-
Disaster Recovery Konzepte
-
In der Novemberausgabe des IT-Administrators habe ich einen Artikel über Disaster Recovery Konzepte für Exchange 2003 – 2010 veröffentlichen dürfen. Für alle die schon mal in einer Disaster – Situation waren oder diese gerne vermeiden möchten finden sich dort sicher interessante Anregungen.
Viele Grüße
Walter Steinsdorfer
-
Exchange 2007 auf Windows Server 2008 R2
-
Entgegen bisherigen Aussagen wird es nun in Kürze doch Support für eine Installation von Exchange 2007 auf Windows Server 2008 R2 geben. Offensichtlich gab es sehr viele Kunden die sich das von Microsoft gewünscht hatten. Mehr Informationen dazu hält das Exchange Teamblog bereit unter http://msexchangeteam.com/archive/2009/11/04/453026.aspx .
Viele Grüße
Walter Steinsdorfer
-
Iphones vom Exchange aussperren?
-
Relativ viele IPhone User werden wohl ihr Iphone wegen der sonst vorhandenen Einschränkungen “Jailbreaken”. Das Problem bei diesen IPhones ist das dort ein SSH-Zugang mit bekanntem Passwort für den root-User installiert wird. Die meisten IPhone – Inhaber sind sich des Problems wahrscheinlich gar nicht bewußt. Greift man nun remote auf ein IPhone per SSH zu ist man dort Admin. Da auf vielen IPhones auch ein Active Sync Konto für Exchange eingerichtet ist kann ein Angreifer sich darüber sehr schnell und einfach Zugang zu allen Emails des betroffenen Benutzers verschaffen. Werden die gleichen Anmeldecredentials auch für den VPN-Zugang verwendet kommt der Angreifen sehr schnell an Firmeninternas. Wie ich gehört habe wird das “schicke” Iphone häufig auch von Vorständen benutzt.
Die einzige sichere Abhilfe zur Zeit: Die externen Zugänge der betroffenen Benutzer sperren, den Jailbreak rückgängig machen, das Passwort des Benutzers ändern und das IPhone neu mit Software bestücken (Natürlich sollte der User sein neues Passwort nicht mehr auf dem IPhone eingeben!)
Der Angreifer braucht übrigens nur einen Portscanner und einen SSH-Client um erfolgreich zu sein. Weil es so einfach ist auf dem Iphone einzudringen werden es wahrscheinlich auch relativ viele “Hacker” versuchen. Etwas mehr Vorsicht in den nächsten Tagen ist also angebracht.
Viele Grüße
Walter Steinsdorfer
-
E-Book zu Exchange 2010 erschienen
-
Von Jaap Wesselius, MVP für Exchange Server ist ein englisches E-Book für Exchange 2010 erschienen. Wenn man sich registriert kann man es im PDF-Format kostenlos herunterladen:
http://www.red-gate.com/specials/Exchange/esa_exchange2010.htm?utm_source=simpletalkarticle&utm_medium=weblink&utm_content=2010ebookoct09
Viele Grüße
Walter Steinsdorfer
-
Support Policy für Database Availability Group geändert!
-
Letzte Woche wurden in der Newsgroup noch Fragen zur Database Availability Group gestellt. Stand bis heute war das man für eine von Microsoft Pss unter stützte Umgebung mindestens 2 Netzwerke /Netzwerkkarten benötigt. Überraschend hat Microsoft diese Support Policy heute geändert. Für Exchange Database Availability Groups ist ab sofort nur noch eine Netzwerkkarte pro Mailboxserver notwendig! Das bedeutet weniger Streß bei der Konfiguration und eine deutliche Vereinfachung bei der Einrichtung.
Update: Microsoft hat zwischenzeitlich auch die Produktdokumentation im Technet angepasst. Hier kommt ihr zur entsprechenden Seite. Vielen Dank an Marc Jochems für den Hinweis.
