains only numbers
Fix [NUTM-6651]: [Sandboxd] All sandstorm tagged mails get stuck in „Sandstorm scan pending“
Fix [NUTM-4804]: [WAF] Redirect to original requested path after form-based auth
Fix [NUTM-6930]: [WAF] WAF not responding after reboot of the AWS UTM
Fix [NUTM-7178]: [WAF] Segmentation fault in mod_xml2enc for multi-byte charsets
Fix [NUTM-7362]: [WAF] Fix localization strings in Confd
Fix [NUTM-7698]: [WAF] WAF URL redirection and Site path routing can be configured for the same path
Fix [NUTM-7806]: [WAF] WAF – inconsistency with two or more site path routes for ‚/‘
Fix [NUTM-7857]: [WAF] Changing the order of real webservers in the virtual webserver edit form isn’t working
Fix [NUTM-6617]: [WebAdmin] Search for Network Definitions breaks in Chrome with over 1000 objects
Fix [NUTM-7652]: [WebAdmin] Not possible to download different SSL VPN User Profiles in one Firefox Session
Fix [NUTM-7870]: [WebAdmin] Comment not displayed for Time Period definition
Fix [NUTM-5794]: [Web] IPv6 fallback to IPv4 doesn’t work
Fix [NUTM-6502]: [Web] HTTP Proxy coredumping with EC CA certificate
Fix [NUTM-6532]: [Web] AD Users are prefetched in lowercase letters
Fix [NUTM-6809]: [Web] URL category name „Potiental Unwanted Programs“ spelling mistake on sophostest.com
Fix [NUTM-6848]: [Web] HTTPS warn behaviour when „Block all content, except…“ is selected
Fix [NUTM-6867]: [Web] New httpproxy coredumps after update to v9.411 – ReleaseToCentralCache
Fix [NUTM-7076]: [Web] UTM not updating AD group definition
Fix [NUTM-7167]: [Web] OTP Using AD Backend Membership – duplicates user when capital letters are used in the username
Fix [NUTM-7321]: [Web] Non existent or non proxy users are able to create SSL webfilter exceptions
Fix [NUTM-7367]: [Web] Difference between web_filter templates and default templates in web filter
Fix [NUTM-5612]: [WiFi] Manual channel selection not possible in both bands for SG W appliances

Der Beitrag Sophos UTM: Neues Update (9.501-5) erschien zuerst auf Frankys Web.

Auch für Windows Server 2016 wird es in naher Zukunft zwei mal pro Jahr Feature Updates geben. Damit ist das Update Verhalten ähnlich wie bei Windows 10. Windows Server 2016 wird allerdings die Möglichkeit bieten, den “Long-term Servicing Channel” auszuwählen, mit dieser Option werden dann neue Features nur noch alle zwei bis drei Jahre veröffentlicht.

Bisher konnte ich noch keine Informationen finden,ob sich der Channel nach der Installation auswählen lässt, oder ob es eine eigene Version für den den Long-term Servicing Channel (ähnlich Windows 10 LTSB) geben wird.

Gleichzeitig wird auch die Möglichkeit geschaffen, die neuen Windows Server Versionen als Insider Preview zu testen. Dieses Verfahren wurde ebenfalls mit Windows 10 eingeführt. Wie auch bei Windows 10, lassen sich somit die neuen Server Versionen recht früh testen.

Es wird also zukünftig zwei Optionen für Windows Server 2016 geben, Long-term Servicing und Semi-annual Channel:

Quelle: Windows Server Semi-annual Channel Overview

Long-term Servicing Channel

Der Long-term Servicing Channel entspricht ungefähr dem aktuellen Releasemodell. Alle zwei bis drei Jahre wird eine neue Windows Server Version veröffentlicht. Neu dabei ist, dass sich diese Updates zukünftig über Windows Update, WSUS oder System Center Configuration Manager verteilen lassen. Vor Server 2016 gab es nur die Möglichkeit ein Upgrade der vorhandenen Installation durchzuführen. Für den Long-term Servicing Channel gibt es 5 Jahre Mainstream Support und weitere 5 Jahre erweiterten Support.

Semi-annual Channel

Mit dem Semi-annual Channel wird es zwei mal im Jahr neue Funktionen für Windows Server geben, Microsoft plant die Featureupdates jeweils im Frühling und Herbst zu veröffentlichen. Jedes Feature Update bringt dann jeweils 18 Monate Support mit. Der Semi-annual Channel wird es nur im Volumenlizenzprogramm mit Software Assurance, im Azure Marketplace, Cloud/Hostern und im MSDN Programm geben.

Windows Insider für Unternehmen

Wer vorab neue Versionen von Windows Server testen möchte, muss sich im Windows Insider Programm für Unternehmen anmelden:

• Windows-Insider-Programm für Unternehmen

Über das Windows Insider Programm für Unternehmen lassen sich dann zukünftig die neuen Server Versionen vorab testen. Die erste Preview soll schon bald veröffentlicht werden.

Der Beitrag Server 2016: Feature Updates ähnlich Windows 10 erschien zuerst auf Frankys Web.

Diesmal sind Andi und ich etwas früher dran, nachdem wir den Termin für das vorangegangene EUGO Treffen leider erst sehr kurzfristig bekannt machen konnten, folgt jetzt schon der Termin für das nächste Treffen:

Freitag den 11.08.2017 19:30 Uhr

Allegro Habichtshöhe in Bielefeld

Bodelschwinghstr. 79
33604 Bielefeld

Link: Google Maps

Link: Website Allegro Habichtshöhe

Da wir bisher nur positives Feedback zur Location erhalten haben, wollen wir unseren Stammplatz beibehalten. Wobei wir beim Thema Stammplatz wären: Die EUGO findet jetzt schon zum vierten Mal statt, das erste Treffen hatten wir am 23.09.16, somit feiern im Prinzip unseren ersten Geburtstag (wenn auch etwas verfrüht). Zum Geburtstag wird es auch voraussichtlich zwei Vorträge geben, zu welchen Themen, wollen wir aber noch nicht verraten.

Auch wenn der Termin im August noch in die Schulferien in NRW fällt, hoffen wir auf viele Teilnehmer. Wir freuen uns schon jetzt auf euch und einen schönen Abend.

Hier gibt es ein kleines Fazit vom letzten Treffen, leider ohne Bilder, da wir es wieder vergessen haben, zwischen den vielen Gesprächen, dass ein oder andere Foto zu machen:

• EUGO: Ein kleines Fazit des Treffens vom 12.05.17

Anmeldungen für das nächste Treffen der Exchange User Group OWL, nehmen  wir unter der folgenden Seite entgegen:

Exchange User Group OWL (EUGO)

Der Beitrag EUGO: Termin für das nächste Treffen steht fest erschien zuerst auf Frankys Web.

