Seit heute steht die Exchange 2016 Preview zum Download bereit:

http://www.microsoft.com/en-us/download/details.aspx?id=48210

Die Preview steht bisher nur in Englisch bereit und ist knapp 1,7 GB groß. Die Preview unterstützt sogar schon die Co-Existenz mit Exchange 2013 und Exchange 2010.

Auf dem Exchange Team Blog gibt es nähere Informationen zu den neuen Features:

http://blogs.technet.com/b/exchange/archive/2015/07/22/announcing-exchange-server-2016-preview.aspx

Auch eine Dokumentation ist bereits im Technet verfügbar:

https://technet.microsoft.com/library/mt170645(v=exchg.160).aspx 

Der Download könnte allerdings etwas schneller gehen…

Update: Das Setup ist schon mal in Deutscher Sprache.

Die Preview (Download) von Exchange steht zum Download bereit und ich habe mich an die Tests gemacht. In diesem Artikel geht es zunächst um die Installation auf einem Server 2012 R2.

Meine Testumgebung besteht im ersten Schritt nur aus einem Domain Controller auf Windows Server 2012 R2 und einer weiteren VM, ebenfalls mit Windows Server 2012 R2, auf der Exchange 2016 installiert wird.

Als erstes werden die Active Directory Verwaltungstools installiert, am einfachsten per Powershell:

Install-WindowsFeature RSAT-ADDS

Danach sind die restlichen Voraussetzungen dran, die ebenfalls mittels Powershell installiert werden können:

Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

Nachdem die Komponenten installiert sind, steht ein Neustart des Servers an. Nach dem Neustart müssen noch folgende Pakete installiert werden:

• .NET Framework 4.5.2 (wenn nicht bereits per Windows Update installiert)
• Microsoft Unified Communications Managed API 4.0, Core Runtime 64-Bit

Am besten jetzt noch einmal neustarten, dann kommt es zu keinem Fehler bei der Prüfung der Voraussetzungen. Jetzt kann auch schon das Exchange 2016 Setup gestartet werden. Dazu wird aus dem entpackten Archiv die „setup.exe“ gestartet:

Es startet das Exchange 2016 Setup, ich spare mir an dieser Stelle das Suchen nach Updates.

Nachdem ein paar Dateien durch das Setup kopiert wurden, geht es los:

Lizenzvertrag lesen und zustimmen

Ich wähle die Option „Empfohlene Einstellungen nicht verwenden“

Mit Exchange 2016 gibt es nur noch die Postfach Rolle und die Edge Transport Rolle;

Ich installiere Exchange auf dem Laufwerk D:

Da es noch keine Exchange Organisation in meiner Testumgebung gibt, kann ich jetzt einen Namen vergeben

Die Warnungen zeigen nur an, dass das Active Directory Schema durch das Setup erweitert wird.

Und schon läuft die Installation

Die Installation ist abgeschlossen, weitere Artikel zur Konfiguration werden folgen.

Die Basiskonfiguration von Exchange 2016 unterscheidet sich nicht viel von der Konfiguration von Exchange 2013. In diesem Artikel gibt es eine kurze Anleitung, die die wesentlichen Punkte abdeckt:

Nach der Installation von Exchange 2016 habe ich es mir angewöhnt zuerst die Datenbank umzubenennen und an ihren Bestimmungsort zu verschieben, dies geschieht via Shell mit den folgenden Befehlen:

Get-MailboxDatabase -Server FWEX2 | Set-MailboxDatabase -Name MBXDB01
Move-DatabasePath MBXDB01 -EdbFilePath c:\MBXDB01\MBXDB01.edb -LogFolderPath c:\MBXDB01

Danach kann eine neue akzeptierte Domäne angelegt werden, in meinen Fall wäre das „frankysweb.de“:

Damit Postfächer die entsprechenden E-Mail Adressen erhalten, wird als nächstes eine Adressrichtlinie erstellt:

Wie die E-Mail Adressen aufgebaut werden sollen, lässt sich natürlich frei wählen:

Nachdem die Richtlinie erstellt wurde, kann sie angewendet werden

Damit E-Mail verschickt werden können, muss ein Sendeconnector angelegt werden:

Das es sich hierbei um den Connector für das Senden von Mails zu externen Empfängern handelt, wird der Typ „Internet“ ausgewählt:

Im nächsten Dialog lässt sich wählen wie die Mails verschickt werden, entweder direkt an die zuständigen Mailserver (Mit Empfängerdomäne verbundener MX Eintrag) oder über einen Smarthost (Relay beim Provider oder AntiSPAM Gateway des Unternehmens)

Es muss immer einen Connector mit dem Adressraum „*“ geben, damit E-Mails zugestellt werden können

Zum Schluss noch den oder die Quellserver angeben, die den Connector benutzen

Danach die Eigenschaften des Connectors öffnen und noch den HELO Eintrag festlegen. Der Hostname der für den HELO Eintrag verwendet wird, muss auch auf dem Zertifikat vorhanden sein.