Viele Grüße
Walter Steinsdorfer
-
Adobe Patched Lücke in Acrobat Reader 9.1.x
-
neben dem Microsoft Patchday gab auch Adobe ein Update für den Adobe Reader heraus. Dieses Update schließt Lücken über die DOS – Angriffe oder verschiedene Buffer overflows ausgeführt werden können. Das Update sollte unbedingt eingespielt werden, der Adobe Reader hat dann die Versionsnummer 9.2.
Viele Grüße
Walter Steinsdorfer
-
Oktober Patchday!
-
es ist wieder soweit, Microsoft hat gestern abend wieder einige Sicherheitsupdates freigegeben. Das aktuelle Security Bulletin findet ihr unter http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-oct.mspx
Es sind einige kritische Updates vorhanden die Remotecodeausführung verhindern, diese sollten unbedingt eingespielt werden. Insbesondere auf den SMB-Patch möchte ich verweisen, hier gibt es ja bereits Beispielcode wie die Lücke ausgenutzt werden kann. Wer diesen Patch nicht sofort einspielen möchte kann auch per Gruppenrichtlinie SMBv2 ausschalten (siehe Screenshot).
Viele Grüße
Walter Steinsdorfer
-
Exchange 2010 ist RTM
-
Let´s party! Die Exchange Produktgruppe hat es gerade auf dem Exchange Team Blog veröffentlicht: Exchange 2010 ist RTM!
Es wird zwar noch ein paar Tage dauern bis zur Allgemeinen Verfügbarkeit, aber der erste wichtige Schritt ist getan, es gibt ein zur Produktion fertiges Release. Gratulation an die PG zu einem so guten Produkt!
Viele Grüße
Walter Steinsdorfer
-
Schema Erweiterung auf Windows Server 2008 R2 bei bestehender Exchange 2003 – Org.
-
Das war sicher eine der interessantesten Anmerkungen/Fragen auf der gestrigen Launch – Veranstaltung. Bei einer Exchange 2003 – Organisation im Active Directory Forest ist es nicht supportet, die Schemaerweiterungen für Active Directory 2008 R2! einzuspielen den Forest Functional Level auf Windows Server 2008 R2 anzuheben. Eine genaue Begründung habe ich dafür noch nicht gefunden, aus der Support Matrix geht aber dieser Punkt genau hervor.
Bevor also das Schema auf Windows Server 2008 R2 upgedatet wird und der Forest Functional Level danach angepasst wird, muß die Exchange-Organisation mindestens auf Exchange 2007 laufen.
Viele Grüße
Walter Steinsdorfer
-
Rights management Service Connection Point
-
Auf der gestrigen Launch – Veranstaltung kam unter anderem die Frage nach dem Service Connetion Point von Rights management Services auf. Dieser Connection Point wird dazu verwendet um die Konfiguration von RMS den Clients zugänglich zu machen. Mittels ADSIEdit kann man sich zu der Konfigurationspartition verbinden und unterhalb von Services den Punkt “RightsmanagemenServices” finden.Mittels dieses Eintrags können sich die RMS-Clients (ab Vista onboard und mit Office Professional Plus nutzbar) mit dem Server verbinden und die für die Verschlüsselung und Authentifzierung nötigen xml-Zertifikate am RMS-Server abholen.
Viele Grüße
Walter Steinsdorfer
-
Online – Mailbox Moves
-
Mit Exchange 2010 hält ein neues Feature Einzug in der Exchange – Organisation das vor allem die Administratoren begeistern wird die schon desöfteren Nachts oder am (verlängerten) Wochenende massenhaft Mailboxen von einem Exchange-Server auf den nächsten transferiert haben: Online Mailbox Moves.
Wie funktioniert das: Der Inhalt der Mailboxen wird währende der Benutzer auf seiner ursprünglichen Mailbox weiterarbeitet kopiert. Während des Umzuges der Usermailbox eingehende Elemente werden auch auf die neue Mailbox übertragen und sind dort nach dem Umzug sichtbar. Der Benutzer erhält nach dem erfolgreichen Umzug eine kurze Meldung das er bitte Outlook kurz neu starten soll. Mit der neuen Methode können damit Downtimes für den Benutzer (und Nachschichten für den Administrator) auf ein Minimum verkürzt werden.