In diesem Artikel geht es um das Design von OWA, dieses lässt sich mittels eigener Login Seite und eigenem Theme/Skin den persönlichen Wünschen oder der Coporate Identity anpassen.

Es gibt allerdings ein paar Dinge zu beachten, siehe dazu auch die Hinweise am Ende des Artikels.

OWA Login Seite

Die OWA Login Seite lässt sich mit wenig Aufwand an das eigene Design anpassen. Die Dateien für die Login Seite finden sich im folgenden Verzeichnis:

%ExchangeInstallPath%FrontEnd\HttpProxy\owa\auth\EXCHANGEBUILDNUMMER\themes\resources

In dem Verzeichnis liegen die Grafiken die auf der Login Seite angezeigt werden. Der folgende Screenshot zeigt, welche Grafiken an welcher Stelle verwendet werden:

Weiterhin finden sich in diesem Verzeichnis auch die Grafiken für die Fehlerseite und die Seite für die Spracheinstellungen:

Neben den Grafiken gibt es auch eine CSS-Datei mit dem Namen “logon.css”, hier können beispielsweise die Hintergrund und Textfarben angepasst werden.

Die Grafiken können durch eigene Bilder ersetzt werden und mittels der CSS Datei lassen sich Schrift und Farben anpassen. Für meine Loginseite habe ich die folgenden Grafiken gegen eigene Bilder ausgetauscht:

• favicon.ico
• Sign_in_arrow.png
• owa_text_blue.png

Zusätzlich habe ich der Datei logon.css ein paar Farben angepasst. Die Hintergrundfarben der beiden Hauptbereiche (sidebar und body), habe ich wie folgt geändert:

Nach der Anpassung der Schriftfarbe sieht meine Login Seite nun so aus:

Bevor Anpassungen an den Dateien durchgeführt werden, sollte der Inhalt des Verzeichnisses als Backup an einen anderen Ort kopiert werden. Somit kann schnell der Originalzustand wiederhergestellt werden. Wenn Anpassungen an der Login Seite vorgenommen werden, sollte die Darstellung auch mit Mobilgeräten getestet werden.

Das hier gezeigte Beispiel ist nicht vollständig und soll nur der Erklärung dienen.

Mittels der CSS-Datei lassen sich auch komplexere Anpassungen umsetzen, jedoch sollte hier eine eigene Testumgebung aufgebaut werden, so lässt sich das eigene Design ausgiebig testen und kann dann auf die produktiven Server kopiert werden.

Nachdem Updates für Exchange Server installiert wurden, muss auch kontrolliert werden, ob das eigene Design noch vorhanden ist, oder vom Update überschrieben wurde.

OWA Design / Theme

Es besteht auch die Möglichkeit es eigenes OWA Design / Theme zu erstellen. Um ein eigenes Design für OWA zu erstellen, kann ein vorhandenes Design kopiert und dann entsprechend der eigenen Vorstellungen angepasst werden.

Die beiden folgenden Ordner enthalten die Design / Theme Dateien für OWA:

%ExchangeInstallPath%ClientAccess\OWA\prem\EXCHANGEBUILDNUMMER\resources\themes\
%ExchangeInstallPath%ClientAccess\OWA\prem\EXCHANGEBUILDNUMMER\resources\styles\

Als Vorlage sollte ein Design dienen, welches den eigenen Vorstellungen schon recht nahe kommt. Um ein vorhandenes Design zu kopieren und daraus ein eigenes Design zu erstellen, kann wie folgt vorgegangen werden:

In diesem Beispiel dient das Design “Blueberry” als Vorlage. Zunächst wird daher Ordner “Blueberry” unter “%ExchangeInstallPath%ClientAccess\OWA\prem\EXCHANGEBUILDNUMMER\resources\themes” kopiert und als Kopie eingefügt:

Die Kopie des Ordners wird nun umbenannt, je nachdem wie das neue Design heißen soll. In diesem Fall “FrankysWeb”

In dem Ordner “frankysweb” befindet sich eine Datei mit dem Namen “themeinfo.xml”:

Innerhalb der Datei “themeinfo.xml” wird nun der Displayname des neuen Themes eingetragen:

Danach muss die Platzierung des Designs festgelegt werden. Innerhalb von OWA werden die Designs von der kleinsten zur höchsten Nummer sortiert. An welcher Stelle das Design zur Auswahl angeboten wird, legt der Wert “Sortorder” fest. Ich wähle für mein Design den Wert 5 für, somit wird es an der zweiten Stelle angezeigt:

Des weiteren gibt es den Unterordner “images”, hier wird das kleine Vorschaubildchen gespeichert, welches dem Benutzer bei der Auswahl es Designs hilft. Der Ordner “images” enthält zwei Unterordner, 0 ist der Standardordner, rtl bedeutet “right-to-left” und ist für Sprachen in denen von rechts nach links geschrieben wird:

Innerhalb der Ordner lässt sich nun das Bild “themepreview.png” gegen ein eigenes Logo für das Design austauschen:

Jetzt müssen im Ordner ““%ExchangeInstallPath%ClientAccess\OWA\prem\EXCHANGEBUILDNUMMER\resources\styles” zwei weitere Dateien für das Design kopiert werden.

Die Datei “_fabric.color.variables.theme.blueberry.less” wird zu “_fabric.color.variables.theme.frankysweb.less”

Zusätzlich wird die Datei “fabric.color.theme.blueberry.xml” zu “fabric.color.theme.frankysweb“.xml” kopiert:

Das neue Design ist nun komplett, damit die neues Stylesheets (.less und .xml) aber auch geladen werden, muss ein Verweis in der Datei “stylemanifest.xml” eingetragen werden. Die Datei findet sich im folgenden Verzeichnis:

%ExchangeInstallPath%ClientAccess\OWA\prem\EXCHANGEBUILDNUMMER\manifests

In der Datei “stylemanifest.xml” muss nun ein Verweis nur neuen .less Datei eingetragen werden. Hier kann einfach ein vorhandener Eintrag kopiert und entsprechend abgeändert werden:

Damit das neue Design in OWA ausgewählt werden kann, muss ein IISReset durchgeführt werden:

Nach einem IISReset, gibt es nun ein neues Design zur Auswahl:

Das Design ist natürlich bisher nur eine Kopie des ursprünglichen Designs mit anderem Logo.

Die grundlegenden Farben werden in der .less Datei festgelegt. Dabei handelt es sich um Variablen, die in der .css Datei des Themes verwendet werden.

Mit ein paar Anpassungen der Farben in der .less Datei, kommt man schon zu einem ganz guten Ergebnis:

Hier die zum Design gehörende .less Datei:

Hinweis: Nach jeder Anpassung ist ein IISReset nötig damit die Änderungen wirksam werden.