Jetzt können die virtuellen Verzeichnisse bzw. die Zugriffs-URLs konfiguriert werden, das geschieht am schnellsten via Shell. Ich habe dazu ein kleines Script erstellt. Einfach die ersten 4 Zeilen abändern und ausführen. Da ich DNS-Split Brain nutze unterscheidet sich bei mir interner und externer Hostname nicht:

$servername = "FWEX2"
$internalhostname = "outlook.frankysweb.de"
$externalhostname = "outlook.frankysweb.de"
$autodiscoverhostname = "autodiscover.frankysweb.de"

$owainturl = "https://" + "$internalhostname" + "/owa"
$owaexturl = "https://" + "$externalhostname" + "/owa"
$ecpinturl = "https://" + "$internalhostname" + "/ecp"
$ecpexturl = "https://" + "$externalhostname" + "/ecp"
$ewsinturl = "https://" + "$internalhostname" + "/EWS/Exchange.asmx"
$ewsexturl = "https://" + "$externalhostname" + "/EWS/Exchange.asmx"
$easinturl = "https://" + "$internalhostname" + "/Microsoft-Server-ActiveSync"
$easexturl = "https://" + "$externalhostname" + "/Microsoft-Server-ActiveSync"
$oabinturl = "https://" + "$internalhostname" + "/OAB"
$oabexturl = "https://" + "$externalhostname" + "/OAB"
$mapiinturl = "https://" + "$internalhostname" + "/mapi"
$mapiexturl = "https://" + "$externalhostname" + "/mapi"
$aduri = "https://" + "$autodiscoverhostname" + "/Autodiscover/Autodiscover.xml"

Get-OwaVirtualDirectory -Server $servername | Set-OwaVirtualDirectory -internalurl $owainturl -externalurl $owaexturl
Get-EcpVirtualDirectory -server $servername | Set-EcpVirtualDirectory -internalurl $ecpinturl -externalurl $ecpexturl
Get-WebServicesVirtualDirectory -server $servername | Set-WebServicesVirtualDirectory -internalurl $ewsinturl -externalurl $ewsexturl
Get-ActiveSyncVirtualDirectory -Server $servername  | Set-ActiveSyncVirtualDirectory -internalurl $easinturl -externalurl $easexturl
Get-OabVirtualDirectory -Server $servername | Set-OabVirtualDirectory -internalurl $oabinturl -externalurl $oabexturl
Get-MapiVirtualDirectory -Server $servername | Set-MapiVirtualDirectory -externalurl $mapiexturl -internalurl $mapiinturl
Get-OutlookAnywhere -Server $servername | Set-OutlookAnywhere -externalhostname $externalhostname -internalhostname $internalhostname -ExternalClientsRequireSsl:$true -InternalClientsRequireSsl:$true -ExternalClientAuthenticationMethod 'Negotiate' 
Get-ClientAccessServer $servername | Set-ClientAccessServer -AutoDiscoverServiceInternalUri $aduri

Get-OwaVirtualDirectory -Server $servername | fl server,externalurl,internalurl
Get-EcpVirtualDirectory -server $servername | fl server,externalurl,internalurl
Get-WebServicesVirtualDirectory -server $servername | fl server,externalurl,internalurl
Get-ActiveSyncVirtualDirectory -Server $servername | fl server,externalurl,internalurl
Get-OabVirtualDirectory -Server $servername | fl server,externalurl,internalurl
Get-MapiVirtualDirectory -Server $servername | fl server,externalurl,internalurl
Get-OutlookAnywhere -Server $servername | fl servername,ExternalHostname,InternalHostname
Get-ClientAccessServer $servername | fl name,AutoDiscoverServiceInternalUri

Nachdem das Script ausgeführt wurde, sind alle virtuellen Verzeichnisse entsprechend konfiguriert:

Jetzt müssen nur noch das Zertifikat konfiguriert werden. Das Zertifikat wird genauso wie bei Exchange 2013 erstellt. Der Vorgang ist hier ausführlich beschrieben:

https://www.frankysweb.de/exchange-2013-zertifikatsanforderung-fr-ffentliche-ca-erstellen
https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zertifizierungsstelle-ca

Falls euch bei der Installation von Exchange 2016 auch folgende Fehler passiert kann ich euch vieleicht ein bisschen Suchen ersparen:

Fehler:
Der folgende Fehler wurde generiert, als „$error.Clear();
          Set-WERRegistryMarkers;
        “ ausgeführt wurde: „Microsoft.Exchange.Provisioning.ProvisioningBrokerException: Fehler bei der Initialisierung der Bereitstellungsebene: ‚“Fehler bei der Initialisierung des Skript-Agents: „Datei nicht gefunden: ‚C:\Program Files\Microsoft\Exchange Server\V15\Bin\CmdletExtensionAgents\ScriptingAgentConfig.xml‘.““‚ —> Microsoft.Exchange.Provisioning.ProvisioningException: „Fehler bei der Initialisierung des Skript-Agents: „Datei nicht gefunden: ‚C:\Program Files\Microsoft\Exchange Server\V15\Bin\CmdletExtensionAgents\ScriptingAgentConfig.xml‘.““ —> System.IO.FileNotFoundException: „Datei nicht gefunden: ‚C:\Program Files\Microsoft\Exchange Server\V15\Bin\CmdletExtensionAgents\ScriptingAgentConfig.xml‘.“
   bei Microsoft.Exchange.ProvisioningAgent.ScriptingAgentConfiguration.Initialize(String xmlConfigPath)
   bei Microsoft.Exchange.ProvisioningAgent.ScriptingAgentConfiguration..ctor(String xmlConfigPath)
   — Ende der internen Ausnahmestapelüberwachung —
   bei Microsoft.Exchange.ProvisioningAgent.ScriptingAgentConfiguration..ctor(String xmlConfigPath)
   bei Microsoft.Exchange.ProvisioningAgent.ScriptingAgentClassFactory.get_Configuration()
   bei Microsoft.Exchange.ProvisioningAgent.ScriptingAgentClassFactory.GetSupportedCmdlets()
   bei Microsoft.Exchange.Provisioning.ProvisioningBroker.BuildHandlerLookupTable(CmdletExtensionAgent[] enabledAgents, Exception& ex)
   — Ende der internen Ausnahmestapelüberwachung —
   bei Microsoft.Exchange.Provisioning.ProvisioningLayer.GetProvisioningHandlersImpl(Task task)
   bei Microsoft.Exchange.Provisioning.ProvisioningLayer.GetProvisioningHandlers(Task task)
   bei Microsoft.Exchange.Configuration.Tasks.Task.<BeginProcessing>b__4()
   bei Microsoft.Exchange.Configuration.Tasks.Task.InvokeNonRetryableFunc(Action func, Boolean terminatePipelineIfFailed)“.

Der relevante Teil ist folgender:

Datei nicht gefunden: ‚C:\Program Files\Microsoft\Exchange Server\V15\Bin\CmdletExtensionAgents\ScriptingAgentConfig.xml‘

Hintergrund: Ich habe versucht Exchange 2016 in einer vorhandenen Exchange 2013 Organisation mit aktiviertem Scripting Agent zu installieren. Die Datei ScriptingAgentConfig.xml kann es somit auf den gerade in der Installation befindlichen Exchange 2016 Servern nicht geben.

Fehlerbehebung: Da die Installation von Exchange 2016 jetzt nur noch noch unvollständig beendet werden kann, kann die Datei ScriptingAgentConfig.xml von einem vorhandenen Exchange Server in das entsprechende Verzeichnis auf dem Exchange 2016 Server kopiert werden. Danach lässt sich das Setup fortsetzen.

Einfach die Datei aus dem oben angegebenen Pfad von einem vorhanden Exchange Server in das entsprechende Verzeichnis auf dem unvollständig installierten Server kopieren und das Setup neustarten.

Nach dem Kopieren der Datei läuft die Installation sauber durch.

Exchange Preview auf Windows Server Preview installieren. Ich gebe zu, dass ist Spielerei… Funktioniert aber trotzdem:

Winows Server Technical Preview 2 mit lokalen Admin Tools installieren

Nach der Installation startet der Servermanager, aber kein Desktop, also den Desktop nachinstallieren:

Dann die Voraussetzungen für Exchange 2016 installieren:

Install-WindowsFeature Net-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

Jetzt muss noch UCMA installiert werden, es kann hier runtergeladen werden:

Microsoft Unified Communications Managed API 4.0, Core Runtime 64-Bit

Jetzt kann auch schon das Exchange Setup gestartet werden und unterscheidet sich nicht mehr von der Installation auf Windows Server 2012 R2 (daher unkommentiert)

Übrigens: Mit „Project Spartan“ lies sich EAC nicht öffnen…

Das Problem passt eigentlich nicht hier her, aber vieleicht hilft es ja doch jemanden weiter. Folgendes Problem tritt bei Benutzern auf die sich längere Zeit nicht an VMware View Horizon Desktops angemeldet haben:

Die Anmeldung des Dienstes Gruppenrichtlinienclient ist fehlgeschlagen. Zugriff verweigert

Der Fehler tritt auf da die NTUser.dat Datei innerhalb des Benutzerprofiles korrupt ist. Meist zu erkennen an der Größe von genau 256KB. Das löschen der NTUser.dat hilft zwar, damit sich der Benutzer wieder anmelden kann, behebt aber nicht die Ursache.

Der Fehler tritt auf wenn folgende Situation zutrifft: Die View Profile der Benutzer liegen auf einem Fileserver mit Windows Server 2012 als Betriebssystem und aktivierter Deduplizierung.