Welche Versionen supporten den Online – Move: Ursprünglich war angedacht es nur in Exchange 2010 zu unterstützen. Das neue Feature hat es jetzt aber doch in Exchange 2007 Sp 2 geschafft, wie auf der in der Hilfe enthaltenen Tabelle zu ersehen ist:
| Moving From - To | Online | Supported |
| Exchange 2010 to Exchange 2010 | Yes | Yes |
| Exchange 2007 SP2 to Exchange 2010 | Yes | Yes |
| Exchange 2007 SP1 to Exchange 2010 | No | Not supportet |
| Exchange 2003 Sp2 to Exchange 2010 | No | Yes |
| Exchange 2003 Sp1 to Exchange 2010 | No | Not supportet |
| Exchange 2010 to Exchange 2007 SP2 | No | Yes |
| Exchange 2010 to Exchange 2003 | No | Yes |
| Exchange 2010 to Exchange 2003 | No | Yes |
Wo ist das “move-mailbox” – cmdlet?
Das move – mailbox cmdlet wurde abgelöst. Es wurde durch das cmdlet “new-moverequest” ersetzt. Eine ausführliche Dokumentation wie das Umziehen von Mailboxen funktioniert findet sich im Technet unter http://technet.microsoft.com/de-de/library/dd298174(en-us,EXCHG.140).aspx.
Viele Grüße
Walter Steinsdorfer
-
Exchange User Group Meeting am 09.10.2009-Einladung und Agenda
-
Wer darf kommen? Jeder der zum Treffen angemeldet ist. Ihr könnt auch gerne Kollegen mitbringen, bitte diese in der Anmeldung nicht vergessen.
Wo melde ich mich an?
Bitte einfach eine Email mit einem Aussagekräftigen Betreff an wstein@inet-service.com schicken.
Das Treffen findet statt bei
Microsoft Deutschland GmbH, Unterschleißheim
Hier die offizielle Wegbeschreibung: http://www.microsoft.com/germany/unternehmen/informationen/gmbh_profil/niederlassungen/muenchen.mspx?m=1
Das Usergroup-Meeting findet im Raum Erde statt, für das leibliche Wohl ist gesorgt.....
Die Agenda:
18:00 Uhr-18:30 Uhr Registrierung, Begrüßung
18:30 Uhr-19:30 Uhr Hochverfügbarkeit unter 2010, die DAG
19:30 Uhr Networking
20:00 Uhr -20:45 Uhr Powershell
20:45-21:15 Networking
21:15-21:45 Der Active Sync Simulator
am Ende: Wann treffen wir uns wieder, welche Themen wollen wir besprechen?
Wir freuen uns über zahlreiches Erscheinen und lebhafte Diskussionen. Bitte meldet euch umgehend an, damit wir ausreichend Essen bereitstellen können.
Das Exchange Usergrouptreffen findet ohne Eintrittsgebühren statt.
Viele Grüße
Walter Steinsdorfer + Andy Rath
-
Nächstes Exchange – Usergroup Meeting am 09.10.09 in Unterschleißheim
-
Das nächste Exchange User Group Meeting wird am 09. Oktober in Unterschleißheim bei Microsoft stattfinden. Anmeldungen können ab sofort an mich per Email geschickt werden. Die Agenda und weiter Informationen werden voraussichtlich ab morgen veröffentlicht.
Viele Grüße
Walter Steinsdorfer
-
Warum braucht man eine Empfängerprüfung?
-
Recht häufig kommen in der Newsgroup Anfragen wie “Meine Warteschlange läuft voll”, “Mein Exchange verschickt lauter NDR´s”. Meistens dauert es recht lange bis alle Emails rausgehen und die Warteschlange ist relativ voll.