Falls die recht beschränkten Möglichkeiten in der .less Datei nicht ausreichen, kann auch die .css Datei bearbeitet werden, allerdings handelt es sich hier erst einmal um eine Zeile Textmatsch:

Damit der Textmatsch lesbar wird, kann ein kleines Online Tool wie “CSS Beautifier” verwendet werden, damit wird die Datei auch für Menschen lesbar:

Hier kann man sich nun beliebig austoben und das eigene Design Unikat erschaffen.

Theme für alle Benutzer konfigurieren

Damit beispielsweise das OWA Theme für die Corporate Identity für alle Benutzer konfiguriert wird, lässt sich per Exchange Management Shell das Standard Theme festlegen.

Der folgende Befehl legt das Standard Theme für OWA fest, lässt es aber zu, dass Benutzer das ihr bevorzugtes Theme einstellen:

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -DefaultTheme FrankysWebTheme

Wenn nötig, kann auch die Möglichkeit deaktiviert werden, dass Benutzer das Theme wechseln dürfen, dies ist mit folgendem Befehl möglich:

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -DefaultTheme FrankysWebTheme -ThemeSelectionEnabled $false

Ein kleiner Hinweis an der Stelle: Exchange prüft an dieser Stelle nicht, ob das angegebene Theme auch wirklich existiert.

Hinweise

Wenn es mehrere Exchange Server gibt, muss das eigen Login Template und auch das eigene Theme auf allen Exchange Servern installiert werden, auf die per OWA zugegriffen wird. Nach der Installation von CUs für Exchange muss kontrolliert werden, ob Login Page und Theme noch korrekt funktionieren. Da die Themes in einem Unterordner mit der jeweiligen Exchange Versionsnummer gespeichert werden, muss hier nach der Installation von CUs das Theme in den neuen Versionsordner kopiert werden. Eine eigene Testumgebung ist hier nahezu unverzichtbar.

Der Beitrag Exchange 2016: Eigenes Design für OWA erschien zuerst auf Frankys Web.

Leider bietet Exchange immer noch keine komfortable Möglichkeit E-Mails unter anderen E-Mail Adressen zu verschicken. Wenn Benutzer in der Lage sein sollen, Mails mit verschiedenen E-Mail Adressen zu senden, können zusätzliche Postfächer angelegt werden und diese dem Benutzer verbunden werden.

Kürzlich erreichte mich allerdings eine Frage, wie denn ein Benutzer trotzdem E-Mails unter mehreren E-Mail Adressen verschicken kann, ohne das zusätzliche Postfächer angelegt werden müssen. In diesem Fall ging es um eine Drittanbieter Software die pro Postfach lizensiert wird, daher hätten zusätzliche Postfächer zusätzliche Lizenzen erfordert.

Lange Rede, kurzer Sinn, es geht ohne zusätzliche Postfächer, denn es können ja auch Verteilergruppen genutzt werden.

Hier einmal kurz die Ausgangslage:

Der Benutzer “Lucky Luke” hat zwei E-Mail Adressen jeweils in unterschiedlichen Domains. In dieser Konfiguration kann Lucky Luke zwar mit beiden E-Mail Adressen Mails empfangen, aber nur mit der primären Adresse (fett markiert) versenden:

Der Versuch eine Mail unter einer zusätzlichen E-Mail Adresse zu versenden, schlägt fehl:

Bei dem Versuch eine Mail unter einer anderen Adresse zu verschicken landet ein entsprechender Unzustellbarkeitsbericht im Postfach des Benutzers:

Diese Nachricht konnte nicht gesendet werden. Versuchen Sie es später erneut, oder wenden Sie sich an den Netzwerkadministrator. Sie besitzen nicht die Berechtigung, die Nachricht im Auftrag des angegebenen Benutzers zu senden. Fehler: [0x80070005-0x0004dc-0x000524].

Damit Lucky Luke nun auch Mails unter der E-Mail Adresse “frank@frankysweb.de” verschicken kann, kann eine Verteilergruppe genutzt werden.

In diesem Beispiel wird eine entsprechende Verteilergruppe mit dem Namen “Frank Zöchling” angelegt:

“Lucky Luke” wird nun Mitglied dieser Verteilergruppe, damit Antworten auf Mails wieder bei Lucky Luke im Postfach landen:

In der Zustellungsverwaltung kann ausgewählt werden, ob nur interne Absender oder auch interne und externe Absender an die Verteilergruppe senden dürfen:

Die neue Verteilergruppe bekommt nun die zusätzliche E-Mail Adresse. In diesem Fall ist es “frank@frankysweb.de”. Falls die Mail Adresse schon als zusätzliche Adresse für ein Postfach benutzt wird, muss die Adresse vorher vom Postfach entfernt werden:

Zuletzt bekommt der Benutzer “Lucky Luke” noch die Berechtigung E-Mails im Namen der Verteilergruppe zu senden:

Der Benutzer kann nun E-Mail in Namen der Verteilergruppe senden, dazu muss einmalig die Verteilergruppe aus dem Adressbuch ausgewählt werden:

Die Mail wird nun erfolgreich zugestellt, Antworten auf diese Mail landen wieder bei “Lucky Luke” im Postfach:

Wie schon eingangs erwähnt, so richtig komfortabel ist der Weg nicht.

Der Beitrag Exchange 2016: Senden unter alternativer E-Mail Adresse erschien zuerst auf Frankys Web.

Wer das Verwalten von Telefonnummern an bestimmte Personen oder Gruppen delegieren möchte, kann dazu das Exchange Feature “Role Based Access Control (RBAC)“ verwenden. Benutzer oder Gruppen kann mittels RBAC der Zugriff auf das Exchange Admin Center gewährt werden, wo diese Benutzer allerdings nur zuvor festgelegte Aktionen durchführen dürfen.

Anhand des folgenden Beispiels kann einem Benutzer erlaubt werden, nur die Telefonnummern anderer Benutzer zu verwalten.

Vorhandene RBAC Rolle kopieren

Es gibt bereits einige vordefinierte RBAC Rollen für verschiedene administrative Zwecke. Die vorhandenen Rollen können als Vorlage genutzt werden, sodass nur bestimmte Aktionen im EAC ausgeführt werden können. Damit ein Benutzer Telefonnummern für andere Benutzer verwalten kann, bietet sich die Rolle “Mail Recipients” an. Die Rolle kann als Vorlage für die eigene Rolle “Manage Telephone Numbers” verwendet werden:

New-ManagementRole -Name "Manage Telephone Numbers" -Parent "Mail Recipients"

Somit existiert nun eine neue RBAC Rolle mit dem Namen “Manage Telephone Numbers”, die über alle Einstellungen der Rolle “Mail Recipients” verfügt.