Ursache des Problems ist das Windows 2012 Feature „Deduplizierung“, welches die Probleme mit der NTUser.dat verursacht. Hier hilft scheinbar nur abschalten und „entdeduplizieren“. Die Deduplizierung kann mit der PowerShell rückgängig gemacht werden:

Start-DedupJob -Volume p: -Type Unoptimization

Der Status des Jobs lässt sich mit folgenden Befehl prüfen:

Get-DedubJob

Je nach Datenmenge kann der Job recht lange brauchen bis er fertig ist. Des weiteren muss die Deduplizierung für das entsprechende Volume abgeschaltet werden:

Profile mit bereits kaputter NTUser.dat können ebenfalls mittels PowerShell ausfindig gemacht werden:

Get-ChildItem ntuser.dat -Recurse -Force -ea 0 | where {$_.Length -le 262144} | foreach {$_.fullname}

Kurze Anleitung wie komplette Domains durch das Office 365 AntiSPAM Feature gesperrt werden können.

Anmelden im Office 365 Portal (Sign in to Office 365) und auf den Punkt „Exchange“ klicken

Jetzt unter dem Punkt „Schutz“ auf den Reiter „Spamfilter“ klicken und die „Default“-Richtlinie bearbeiten oder eine neue Richtlinie anlegen

Im neuen Fenster unter dem Punkt „Sperrlisten“ die SPAM Domain hinzufügen:

Speichern und fertig.

Sebastien von der Firma Cai aus Frankreich (http://www.cai-info.fr) hat sich die Mühe gemacht die Message Tracking GUI für Exchange 2013, in Französisch zu übersetzen. Vielen Dank dafür. Natürlich möchte ich euch auch die französische Version nicht vorenthalten:

Message Tracking GUI (FR) 4.71 KB

Message Tracking GUI (FR)

Hier die freundliche Mail von Sebastien:

Das hat mich wirklich sehr gefreut, zum einen dass das kleine Script schon bis Frankreich gewandert ist und zum anderen das Feedback von unserem Nachbarn.

Sebastien, many thanks!

Wie funktioniert SPF

SPF (Sender Policy Framework) ist eine einfache Methode um gefälschte Absender zu identifizieren und als SPAM zu blocken.

Die Funktionsweise ist einfach: Der Domaininhaber (Bsp. Ich mit der Domain frankysweb.de) veröffentlicht im DNS einen TXT Record (SPF Record) der die Mailserver enthält, von denen ich Mails sende. Wenn zum Beispiel mein Mailserver die IP 81.169.145.159 hat und der einzige Mailserver ist der unter der Domain frankysweb.de Mails versendet, dann kann ich in meiner DNS-Zone den folgenden TXT-Record als SPF Eintrag setzen:

v=spf1 ip4:81.169.145.159 -all

Damit gebe ich als Domaininhaber an das nur die IP 81.169.145.159 unter der Domain frankysweb.de Mails verschicken darf.

Der Empfänger einer Mail kann nun diesen öffentlichen Eintrag abfragen und somit prüfen ob der Mailserver der gerade eine Mail von frankysweb.de übermitteln möchte auch wirklich dazu berechtigt ist. Dazu muss er nur noch die IP-Adresse des einliefernden Mailservers mit dem SPF-Eintrag vergleichen. Soweit, so einfach.

SPF steht allerdings auch nicht ganz zu unrecht in der Kritik, dafür gibt es verschiedene Gründe. Auf einen dieser Gründe möchte ich näher eingehen, weil er mir in letzter Zeit häufiger untergekommen ist:

Umleitungen (Relays, Smarthosts)

Ein empfangener Mailserver prüft also mittels SPF die IP-Adresse des sendenden Mailservers gegen den SPF Eintrag im DNS. Hier kommt es darauf an, wie der Mailserver und vor allem von wem der Mailserver die Mails tatsächlich erhält und wer den SPF Eintrag prüft. Ich habe dazu mal eine kleine Zeichnung angefertigt:

Nehmen wir also mal an, dass frank@frankysweb.de eine Mail an hans.dampf@gehtjagarnicht.de schicken möchte. Der Admin von gehtagarnicht.de hat beispielsweise einen lokalen Exchange Server und weil er keine SPAM-Mails haben möchte, auch einen SPAM-Filter vor den Exchange Server geschaltet (Oder irgendeine Software auf dem Exchange Server installiert). Der Admin von gehtjagarnicht.de hat sich vieleicht auch folgendes gedacht (nur als Beispiel):

Hey, ich hab keine feste IP an meinem DSL Anschluss, also lasse ich doch einen Relay (smtp.rzone.de) die Mails einfach an meinen DynDNS Account weiterleiten. Daher lautet mein MX-Eintrag auf smtp.rzone.de und der leitet einfach alles stumpf auf meinen DynDNS weiter

Richtig, kann man machen, aber: Nicht mit SPF.Denn in diesem Fall sieht der SPAM-Filter auf dem lokalen Mailserver immer nur die IP-Adresse des Relays/Smarthosts. In diesem Beispiel alsp die IP von smtp.r-zone.de. Wenn der lokale Mailserver jetzt einen SPF-Check versucht, passt die einliefernde IP nicht zu der IP im SPF-Record und die Prüfung schlägt fehl.