Der Hintergrund liegt oft in der fehlenden Empfängerprüfung. Die Kommunikation im Internet ist in “Request for Comments”, kurz RFC´s festgelegt. Für SMTP-Verkehr ist das inzwischen schon einige Jahre alte, aber immer noch gültige RFC 2821 relevant. Dort wurde festgelegt, das die Delivery Status Notification, in den meisten Fällen wohl ein “non delivery Report”, kurz NDR vom sendenden Mailserver erstellt wird solange die Kommunikation des Data-Anteils in der Email noch nicht abgeschlossen ist. Dieser endet mit einem einzelnen Punkt auf einer leeren Zeile. Wie man Emailkommunikation auf der Kommandozeile nachstellt hat Frank Carius hier sehr gut beschrieben.
Ist nun in der Exchange – Organisation (ab Version 2003) die Empfängerprüfung deaktiviert prüft Exchange das Vorhandensein der SMTP-Adresse erst mit dem Zustellversuch in das Postfach des Empfängers, also zu einem Zeitpunkt wo die SMTP-Kommunikation bereits beendet ist. In dieser Einstellung werden alle Emails angenommen für die die Exchange-Organisation zuständig ist. Nun ist Exchange für die Erstellung eines NDR´s zuständig. Der Nachrichtenversender hat, da es sich meistens um Spam handelt auch keine gültige Absenderadresse angegeben oder eine die jemand anderem gehört. Im ersten Fall wird Exchange versuchen die Nachricht loszuwerden und es erst aufgeben wenn die vom Administrator angegebene Zeit (per Default 2 Tage) angegeben ist oder die Nachrichten gelöscht werden. Im 2. Fall, das jemandem die Sendeadresse gehört der nicht der Spammer ist wird man wahrscheinlich einen Anruf des anderen Emailadministrators erhalten warum denn NDR´s verschickt werden wenn man gar nicht der Absender war.
Bei eingeschalteter Empfängerprüfung wird das nicht passieren. Hier wird bereits während der andere Mailserver den Empfänger angibt (“rcpt to:”) geprüft ob die Adresse im Active Directory vorhanden ist. Im negativen Fall muß der sendende Mailserver dann den NDR selbst erstellen, der Exchange gibt einfach die Meldung “550, Recipient unknown” aus.
Betreibt man keinen Edge-Server müssen auf der Hub-Transport-Rolle die Anti-Spam Eigenschaften nachinstalliert werden. Das Skript dazu findet sich im Exchange – Installationsverzeichnis unter “Skripte”.
Im nebenstehenden Bild kann man sehen wie die Empfängerprüfung global aktiviert wird.
Einige besorgte Administratoren werden vielleicht fragen ob es denn jetzt möglich ist mit einem Wörterbuchangriff die gültigen Emailadressen herauszufinden. Im Prinzip lautet die Antwort “ja”, aber Microsoft hat noch eine Verzögerung eingebaut. Bei der Abfrage einer ungültigen Empfängeradresse werden erst nach dem das Tarpit-Intervall abgelaufen ist wieder Antworten zugelassen. Bei Exchange 2007 ist das per Default auf 5 Sekunden eingestellt, bei Exchange 2003 muß es nachträglich konfiguriert werden. 5 Sekunden ist zwar nicht viel, eignet sich aber um Wörterbuchangriffe zu verhindern und einige Tausend Emailadressen pro Minute abzuprüfen.
Viele Grüße
Walter Steinsdorfer
-
Discuss und Discover
-
Ebenso wie auf der Microsoft Joint Launch Roadshow werde ich auf der Discuss und Discover am 20.10.2009 im Ask the Expert – Team für Fragen und Antworten zur Verfügung stehen. Ich freue mich schon auf die ATE-Kollegen und viele Diskussionen um alle neuen Exchange 2010 – Funktionen.
Viele Grüße
Walter Steinsdorfer
-
Microsoft Joint Launch Roadshow 2009
-
Wie ich bereits einmal geschrieben habe findet am 7.10 in München die Joint Launch Roadshow von Microsoft statt.Ich werde als Ask the Expert zur Verfügung stehen und alle Fragen zu Exchange 2010 (wer eine Frage zu vorherigen Versionen hat auch gerne) beantworten. Wie ich gehört habe ist die Veranstaltung leider schon ausgebucht, kurzentschlossene können sich leider nicht mehr anmelden. Eventuell sehen wir uns ja dafür bei einem anderen Event.