Neue RBAC Rolle anpassen

Die ursprüngliche Rolle “Mail Recipients” und damit auch die neue Rolle “Manage Telephone Numbers” hat viel zu viele Berechtigungen wenn es nur um das Verwalten von Telefonnummern geht, daher können nun die Rechte entsprechend eingeschränkt werden. Um die Rolle “Manage Telephone Numbers” einzuschränken, werden alle nicht benötigten Befehle entfernt.

Die folgenden Befehle entfernen alle Befehle die nicht für das Verwalten von Telefonnummern benötigt werden:

Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -notmatch "Get-"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-AcceptedDomain"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-ActiveSync"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-AddressBookPolicy"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-DomainController"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-HybridConfiguration"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-ManagementRoleAssignment"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-ResourceConfig"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-RoleAssignmentPolicy"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-SecurityPrincipal"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-ServiceAvailabilityReport"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-ServiceStatus"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-SiteMailbox"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-SiteMailboxProvisioningPolicy"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-TextMessagingAccount"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-Trust"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-UnifiedAuditSetting"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-LogonStatistics"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-OwaMailboxPolicy"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-PhysicalAvailabilityReport"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-RbacDiagnosticInfo"} | Remove-ManagementRoleEntry -confirm:$false
Get-ManagementRoleEntry "Manage Telephone Numbers\*" | Where-Object {$_.Name -match "Get-Mobile"} | Remove-ManagementRoleEntry -confirm:$false

Die Rolle “Manage Telephone Numbers” enthält jetzt nur noch CMDLets die zum Anzeigen der Daten nötig sind. Damit nun auch Telefonnummern geändert oder eingetragen werden können, muss ebenfalls das entsprechende Rechte vergeben werden.

Mit dem folgenden Befehl werden der Rolle wieder entsprechende CMDLets mit eingeschränktem Parametersatz zugewiesen:

Add-ManagementRoleEntry "Manage Telephone Numbers\Set-User" -Parameters MobilePhone,Phone,Fax,OtherFax,HomePhone,identity

Jetzt ist die Rolle soweit angepasst, das nur noch Telefonnummern (und Fax) editiert werden können.

RBAC Rolle zuweisen

Zum Schluss muss die neue Rolle noch Benutzern zugewiesen werden, damit sie die entsprechenden Rechte erhalten:

New-ManagementRoleAssignment -Role "Manage Telephone Numbers" -User lucky

Der Benutzer mit dem Namen “Lucky” ist in diesem Fall der Glückliche der alle Telefonnummern der Organisation pflegen und anpassen darf.

Die Benutzersicht

Der Benutzer “Lucky” hat nun einen eingeschränkten Zugriff auf das Exchange Admin Center in dem er nur die Einstellungen sieht, die für die Rolle “Manage Telephone Numbers”gelten:

Der Benutzer kann jetzt zwar noch die Einstellungen der Postfächer sehen, aber nicht verändern:

Telefonnummern hingegen dürfen durch den Benutzer verändert werden:

Mittels RBAC Rollen lassen sich also mit wenig Aufwand administrative Tätigkeiten delegieren. Das hier gezeigte Beispiel lässt sich auch für andere Aufgaben umsetzen. Etwa das Verwalten von E-Mail Adressen oder das Anlegen von Postfächern. Die Vorgehensweise ist immer die gleiche:

• Rolle die am besten passt als Vorlage nutzen
• Neue Rolle entsprechend der Bedürfnisse anpassen
• Testen
• Rolle entsprechend der Bedürfnisse anpassen
• Testen
• Rolle zuweisen

Der Beitrag Exchange 2016: Verwalten von Telefonnummern delegieren (RBAC) erschien zuerst auf Frankys Web.

Es wurden neue Updates für alle Exchange Server Versionen veröffentlicht. Hier geht es direkt zum Download:

• Exchange Server 2016 CU6
• Exchange Server 2013 CU17

Hier geht es zu den Details der Änderungen:

• Exchange Server 2016 CU6
• Exchange Server 2013 CU17

Artikel zu den Updates auf dem Exchange Team Blog:

• Released: June 2017 Quarterly Exchange Updates

Für Exchange 2007 gibt es keine neue Updates, da der Support am 11.April 2017 ausgelaufen ist. Auch ist diesmal kein Update für Exchange 2010 dabei.

Für mich persönlich sind dies die wichtigsten Neuerungen für Exchange 2016:

• Gelöschte Elemente lassen sich in den ursprünglichen Ordner wiederherstellen, dieses Feature habe ich lange Zeit vermisst. Hier gibt es nähere Informationen dazu:
  • Announcing Original Folder Item Recovery
• TLS 1.2 Support
• Sent Items Behavior Control

Hier findet sich ein Artikel über Punkte die bei der Installation von CUs für Exchange 2016 beachtet werden müssen:

Exchange 2016: Kumulative Updates (CU) installieren

Insbesondere der Windows Defender und andere Virenscanner sollten für die Dauer der Installation deaktiviert werden, diese verursachen gern mal Probleme während der Aktualisierung. Der Windows Defender sorgt gerne dafür, das Exchange CUs mehrere Stunden für die Installation benötigen.

Der Beitrag Exchange Server: Neue Updates (Juni 2017) erschien zuerst auf Frankys Web.

Zur ersten Beta Version der Exchange Toolbox habe ich einiges an Feedback bekommen und konnte daraufhin mehrere Probleme beheben. Nun gibt es eine neue Version die hauptsächlich Probleme behebt, aber auch das Message Tracking integriert.

Ziel der Exchange Tool Box ist es, eine kleine handliche GUI für die schnelle Fehlerdiagnose bereitzustellen. Aktuell gibt es aber noch ein paar Steine aus dem Weg zu räumen:

• Autodiscover erfordert Outlook
• Message Tracking erfordert Exchange Management Shell
• Queues erfordert Exchange Management Shell
• Darstellung der Ergebnisse
• Fehlerbehandlung

Wer möchte kann die aktuelle Version runterladen und testen. Über Feedback würde ich mich freuen.