Man kann also entweder auf dem Relay SPF Checks durchführen und die auf dem lokalen Server abschalten, oder man verzichtet komplett auf SPF.Whitelisten der Relay-IPs am lokalen Spamfilter ist auch keine Lösung, da der Relay alle Mails einliefert, laufen alle Mails am SPF Check vorbei.

Das gleiche Spiel, tritt häufig bei umgeleiteten Domains auf, als Beispiel: gehtjagarnicht.de nutzt auch noch gehtjagarnicht.com und leitet alle Mails von .com an .de weiter. Wird nun eine Mail an hans.dampf@gahtjagarnicht.com geschickt und diese vom Provider an hans.dampf@gehtjagarnicht.de um- oder weitergelietet, ist wieder die IP des Providers die einliefernde IP, nicht aber der ursprünglich Mailserver. Ergo SPF-Check schlägt fehl.

Gerade habe ich den Exchange Reporter 2.5 hochgeladen. Es gibt zwei neue Module „bpreport“ zeigt Backpressure Events an, so lassen sich Leistungsengpässe besser identifizieren. Ähnlich wie „dgreport“ liefert „dyndgreport“ Informationen zu dynamischen Verteilergruppen. Auch ein paar neue Funktionen und Fehlerkorrekturen sind in die aktuelle Version eingeflossen. Mein spezieller Dank gilt Ralph Andreas, der mich tatkräftig unterstützt hat, die meisten gefundenen Fehler gehen auf sein Konto, ebenso viele Anregungen zu Verbesserungen. Bis alles umgesetzt ist, wird es wohl noch etwas dauern

• Bugfixes
• Manche Icons im Report wurden nicht angezeigt
• Anzeige des Intervalls im Report
• Text „Kein Failover aufgetreten“, wenn kein Failover von Datenbanken aufgetreten ist, hinzugefügt
• mbxreport.ps1: Datum getrennter Postfächer wurde nicht angezeigt
• Optimierung der Darstellung auf der Shell
• Neues Modul
• bpreport.ps1: Zeigt Exchange BackPressure Events an
• dyndgreport.ps1: Zeigt Informationen zu dynamischen Verteilergruppen
• Neue Funktionen
• mailreport.ps1: Durchschnittswerte zu Mails
• Durchschnittliche Anzahl Mails je Postfach
• Durchschnittliche Volumen je Postfach
• Durchschnittliche Größe einer Mail
• pfreport.ps1: Anzeige von max. 200 Öffentlicher Ordner nach Größe
• easreport.ps1: Auch aktive Active Sync Geräte werden angezeigt
• Support für Koexistenz Szenarien (Exchange 2003/Exchange 2007)

Hier geht es zum Download:

Exchange Reporter 1.10 MB

Exchange Reporter

Alle Details finden sich hier:

https://www.frankysweb.de/exchange-reporter-2013/

Noch ein kleiner Hinweis: Falls Probleme beim Ausführen von addsinfo auftreten (RPC Server nicht verfügbar), dann schaut doch mal ins Handbuch, unter dem Punkt( Fehlersuche / Troubleshooting) findet sich die Lösung.

Die Windows CA ist in der Lage Mails zu verschicken, um so über Vorgänge zu informieren. Beispielsweise wenn der Dienst beendet oder gestartet wird. Händisch ist die Konfiguration allerdings nicht ganz einfach. Daher habe ich ein Script aus dem Technet leicht abgewandelt, sodass es auch funktioniert, wenn die CA noch keine Zertifikate ausgestellt hat. Einfach die Zeilen 4 bis 6 entsprechend anpassen und in der CMD ausführen. Wenn die CA schon Zertifikate ausgestellt hat und die E-Mail Benachrichtigungen nachträglich eingerichtet werden, können die Zeile 16 bis 19 entfernt werden, da die entsprechenden Registry Werte schon existieren.

Hier kann das Script runtergeladen werden:

CA SMTP Alerts 1.45 KB

CA SMTP Alerts

Dieses Problem kennen wahrscheinlich einige: Benutzer ruft beim Helpdesk an, da sein Postfach voll ist. Löschen geht natürlich nicht, denn auch die 10 Jahre alten Mails könnte man ja noch einmal brauchen. Diskutieren meist zwecklos, also wird das Limit für das Postfach erhöht. Ziemlich ungeduldig meldet sich der Benutzer jetzt alle 15 Minuten beim Helpdesk, denn Outlook zeigt immer noch ein volles Postfach.

