Search results for 'app:weblogs' matching tag 'Active Sync'

Where is my Mango…

Wstein — Tue, 27 Sep 2011 05:00:00 GMT

nachdem ich vor ein paar Tagen schon über den hoffentlich bald beginnenden Rollout von Windows Phone Mango geschrieben habe bin ich gerade wieder auf einen Blogeintrag von Eric Hautala von heute gestossen: http://windowsteamblog.com/windows_phone/b/windowsphone/archive/2011/09/27/windows-phone-7-5-mango-update-begins.aspx

Darin kann man folgendes lesen:

Why don’t we just blast it out?

It’s a fair question. Delivering Windows Phone 7.5 simultaneously to so many phone models and carriers requires the right engineering balance. Speed is a priority—but so is quality. We’re not just delivering our new operating system but also new software supplied by individual handset makers. This “firmware” is necessary so your phone—and apps—work with all the features of Windows Phone 7.5. But it essentially means that we’re supplying not just one update, but many different ones, given the variety of Windows Phones and carriers out there to choose from.

If a problem comes to light, it’s critical that we can isolate and fix it quickly. So we’re deliberately starting out slow. This week, we’ll be making the update available to 10 percent of customers. If everything looks good, we’ll open up the spigot a bit more—to around 25 percent. We’ll hold there for one or two weeks, then quickly ramp up to 100 percent—monitoring quality the entire way. That’s how we ensure Mango arrives both quickly and in tip-top shape.

Es kann also durchaus noch einige Wochen dauern bis Mango auf dem Windows Phone angekommen ist. Also üben wir uns noch ein wenig in Geduld, so ewig lang ist ja da nicht mehr hin.

Viele Grüße

Walter Steinsdorfer

Migration auf Exchange 2010 Notes from the field

Wstein — Tue, 30 Nov 2010 06:00:00 GMT

Bei der Migration auf Exchange 2010 gibt es einige Fallstricke die man “erleben” kann. In einige wird man reinlaufen, weil man eben nicht alles im Testlabor abbilden kann. Einige Dinge die es zu beachten gibt stelle ich hier mal in Kurzform dar:

Outlook 2003 auf Citrix/Windows Terminalserver	Outlook 2003 erwartet bei einigen Aktionen (Löschen von Emails, Verschieben von Emails, neue Emails) eine UDP-Notification vom Exchange Server. Diese wurde bereits mit Exchange 2007 ausgebaut. Bis Outlook nach (defaultmäßig) 60 Sekunden pollt sieht es auf so aus als ob es hängt. Lokal fällt das nicht auf weil dort in der Regel die Inhalte in einer Pst-Datei liegen und Outlook diese lokal syncronisiert. Man kann das Verhalten beobachten wenn man OWA parallel zu Outlook öffnet und eine Email an das Postfach sendet, diese wird erst nach dem nächsten Pollingintervall sichtbar. Eine “Besserung” bietet das Heruntersetzen des Pollingintervalls, siehe auch http://support.microsoft.com/kb/2009942/en-us
Outlook 2003 benötigt Öffentliche Ordner!	Outlook 2003 benötigt Öffentliche Ordner für Frei/Gebucht Zeiten und den Download des Offline-Adressbuches. Entfernt man die Öffentlichen Ordner ist eine Verbindung von Outlook 2003 zu Exchange nicht mehr möglich.
Es lässt sich nur noch eine Shared Mailbox öffnen mit Outlook 2003	Dieses Verhalten tritt dann auf wenn die primäre Mailbox noch auf Exchange 2003 liegt und mehr als eine eingebundene Mailbox auf Exchange 2010 liegen. Hier hilft es einen Patch bei Microsoft anzufordern und auf allen Exchange 2003 Servern einzuspielen, siehe auch http://support.microsoft.com/kb/978777/en-us
Verteiler lassen sich nicht mehr über Outlook verwalten (gilt für alle Outlook – Versionen)	Unter Exchange 2010 wurde das Sicherheitsmodell etwas strenger getrennt. Unter Exchange 2003 und Exchange 2007 konnte man noch Universelle Sicherheitsgruppen und Universelle Verteilergruppen mit Outlook verwalten sofern man Manager der Gruppe war und das Recht “Manage Distribution Group Membership” hatte. Unter Exchange 2010 ist das nur noch für Domänenlokal oder universelle Verteiler unterstützt. Zudem muß der Benutzer die Rolle “MyDistributuiongroupManagement” (oder eine eigens gebaute Rolle die das erlaubt, wie das funktioniert zeige ich in einem eigenen Blogbeitrag) innehaben. Das Exchange-Team hat einen Artikel dazu veröffentlicht: http://msexchangeteam.com/archive/2009/11/18/453251.aspx
Mit Exchange 2010 Sp1 gibt es etliche Änderungen	Die Änderungen wurden vom Exchange Team in einem Blogbeitrag dokumentiert: http://msexchangeteam.com/archive/2010/09/01/456094.aspx Kleiner Hinweis: Wer einen Hardware Loadbalancer oder statische Ports aus einem anderen Grund verwendet sollte den Artikel unbedingt lesen!
Mit Outlook lassen sich nicht alle eingebundenen Kalender öffnen	Hier lohnt es sich einen Blick auf die Throtteling Policy zu werfen, übrigens auch wenn man Blackberry im Einsatz hat sollte man sich die Readme – Datei zu Sp1 durchschauen und sich über die eingestellten Werte zu informieren. Das nebenstehende Problem kann man etwas “abmildern” indem man den Wert –RCAMaxConcurrency auf 100 oder mehr setzt.