Die folgenden Funktionen sind derzeit in die Exchange Toolbox integriert

Der Reiter “Network” ermöglicht es, DNS Lookups und einfache Ping Tests durchzuführen:

Auch die Autodiscover.xml lässt sich abrufen, hier wird allerdings ein Outlook Profil und somit ein installiertes Outlook benötigt. An einer Möglichkeit ohne Outlook auszukommen arbeite ich gerade. Derzeit wird die Autodiscover.xml nur als Text dargestellt, in Zukunft plane ich die URLs und besser lesbar darzustellen:

Auf dem Reiter “Mail Test” lässt sich eine Testmail verschicken, auch Benutzername und Passwort können bei Bedarf verwendet werden:

Ebenfalls an Bord ist ein kleiner Portscanner mit dem die Netzwerkverbindung getestet werden kann:

“Windows Services” listet die Dienste eines Servers auf, hier lässt sich auch explizit nach Exchange Diensten filtern. Die Abfrage wird via WMI durchgeführt:

Der Reiter “Certificates” ermöglicht es, das Zertifikat eines Webservers anzuzeigen, die wichtigsten Parameter werden dargestellt. Diese Funktion ist allerdings noch nicht ganz perfekt, daher werde ich hier noch in den nächsten Versionen nacharbeiten:

Auch die Warteschlangen der Exchange Server lassen sich anzeigen:

Die Funktion “Blacklist Check” prüft eine IP-Adresse gegen 78 Blacklists (RBLs), somit lässt sich schnell feststellen, ob die eigene IP oder die IP des Absenders auf einer RBL steht:

Auch die Message Tracking GUI ist jetzt in der Exchange Tool Box integriert, somit müssen Mails nicht mehr via Exchange Management Shell gesucht werden. Für das Message Tracking Feature wird die Exchange Management Shell allerdings vorausgesetzt, da es sich hier um einen “grafischen” Aufsatz der entsprechenden CMDLets handelt:

Download Exchange Toolbox

Hier gibt es die aktuelle Version der Exchange Tool Box zum Download:

Exchange Toolbox 132.91 KB

Download

Der Beitrag Exchange Toolbox für Exchange Server 2016 erschien zuerst auf Frankys Web.

Mit dem CU6 für Exchange 2016 bringt Microsoft eine Funktion zurück, die schon etwas schmerzlich vermisst wurde. Konkret geht es um das Verhalten von Gesendeten Mails bei freigegebenen Postfächern oder Stellvertreter Postfächern.

Nehmen wir mal an, die Benutzer Frank und Hans greifen auf ein freigegebenes Postfach mit dem Namen Info zu:

Hans und Frank haben in diesem Beispiel Vollzugriff und Senden-Als Rechte für das Postfach Info.

Vor CU6 gab es nun folgendes Verhalten, Benutzer Frank verschickt eine Mail in Namen von Info (Senden-Als oder Senden im Auftrag von spielt keine Rolle), die versendete Mail landet folglich im Ordner “Gesendete Elemente”. Allerdings landet die Mail nur bei Benutzer Frank im Ordner “Gesendete Elemente” nicht im Postfach Info. Der Benutzer Hans, welcher ja ebenfalls Zugriff auf Info hat, hat so kaum eine Möglichkeit nachzuvollziehen, ob, wann und was Frank auf eine Mail geantwortet hat:

Frank verschickt die Mail im Namen von Info, die Mail landet nur im Postfach von Frank im Ordner “Gesendete Elemente”, im Postfach Info wird keine Mail im Ordner “Gesendete Elemente” angezeigt, Hans bleibt also außen vor und weiß von nichts.

Mit dem CU6 wurde nun das Feature “MessageCopyForSentAsEnabled” und “MessageCopyForSendOnBehalfEnabled” wieder eingeführt. “Wieder eingeführt” weil es schon mal gegeben hat, aber bisher nicht in Exchange 2016 enthalten war.

Wenn nun das Feature für das Info Postfach eingeschaltet wird, passiert folgendes:

Benutzer Frank verschickt wieder eine Mail im Namen von Info. Die Mail wird im Ordner “Gesendete Elemente” von Frank abgespeichert, zusätzlich wird eine Kopie der Mail im Ordner “Gesendete Elemente” im Info Postfach gespeichert:

Somit kann Hans nun nachvollziehen, dass Benutzer Frank auf eine Mail geantwortet oder eine neue Mail geschrieben hat.

Das neue alte Feature lässt sich mit den folgenden Befehlen für ein freigegebenes Postfach aktivieren:

set-mailbox Info -MessageCopyForSendOnBehalfEnabled:$true -MessageCopyForSentAsEnabled:$true

Hier wird zwischen “Senden-Als” (MessageCopyForSentAsEnabled) und “Senden im Auftrag von “MessageCopyForSendOnBehalfEnabled” unterschieden. Das Verhalten lässt sich also für beide Varianten steuern.

Das Abschalten funktioniert mit folgenden Befehlen:

set-mailbox Info -MessageCopyForSendOnBehalfEnabled:$false -MessageCopyForSentAsEnabled:$false

Leider lässt sich nach wie vor nicht zentral steuern, was mit gelöschten Elementen passieren soll. Wenn Benutzer Frank eine Mail im Postfach Info löscht, wird die Mail in den Ordner “Gelöschte Elemente” in Franks Postfach verschoben. Hans bleibt mal wieder außen vor, wenn er nach gelöschten Mails sucht. Für “Gelöschte Elemente” lässt sich das Verhalten nach wie vor nur per Registry Key oder Gruppenrichtlinie anpassen (Hier beschrieben)

Der Beitrag Exchange 2016 CU6: Gesendete Elemente bei freigegebenen Postfächern erschien zuerst auf Frankys Web.

Ich habe eine kleine GUI erstellt, welche Active Directory Gruppen von einem Benutzer zum anderen Benutzer kopiert. Mit dem Script lassen sich schnell alle Gruppen eines Benutzer auf ein anderes Benutzerkonto übertragen:

Die GUI ist nur sehr rudimentär, es lässt sich ein Quellbenutzerkonto und ein Zielbenutzerkonto auswählen, ein Klick auf “Gruppen von Quelle zu Ziel KOPIEREN” überträgt alle Gruppen vom Quellbenutzer zum Zielbenutzer, lässt aber bereits vorhandene Gruppen vom Zielbenutzer unverändert.

Mit einem Klick auf “Gruppen von Quelle zu Ziel ERSETZEN”, werden alle Gruppen des Zielbenutzers zunächst entfernt und dann alle Gruppen des Quellbenutzers hinzugefügt.

Wie schon erwähnt ist dieses Script Quick and Dirty, aber wer möchte kann es ja anpassen und Fehlerbehandlung und vielleicht auch eine Sicherheitsabfrage hinzufügen, dass fehlt nämlich alles…

Eigentlich ist der AD Picker der Grund für dieses kleine Script, den wollte ich nämlich testen. Der AD Picker ist zwar schon älter, funktioniert aber auch mit Server 2016 einwandfrei. Für den AD Picker habe ich in Zukunft noch einige Anwendungsfälle.

Den AD Object Picker gibt es hier zum separat zum Download:

Active Directory Object Picker Dialog

Die nötige DLL ist allerdings im Download des Scripts bereits enthalten und muss nicht einzeln runtergeladen werden.