Der Hintergrund ist folgender: Der Exchange Server cached die Limits für die Postfächer/Datenbanken und liest neue Limits nicht permanent bzw. sofort ein. In der Standard Einstellung beträgt dieser Wert 2 Stunden. Dies gilt für Exchange 2007, 2010 und 2013. Innerhalb der 2 Stunden ruft der Benutzer also ein paar Mal an…

Damit die neuen Limits sofort wirksam werden, könnte man den Dienst „Microsoft Exchange-Informationsspeicher“ neustarten, was allerdings zur Folge hat, dass die Datenbanken offline sind, zumindest wenn keine DAG vorhanden ist.

Der Benutzer muss sich also gedulden. Wer solche Fälle häufiger hat, kann aber den Intervall des Cache (Quota Cache) anpassen. Dazu müssen in der Registry zwei Werte geändert bzw. hinzugefügt werden:

Unter dem Schlüssel „[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem] “ müssen folgenden DWORDs hinzugefügt werden:

• „Reread Logon Quotas Interval“
• „Mailbox Cache Age Limit“

Der dezimale Wert gibt die Cache Lebensdauer an, im Screenshot von oben also 1200 Sekunden, was 20 Minuten entspricht. In der Standardeinstellung (auch wenn der Eintrag fehlt) liegt der Wert bei 7200 Sekunden. Der von Microsoft empfohlene Wert liegt bei 20 Minuten. Damit die Änderungen wirksam werden, muss ebenfalls der Dienst „Microsoft Exchange-Informationsspeicher“ neugestartet werden. Bei Umgebungen mit nur einem Exchange Server also wahrscheinlich während des Tagesgeschäfts nicht ohne weiteres möglich. Der Benutzer muss sich also gedulden…

In einer Umgebung mit DAG, müssen die Einstellungen auf jedem Mailbox Server vorgenommen werden, hier lassen sich auch die Datenbanken entsprechend schwenken, um nach und nach bei allen Servern den Registry Wert zu ändern.

Nettes Problem / Feature: Bei VMware Horizon View / VMware vSphere sind Netzwerkkarten und SCSI Controller per Default HotAdd und HotPlug fähig. Eigentlich ganz nett, aber manchmal nicht gewünscht. Zum Beispiel bei VMware View: Klickfreudige Benutzer können hier nämlich die Netzwerkkarte entfernen, welches einen, nennen wir es mal, „negativen Impact“ auf die Verbindung zu seiner VM hat.

Das Verhalten ist auch bei VMware dokumentiert:

http://kb.vmware.com/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=1012225

Dort steht auch gleich die Lösung: Der Parameter „devices.hotplug“ muss in der VMX-Datei auf „false“ gesetzt werden. Bei einer größeren Anzahl VMs ist das allerdings etwas mühselig. Daher hier der Weg per PowerCLI:

$key = "devices.hotplug"
$value = "false"

$vmConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
$vmConfigSpec.extraconfig += New-Object VMware.Vim.optionvalue
$vmConfigSpec.extraconfig[0].Key=$key
$vmConfigSpec.extraconfig[0].Value=$value
Get-VM | Get-View | foreach {$_.ReconfigVM($vmConfigSpec)}

So lassen sich alle VMs während der laufenden Betriebs entsprechend anpassen. Damit die Änderung wirksam wird, muss allerdings die VM einmal runtergefahren und wieder gestartet werden. Ein Neustart des Gastes reicht nicht aus.

Exchange 2013 Message Tracking GUI is now also available in english language

You can download the archive with german, french and english translation below:

Exchange 2013 Message Tracking GUI 13.91 KB

Exchange 2013 Message Tracking GUI

Der Beitrag Exchange 2013: Message Tracking GUI (English) erschien zuerst auf Franky's Web.

Gerade habe ich die Version 2.6 des Exchange Reporters hochgeladen. Es sind wieder einige neue Funktionen und Module dazu gekommen. Es wird jetzt auch Office 365 unterstützt, sowohl als Hybrid Scenario also auch ausschließlich  Office 365. Ebenfalls gab es mehrere Fehlerkorrekturen. Hier ist das Changelog:

• Neue Funktionen
• Office365 wird nun unterstützt (siehe Modul o365report.ps1)
• Einstellung in settings.ini wenn nur Office365 verwendet wird
• redirectreport.ps1: Anzeige von Um- oder Weiterleitungen die am Exchange Server eingestellt wurden
• Anzahl anzuzeigender Werte für die Top Listen konfigurierbar (Top 10 Empfänger, etc)
• Neues Modul
• o365report.ps1: Office 365 Reports / Statistiken
• rblreport.ps1: Testet 78 Blacklisten ob die eigenen IPs gelistet sind
• mxreport.ps1: Zeigt Informationen zu den MX und SPF Einträgen und führt einen Verbindungstest durch
• Neues 3rdParty Modul von Ralph Andreas Altermann & Florian Heller, Alfru GmbH – IT.Systems
• pfreplreport.ps1: Erweiterte Informationen zu Öffentlichen Ordern und deren Replikationsstatus
• Bugfixes
• Dokumentation überarbeitet
• Module können mittels vorangestellten „;“ (Semikolon) auskommentiert werden
• Es können mehrere Empfänger in der Settings.ini angegeben werden (getrennt durch „,“ Komma)
• Falscher Name für Grafik des bpreports

Ralph Andreas Altermann von der Alfru GmbH hat mich wieder tatkräftig unterstützt und sogar ein 3rd Party Modul beigesteuert. Er war sich auch nicht zu schade die Doku aufzuhübschen, dafür ein besonderer Dank!