Viele Grüße
Walter Steinsdorfer
-
Wie werde ich Admin?
-
Mark Heitbrink, MVP für Gruppenrichtlinien hat auf seiner Webseite ein neues, sehr interessantes How to veröffentlicht wie man sich mit einfachen Mitteln vom normalen Benutzer zum Admin macht. Ich hoffe das der Artikel ein Anstoß für die Enwickler der unter den auf der Trostpreis – Seite genannten Programme ist diese sicherer zu gestalten.
Viele Grüße
Walter Steinsdorfer
-
Buchempfehlung: Erfolgreiche Portalprojekte mit Microsoft Sharepoint
-
Ich habe gerade das im Titel genannte Buch gelesen und kann es jedem, der ein Sharepoint-Projekt beginnt nur ans Herz legen. Das Buch geht nicht auf die technischen Probleme ein, sondern zeigt auf welche Fallstricke es bei der Einführung einer Collaborationsplattform sonst noch geben kann. Es richtet sich nicht nur an Berater, sondern auch an IT-Leiter oder Projektleiter die ein solches Projekt in Angriff nehmen wollen. Das Buch ist bei Microsoft Press erschienen, hier geht es zur Bestellung.
Viel Spass beim Lesen
Viele Grüße
Walter Steinsdorfer
-
Exchange Server 2007 Service Pack 2 UM-Rolle und die Sprachpakete
-
vor einigen Tagen erreichte mich die Anfrage ob es denn für das Service Pack 2 von Exchange 2007 auch neue Sprachpakete würde. Die Sprachpakete für die UM – Rolle unter Service Pack 1 sind unter http://www.microsoft.com/downloads/details.aspx?FamilyID=18426838-7733-4712-8b98-d6d1fd8c2310&displaylang=en erhältlich. Unter Service Pack 1 können die Sprachpakete für die Unified Messaging Rolle wie folgt nachinstalliert werden: Man ruft in der Powershell setup.com mit dem Parameter /addumlanguagepack auf. Als Parameter gibt man den Namen und mit /s: den Pfad zum msi-Packet mit. 
Auf dem Screenshot ist die Installation eines deutschen Sprachpaketes zu erkennen. Die graphische Oberfläche im ESM gibt unter Serverkonfiguration, UM-Rolle, Eigenschaften des Servers, UM-Einstellungen die installierten Sprachpakete preis.
Beim Starten des Updates mit Setups von Exchange Server 2007 Service Pack 2wird man dann allerdings nach der Prüfung der Voraussetzungen dazu Aufgefordert die Sprachpakete zu deinstallieren. Die Sprachpakete wird man so ähnlich los wie man Sie installiert hat. In der Powershell “setup.com /removelanguagepack:de-de” eingegeben deinstalliert das deutsche Sprachpaket von der UM-Rolle. Vor der Installation von Service Pack 2 sind so alle Sprachpakete außer dem Englischen (bei einem Englischen Exchange Server) zu entfernen. Erst danach ist die Installation des Service Packs ohne weiter Probleme möglich.
Wie bekomme ich aber nach der Installation von Service Pack 2 die Sprachpakete wieder auf den Rechner? Die Sprachpakete für Exchange Server 2007 Service Pack 2 sind im Downloadcenter hier zu finden. Um die Pakete zu installieren einfach an der Powershell “setup.com /AddUmLanguagePack:de-DE /sourcedir:c:\install\languagePacks” eingeben und das oder die Sprachpakete installieren. Nach der Installation funktioniert dann die Steuerung der Exchange – Box wieder in der gewohnten Sprache.
Viele Grüße
Walter Steinsdorfer
-
Support-Matrix für Exchange
-
Microsoft hat eine Support-Matrix für alle derzeit noch unterstützten Exchange Versionen herausgegeben. Hier kann man auch genau nachlesen auf welchem Betriebssystem welche Version unterstützt wird, welches .net Framework vorhanden sein muß und mit welcher Internet Explorer Version OWA funktioniert. Hier gehts zur Matrix.
Viele Grüße
Walter Steinsdorfer