Falls jemand eine andere Möglichkeit kennt Active Directory Objekte innerhalb von PowerShell Scripten auszuwählen, bitte kurzen Kommentar hinterlassen. Voraussetzung für die GUI sind die PowerShell CMDLets für Active Directory.

Hier gibt es das Script zum Download:

GroupCopyScript 70.61 KB

Download

Im Archiv findet sich auch die Sapien PowerShell Studio Datei, so lässt sich mittels PowerShell Studio die Oberfläche anpassen.

Der Beitrag Quick & Dirty: Active Directory Gruppen von Benutzer zu Benutzer kopieren erschien zuerst auf Frankys Web.

Let’s Encrypt hat heute bekannt gegeben, dass ab Januar 2018 auch kostenlose Wildcard Zertifikate ausgestellt werden.

Mit Wildcard Zertifikaten (Bspw.: *.frankysweb.de) lässt sich mit einem Zertifikat eine komplette Domain per SSL sichern. Bei anderen Zertifizierungsstellen kosten Wildcard Zertifikate einiges an Geld, das bisher günstigste Wildcard Zertifikat welches ich kenne liegt bei knapp 280 EUR für 3 Jahre Laufzeit.

Wildcard Zertifikat werden nicht nur gerne für Exchange Server benutzt, auch für Loadbalancer und Web Application Firewalls werden üblicherweise Wildcard Zertifikate verwendet.

Let’s Encrypt bietet bisher die einzigen kostenlosen Zertifikate an, die auch von allen gängigen Geräten als vertrauenswürdig angesehen werden. Bisher werden von Let’s Encrypt allerdings nur Single Domain und SAN Zertifikate ausgestellt. Die Laufzeit der Zertifikate beträgt 3 Monate, das Erneuern der Zertifikate lässt sich allerdings komplett automatisieren.

Ab Januar 2018 wird Let’s Encrypt auch kostenlose Wildcard Zertifikate ausstellen, wahrscheinlich ebenfalls wieder mit 3 monatiger Laufzeit. Die Validierung der Domain erfolgt dabei via DNS und einem Client. Im Januar wird dann ebenfalls die ACME v2 API erscheinen, die dann auch Wildcard Zertifikate unterstützen wird.

Der Beitrag Let’s Encrypt: Kostenlose Wildcard Zertifikate ab Januar 2018 erschien zuerst auf Frankys Web.

Nach einem Update meines WLAN-Controller bin ich über ein kleines Problem gestolpert. Der WLAN Controller wird mittels PRTG und eines PowerShell Scripts überwacht. Nach dem Update des Controllers liefert das Script nur noch die folgende Fehlermeldung:

Die Anfrage wurde abgebrochen: Es konnte kein geschützter SSL/TLS-Kanal erstellt werden..

In diesem Fall handelt es sich um den Unifi Controller von Ubiquiti, allerdings ist das hier nur Nebensache. Ich hatte mir vor dem Update schon die Release Notes zum Update durchgelesen und schon Schwierigkeiten befürchtet. In den Release Notes stand folgender Satz:

• Remove TLSv1 from default SSL protocols for Java 7/8.

Ich hatte schon befürchtet, dass der PowerShell Sensor damit Schwierigkeiten bekommt, ein Test direkt auf der PowerShell bestätigt das Problem:

Obwohl .NET Framework und die PowerShell auf relativ aktuellem Release sind, kann keine Verbindung via HTTPs hergestellt werden. Scheinbar verwendet die PowerShell bzw. NET Framework immer noch gerne TLSv1, welches aber vom Controller nicht mehr unterstützt wird.

Damit PowerShell Scripte bevorzugt aktuelle Versionen des TLS Protokolls benutzen, kann dies zur Laufzeit des Scriptes angepasst werden. Die folgenden beiden Zeilen lassen nur noch TLSv1.1 und TLSv1.2 Verbindungen zu:

$AllProtocols = [System.Net.SecurityProtocolType]'Tls11,Tls12'
[System.Net.ServicePointManager]::SecurityProtocol = $AllProtocols

Die beiden Zeilen können vor dem Öffnen einer Verbindung innerhalb eines Scriptes ausgeführt werden:

In diesem Beispiel wird nun die Antwort des Servers geliefert. Ein weiterer Grund für den Fehler kann ein ungültiges Zertifikat sein, die Gültigkeitsprüfung lässt sich ebenfalls zur Laufzeit abschalten:

[System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}

Für das PRTG Monitoring Script und den Unifi Controller habe ich das Script um die beiden oben genannten Zeilen erweitert. Somit kann auch der Controller wieder überwacht werden:

Die eingesetzte Unifi Controller Version ist 5.4.18, falls jemand ähnliche Probleme haben sollte.

Update 09.07.17: Gerade ist mir aufgefallen das PRTG die entsprechenden Zeilen ebenfalls schon in einer neuen Version des Sensors hinzugefügt hat:

Monitoring Ubiqiti UniFi Devices with PRTG

Hätte ich mal vorher den das Script für den Sensor aktualisiert…

Der Beitrag PowerShell: Es konnte kein geschützter SSL/TLS-Kanal erstellt werden erschien zuerst auf Frankys Web.

Sophos hat heuet ein Update mit der Versionsnummer 9.502-4 für die Sophos UTM veröffentlicht. Das Update soll insgesamt 39 Probleme beheben.

Leider hatte Sophos in der Vergangenheit kein so glückliches Händchen mit Updates für die UTM, so hat das letzte Update zwar einige Probleme behoben, aber auch wieder neue verursacht. Dies macht ausführliches Testen leider mittlerweile erforderlich.

Die folgenden Probleme wurden laut Sophos behoben:

• [NUTM-8127]: [AWS] Link to CloudFormation console during cloudupdate is not working
• [NUTM-3213]: [Access & Identity] Inconsistent behaviour/state when deleting a user cert
• [NUTM-3283]: [Access & Identity] IPSec: VPN ID shall not include blanks
• [NUTM-3294]: [Access & Identity] Menu option (keyboard layout) background not rendered properly in IE (version 11.0.9600.17728)
• [NUTM-6972]: [Access & Identity] SSLVPN disconnection: backend AD sync
• [NUTM-7897]: [Access & Identity] Argos doesn’t start in HA setup without IP address
• [NUTM-7940]: [Access & Identity] Client Authentication daemon crashes in HA scenario
• [NUTM-7982]: [Access & Identity] SSL VPN connection not possible since v9.5 if organisation name contains umlauts
• [NUTM-7996]: [Access & Identity] Devices authenticated via SAA are no longer associated with multiple user network objects in UTM 9.5
• [NUTM-8122]: [Access & Identity] L2TP connections with separate DHCP server does not work
• [NUTM-8146]: [Access & Identity] PPTP fails to connect when Assign IP addresses by is set to DHCP Server
• [NUTM-8147]: [Access & Identity] OpenVPN vulnerabilities
• [NUTM-8161]: [Access & Identity] OpenVPN vulnerabilities (client part)
• [NUTM-8280]: [Access & Identity] High confd load through UMA
• [NUTM-8130]: [Basesystem] Linux vulnerability ‚The Stack Clash‘
• [NUTM-8156]: [Basesystem] Apache httpd vulnerability (CVE-2017-3169)
• [NUTM-7235]: [Confd] READONLY user can download support package
• [NUTM-7425]: [Email] Emailenc causing high load – permanently 100% CPU usage
• [NUTM-7790]: [Email] Restrict long regular expression in WebAdmin
• [NUTM-7876]: [Email] POP3 Proxy stops working after some time
• [NUTM-7889]: [Email] Sandbox scan doesn’t work – worker_do_get_file req content parsing error or missing parameters
• [NUTM-6116]: [Network] Service_monitor sets wrong IP address for availability group
• [NUTM-7647]: [Network] WAN random disconnects
• [NUTM-7735]: [Network] ATP doesn’t work with „Send anonymous application accuracy telemetry data“ disabled.
• [NUTM-7950]: [Network] Dhcp client not running – restarted
• [NUTM-8015]: [Network] Main interface IP address swapped by additional address for DHCP setup
• [NUTM-7543]: [Reporting] Calculate correct malware count for ExecReport
• [NUTM-7609]: [Reporting] Websec-reporter is constantly restarting
• [NUTM-7725]: [Reporting] High latency while navigating through WebAdmin after trying to display Web Reports
• [NUTM-7878]: [WAF] Segfault for HTTP 1.0 requests when cookie rewriting is enabled
• [NUTM-6845]: [Web] https://sslvpn.goodix.com does not loads through UTM PROXY
• [NUTM-7467]: [Web] Sandstorm communication issues in some configurations
• [NUTM-7697]: [Web] httpproxy.ConfdReload – core dump generated during configuration reload
• [NUTM-7895]: [Web] Enable SMB2 in Samba
• [NUTM-7939]: [Web] Chrome v58 and higher fail verification with HTTPS scanning enabled
• [NUTM-7967]: [Web] httpproxy coredump
• [NUTM-6950]: [WiFi] APs displayed as inactive in WebAdmin while clients connect to SSIDs which are still being broadcasted
• [NUTM-7495]: [WiFi] Wireless client IP in Webadmin not updated after changing the SSID
• [NUTM-7962]: [WiFi] Split traffic not working for wireless clients on RED15w after upgrade to v9.5

Alle die das Update noch nicht via Up2Date angeboten bekommen, können es hier runterladen und manuell installieren:

u2d-sys-9.501005-502004.tgz.gpg

Das Update erfordert einen Neustart der UTM, AccessPoints und Sophos REDs werden nach dem Firmware Update ebenfalls neu gestartet.

Der Beitrag Sophos UTM: Neues Update (9.502-4) erschien zuerst auf Frankys Web.

Kleiner Tipp am Rande da die Frage schon häufiger gestellt wurde:

Muss ich bei der Installation von Exchange Updates (CUs) auch .NET Framework berücksichtigen?

Einfache Antwort: Ja!

Hier die etwas ausführlichere Antwort:

Nicht unterstützte NET Framework Versionen in Verbindung mit Exchange Server können durchaus problematisch sein, wie sich in der Vergangenheit schon gezeigt hat:

https://www.frankysweb.de/net-framework-4-6-1-nicht-auf-exchange-servern-installieren/

Die NET Framework Version muss aber auch bei der Aktualisierung von älteren Exchange Versionsständen berücksichtigt werden. Hier ein kleines Beispiel:

Normalerweise enthalten Exchange CUs alle Patches der vorangegangen Versionen, so ist es in der Theorie durchaus möglich einen Exchange 2016 Server mit CU1 zu installieren und direkt auf CU5 zu aktualisieren. Es muss also nicht erst CU2, dann CU3, danach CU4 und schlussendlich CU5 installiert werden.

Soweit die Theorie, nun zur Praxis:

Stellen wir uns einen Exchange 2016 Server mit installiertem CU3 vor, auf dem Server befindet sich auch NET Framework 4.5.2. Hier kann beispielsweise nicht direkt auf das CU5 aktualisiert werden. Hintergrund CU4 erfordert mindestens NET Framework 4.6.1, dieses wird aber nicht von CU3 unterstützt. Hier muss also zunächst auf CU4 aktualisiert werden, dann NET Framework auf Version 4.6.2 aktualisiert werden und erst danach kann auf CU5 aktualisiert werden.

Quelle: Exchange 2016 prerequisites

Gleiches Spielchen für Exchange 2013:

Wenn der Exchange Server ein Patchlevel vor CU15 hat, kann nicht direkt auf CU16 aktualisiert werden, Hier muss zunächst das CU15 installiert werden, dann NET Framework aktualisiert werden und erst danach kann auf CU16 aktualisiert werden.

Diese Art der NET Framework Abhängigkeiten finden sich auch in anderen Konstellationen, denn manche Exchange CUs unterstützen nicht die erforderlich NET Framework Version der aktuelleren CUs. Hier muss also zunächst auf ein älteres CU aktualisiert werden, damit die erforderlich NET Version installiert werden kann.

Aktuell zum Beispiel noch die Empfehlung kein NET Framework 4.7 auf Exchange Servern zu installieren:

• .NET Framework 4.7 and Exchange Server

Man sollte also vor der Installation von Exchange CUs auch immer einen Blick auf die NET Framework Version werfen.

Hier finden sich die aktuell unterstützen .NET Framework Versionen:

Quelle: Exchange Server Supportability Matrix

Der Beitrag .NET Framework bei Exchange Updates berücksichtigen erschien zuerst auf Frankys Web.

Microsoft bietet wieder kostenlose eBooks zum Download an. Einige der eBooks sind zwar nicht ganz aktuell oder enthalten nur wenige Seiten, aber manche eignen sich dennoch als Nachschlagewerk.

Unter folgenden Link finden sich insgesamt 380 eBooks:

https://blogs.msdn.microsoft.com/mssmallbiz/2017/07/11/largest-free-microsoft-ebook-giveaway-im-giving-away-millions-of-free-microsoft-ebooks-again-including-windows-10-office-365-office-2016-power-bi-azure-windows-8-1-office-2013-sharepo/

Vielleicht findet sich ja was…

Der Beitrag Tipp: Kostenlose Microsoft eBooks erschien zuerst auf Frankys Web.