Hier geht es zum Download:

Exchange Reporter 1.32 MB

Exchange Reporter

Der Beitrag Exchange Reporter 2.6: Neues Release erschien zuerst auf Franky's Web.

Ressourcenpostfächer sind sehr beliebt um das Buchen von Besprechungsräumen oder Firmenwagen zu ermöglichen. Mit Exchange 2013 und auch Exchange 2016 ist es sogar noch etwas einfacher geworden, die Räume zu verwalten.

Hier gibst ein kleines Howto, welches mit Exchange 2013 und Exchange 2016 funktioniert (Für Exchange 2010 gibts das Howto hier)

Zunächst wird via ECP ein neues Raumpostfach angelegt

Dem Raum wird ein entsprechender Name und Alias gegeben, hier können auch weitere Details angegeben werden, zum Beispiel die Telefonnummer wenn der Raum über ein Telefon verfügt, oder auch die Kapazität. In diesem Beispiel 5, die Angabe der Kapazität führt dazu, das Termine mit mehr Personen abgelehnt werden.

Sobald das Postfach angelegt ist, können die Buchungsoptionen konfiguriert werden, hier lässt sich beispielsweise festlegen, wie weit im Voraus der Raum gebucht werden darf oder wie lange ein Termin sein darf. Die Einstellungen sind aber optional, die Buchungsautomatik ist per Default eingeschaltet.

In Outlook taucht der Raum im Terminplanungsassistent auf und kann gebucht werden.

Der Besprechungsraum bestätigt Termine automatisch, so lange es zu keinen Konflikten kommt. Der Organisator des Termins wird per Mail informiert, ob der Raum erfolgreich gebucht werden konnte

Der Raum lässt sich auch zur besseren Übersicht als Kalender in Outlook einbinden, dies war bei Exchange 2010 nicht ganz so einfach:

In der Standard Einstellung sehen die Benutzer nur das es einen entsprechenden Termin gibt, alle anderen Informationen, sind nicht direkt einsehbar:

Über das Ändern der Berechtigungen auf dem Kalender des Postfachs lässt sich das aber anpassen. Auch macht es oft Sinn eine Art Manager für die Räume zu definieren, der im Konfliktfall Termine umschichten kann. Die entsprechenden Rechte zum Absagen von Terminen und zur Einsicht können einfach per Management Shell vergeben werden:

Get-MailboxFolderPermission besprechungsraum:\calendar | Add-MailboxFolderPermission -User administrator -AccessRights Editor

In diesem Beispiel bekommt der Benutzer Administrator „Bearbeiter“ Rechte, welches es ihm ermöglicht den Raum zu verwalten.

Jetzt sieht der Benutzer alle Details zu den Terminen und kann bei Bedarf die Termine auch absagen.

Ein weiteres nettes Feature ist das Anpassen der Buchungsbestätigung, hier lässt sich ein entsprechender Text für den Organisator hinterlegen:

Zum Beispiel ein Link zu einer internen Webseite, auf dem der Organisator Kaffee und Kekse ordern kann, oder der Hinweis „Wehe wenn du nicht aufräumst…“

Hier bietet sich natürlich SharePoint oder ähnliches an…

Der Beitrag Exchange 2013/2016: Raumpostfächer anlegen und verwalten erschien zuerst auf Franky's Web.

Das Problem gehört hier eigentlich nicht her, aber vieleicht hilft es ja trotzdem jemanden weiter. Problem ist folgendes. Wird die F5 iApp für VMware View eingesetzt und entsprechend für 2-Faktor Authentifizierung erweitert, erscheint eine „Benutzer Name oder Passwort falsch“ Meldung zwischen den beiden Abfragen. Hierbei handelt es sich um einen Bug der durch den F5 Support bestätigt wurde:

The issue you are affected by is ID526275 VMware View RSA/RADIUS two factor auth fails. The fix will be introduced in the next HF rollup, I have been informed there is an engHF available. Let me if you are ok to wait for HF6 for 11.6.0 or want an engHF on top of HF5, as far as I know HF6 should be released at the end of September.

Es gibt aber zumindest einen Workaround der solange genutzt werden kann, bis der Hotfix verfügbar ist. In der Access Policy kann die AD-Logon Page entfernt werden und nur das OTP oder die Radius Überprüfung durch die APM durchgeführt werden. Die Authentifizierung gegenüber Active Directory übernehmen dann die View Verbindungsserver. Die Access Policy sollte also in etwa so aussehen:

Wir ihr sehen könnt, wird nur die OTP Authentifizierung durchgeführt, kein AD-Logon, was allerdings den Nachteil hat, das auch keine Active Directory Gruppen abgefragt werden können. Ich hoffe der Hotfix behebt das Problem.

Falls beim bearbeiten der AccessPolicy ein Fehler auftritt, bitte sicherstellen das „Strict Updates“ deaktiviert sind:

Der Beitrag F5 APM: 2-Faktor Authentifizierung mit VMware View 6 nicht möglich erschien zuerst auf Franky's Web.

Microsoft hat sein neues Tool „Advanced Threat Analytics“ (ATA) freigegeben. Grund genug das neue Werkzeug mal zu auszuprobieren. ATA kann hier in einer 90 Tage Demo runtergeladen werden:

https://technet.microsoft.com/de-de/evalcenter/mt228154

Übrigens gibt es auch einen Schlüssel im MSDN Abo:

Ich teste das ganze in auf meiner Hyper-V Spielwiese. Die ATA VM benötigt 2 Netzwerkkarten, außerdem muss der Netzwerktraffic des Domain Controllers zur ATA VM gespiegelt werden:

ATA VM:

Domain Controller:

Aber nun zur Installation:

Ich verwende zum Testen Self Signed Zertifikate:

Nach dem Neustart des Servers geht die Installation weiter.

Nach dem Klick auf „Starten“ öffnet sich der Internet Explorer:

Hier kann sich mit dem Domain Administrator angemeldet werden, dann geht es mit der Konfiguration los:

Nachdem Benutzer und Passwort eingetragen wurde, kann das ATA Gateway Setup runtergeladen und installiert werden. Das ATA Gateway habe ich zum Test auf dem gleichen Server installiert:

Nach kurzer Zeit sollten ein paar Objekte erkannt worden sein:

Jetzt erst einmal testen

Der Beitrag Microsoft Advanced Threat Analytics erschien zuerst auf Franky's Web.

Heute gibt es mal wieder ein nützliches PowerShell Script, mit dem remote Benutzer zu lokalen Gruppen auf Servern oder Rechnern hinzugefügt werden können. Das Script erwartet eine CSV Datei mit Rechnernamen und arbeitet dann die Liste ab. Die CSV Datei muss wie folgt formatiert sein:

Ein Beispiel liegt dem Archiv bei. Die ersten 5 Zeilen des Scripts müssen entsprechend angepasst werden:

Zeile 1 enthält den Active Directory Domain Namen, Zeile 2 den Benutzernamen der zur Gruppe in Zeile 3 hinzugefügt werden soll. In Zeile 4 der Pfad zur CSV-Datei mit den Rechnernamen. In Zeile 5 der Pfad zum Logfile. Das Logfile enthält später die Rechnernamen und den Status (Erfolgreich / Fehler).

Hier kann das Script runtergeladen werden:

PowerShell Benutzer zu Gruppen hinzufügen 0.69 KB

Download

Der Beitrag Benutzer remote zu Gruppen hinzufügen erschien zuerst auf Franky's Web.

Hier mal wieder eine kleine Anleitung um den folgenden Fehler zu beheben:

432 4.3.2 STOREDRV.Deliver; recipient thread limit exceeded

Der Fehler tritt bei Exchange 2010 häufig bei Journal Postfächern auf, bzw. bei Datenbanken die ein Journal Postfach speichern. Gerade bei Journal Postfächern mit hoher Last kann es zu dem oben genannten Fehler kommen.

Hier kann es helfen die Maximalen gleichzeitigen Threads pro Postfach und Datenbank anzuheben. Dazu müssen die folgenden beiden Zeilen in der Datei „EdgeTransport.exe.config“ hinzugefügt werden:

<add key=“RecipientThreadLimit“ value=“2″ />
<add key=“MaxMailboxDeliveryPerMdbConnections“ value=“3″ />

Die Datei EdgeTransport.exe.config befindet sich unter folgendem Pfad:

C:\Program Files\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe.config

Achtung: In dem Verzeichnis finden sich 2 Dateien mit ähnlich Namen.

Nach der Änderung muss der Dienst „Microsoft Exchange Transport“ neugestartet werden. In der Standardeinstellung beträgt der Wert für RecipientThreadLimit 1 und MaxMailboxDeliveryPerMdbConnections 2. es ist nicht empfohlen, bzw. nicht supported die Werte noch höher einzustellen.

Der Beitrag Exchange 2010: 432 4.3.2 STOREDRV.Deliver; recipient thread limit exceeded erschien zuerst auf Franky's Web.