In diesem Artikel hatte ich bereits ein kleines Script vorgestellt, welches die Exchange HealthCheck URLs prüft. Da ich in meiner privaten Umgebung PRTG für das Monitoring verwende, habe ich für die HealthCheck URLs einen eigenen Sensor verwendet. Zwar bringt PRTG eine ganze Reihe Sensoren für Exchange Server mit, allerdings muss ich aufgrund der Limitierung von 100 Sensoren für die kostenfreie Version mit meinen Sensoren haushalten. Daher der eigene Sensor, der die HealthCheck URLs als Kanäle innerhalb eines Sensors darstellt.

Für PRTG Benutzer gibt es den Sensor hier zum Download:

ExchangeHealthChecks 0.94 KB

Download

Einbindung des Sensors in PRTG

Zuerst muss der PowerShell Sensor in der Sensorverzeichnis von PRTG kopiert werden, normalerweise befindet sich das Verzeichnis unter folgendem Pfad:

C:\Program Files (x86)\PRTG Network Monitor\Custom Sensors\EXEXML

Jetzt kann dem Exchange Server ein neuer Sensor hinzugefügt werden, da das Script nur die HealthCheck URLs prüft, müssen es nicht zwingend dem Exchange Server direkt zugeordnet werden, auch jedes andere Gerät kann den Sensor verwenden. In diesem Beispiel wird der Sensor direkt für den Exchange Server anagelegt:

Als Sensortyp muss “Programm/Script (Erweitert)” ausgewählt werden:

Dem neuen Sensor kann jetzt ein Name zugeordnet werden. Unter dem Punkt “Programm/Script” ist nun das PowerShell Script auswählbar, welches zuerst in das Sensorverzeichnis kopiert wurde. Im Feld “Parameter” wird angegeben, welcher Exchange Server geprüft werden soll. Das Script verarbeitet hier nur einen Exchange Server, für mehrere Exchange Server, müssen mehrere Sensoren angelegt, oder das Script entsprechend angepasst werden:

Nach kurzer Zeit sollte der Sensor die ersten Daten liefern, der Wert 200 entspricht dabei “HTTP Status Code 200” (alles ok). Ein anderer HTTP Status Code sorgt für einen Fehler.

Die einzelnen Kanäle können noch angepasst werden. Beispielsweise die “Einheit” auf “HTTP Response” umgestellt werden:

In diesem Beispiel ist ein Kanal des Sensors im Status Fehler, dies deutet auf Probleme mit Outlook Anywhere hin:

Wenn gewünscht, kann in den Sensoreinstellungen noch der primäre Kanal verändert werden, in der Standardeinstellung wird “OWA” genutzt:

Nächster Punkt auf meiner ToDo Liste: PRTG und Sophos UTM Webserver Protection.

Der Beitrag PRTG und Exchange 2016: Sensor für HealthCheck URLs erschien zuerst auf Frankys Web.

Im letzten Artikel hatte ich ja bereits angekündigt, das ich mit PRTG auch die Webserver Protection der Sophos UTM überwachen möchte. Leider bietet PRTG für die UTM nur generische Sensoren an, sodass es mit dem Monitoring etwas schwieriger wird. Mit der Sophos RESTful API bin ich etwas weiter gekommen, aber leider lässt sich via RESTful API nur prüfen, ob FrontEnd und BackEnd Server aktiviert sind. Der genaue Status (erreichbar oder ausgefallen) lässt sich nicht direkt via API feststellen. Daher muss ich mir hier noch eine bessere Möglichkeit überlegen um den Zustand zu überwachen.

Hier aber erst einmal die erste Version des Sensors, welche zumindest den Status Aktiviert/Deaktiviert” prüft:

Sophos UTM RESTful API aktivieren

Damit der Sensor funktioniert, muss die RESTful API der UTM aktiviert werden. Dazu reicht es einen ReadOnly Benutzer für PRTG erstellen. In den “WebAdmin Einstellungen” lässt sich dann die API aktivieren und ein Token für den PRTG Benutzer erstellen:

Die WebAdmin Schnittstelle muss vom PRTG Server aus erreichbar sein:

Sensor zu PRTG hinzufügen

Der PowerShell Sensor für die UTM Webserver Protection lässt sich hier runterladen:

Sophos_UTM_WAF 0.89 KB

Download

Die Datei “Sophos_UTM_WAF.PS1 muss jetzt in das PRTG Sensor Verzeichnis kopiert werden. Im Normalfall befindet sich das Verzeichnis unter folgendem Pfad:

C:\Program Files (x86)\PRTG Network Monitor\Custom Sensors\EXEXML

In PRTG lässt sich nun ein neuer Sensor vom Typ “Programm/Script (Erweitert)” anlegen:

Dem Sensor kann jetzt ein Name gegeben werden. Unter dem Punkt “Programm/Script” kann das zuvor kopierte Script ausgewählt werden. Als Parameter müssen API Token und Adresse der Sophos UTM angegeben werden:

–UTMApiToken „UTMAPITOKEN“ –UTMAdress “IPoderHostnamederUTM”

Wie zuvor schon erwähnt prüft der Sensor nicht den tatsächlichen Status, sondern nur ob Frontend (FE, Virtuelle Webserver ) und Backend (BE, Echte Webserver) aktiviert sind:

Ich denke in der nächsten Version erweitere ich den Sensor noch um simple Portchecks, so lässt sich zumindest etwas besser die Funktion prüfen.

Der Beitrag PRTG und Sophos UTM Webserver Protection (WAF) erschien zuerst auf Frankys Web.

Microsoft hat neue Sicherheitsupdates für Exchange 2010 bis Exchange 2016 veröffentlicht. Konkret handelt es sich um diese Sicherheitslücke:

Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Exchange Outlook Web Access (OWA). Die Sicherheitsanfälligkeit kann Rechteerweiterungen oder Spoofingangriffe in Microsoft Exchange Server ermöglichen, wenn ein Angreifer eine E-Mail mit einem speziell gestalteten Anhang an einen anfälligen Exchange Server sendet.

Quelle: Hinweise zum Sicherheitsupdate für Microsoft Exchange

Hier finden sich die zugehörigen CVE:

• CVE-2017-8559 | Microsoft Exchange Cross-Site Scripting Vulnerability
• CVE-2017-8560 | Microsoft Exchange Cross-Site Scripting Vulnerability
• CVE-2017-8521 | Scripting Engine Memory Corruption Vulnerability

Alle 3 Lücken werden mit der Stufe “Wichtig” eingestuft.

Entsprechende Updates können hier runtergeladen werden:

• Updaterollup 18 für Exchange Server 2010, Service Pack 3 (KB4018588)
• Security Update For Exchange Server 2013 SP1 (KB4018588)
• Security Update For Exchange Server 2013 CU16 (KB4018588)
• Security Update For Exchange Server 2016 CU5 (KB4018588)

Der Beitrag Neue Sicherheitsupdates für Exchange Server erschien zuerst auf Frankys Web.