Ein paar mehr Dinge gibt es noch, ich hoffe das hier hilft schon mal einigen weiter.

Viele Grüße

Walter Steinsdorfer

3..2..1..meins… Windows Phone 7

Wstein — Thu, 11 Nov 2010 06:00:00 GMT

Amazon hat mein Windows 7 Phone nach 3,5 Wochen endlich aus dem Lager abgeschickt. Schlecht angelaufen? Hm, ich mußte ziemlich lange warten und bei der Telekom im Shop gab es auch keines mehr (ich hab mal gefragt bei insgesamt 3 T-Kom Läden in München). Insofern hätte man wahrscheinlich gar nicht mehr verkaufen können, es gibt ja keine. Und lange drauf warten will ja auch niemand, oder? Heute oder morgen soll es jedenfalls ankommen, bin schon sehr gespannt. Der Werbespot zu Windows Phone 7 gefällt mir trotzdem.

Windows Phone 7

Bin schon gespannt wie es sich für mich macht. Einige Dinge wie Copy und Paste (wird ja bald nachgeliefert) oder die Verwendung als Netzwerkkarte für meinen Rechner werde ich bestimmt vermissen, dafür sind Soziale Netzwerke besser integriert und man kann mehrere Active Sync Partnerschaften einrichten. Eine wichtige Funktion für all diejenigen die nicht immer mit 2 Kalendern (privat und geschäftlich) herumrennen wollen oder die Termine des einen Kalenders in den zweiten übertragen. Windows Phone 7 kann die Kalender zusammen darstellen. Ein echtes Must have für mich.

Viele Grüße

Walter Steinsdorfer

Anpassung von Outlook Web App 2010 Teil 1

Wstein — Mon, 18 Oct 2010 05:00:00 GMT

vielleicht wurde jemand von euch auch schon mal mit dem Wunsch eines Kunden konfrontiert, das über Outlook Web Access eine Änderung von Passwörtern nicht möglich sein soll. Welche Gründe auch immer dahinter liegen mögen (z.B. ein Metadir als zentrale Benutzerverwaltung), mit Exchange 2010 ist das relativ einfach möglich. Hier gibt es einige Möglichkeiten Outlook Web App nach Kundenwunsch zu konfigurieren und anzupassen. Für die Passwortänderung (und einige andere Features) ist das mit einer Mailboxpolicy möglich. Hierzu erstellt man eine neue Mailboxpolicy in der Organisationskonfiguration, Client Access, Outlook Web App Mailbox Policys und trifft dort die Einstellung disabled für “Change Password”

Jetzt muß man die Policy nur noch den entsprechenden Postfächern zuweisen. Die OWA-Mailbox-Policy wird über das cmdlet set-casmailbox festgelegt. Um zum Beispiel allen Mailboxen in einem bestimmten Standort (in meinem Beispiel im customAttribute13) die Policy zu verpassen wird folgendes eingegeben:

get-mailbox –resultsize unlimited | where {$_.customattribute13 –eq “WN”} | set-casmailbox –OwaMailboxPolicy “No Password”

Tipp: Wenn die Anzahl der Mailboxen in den vierstelligen Bereich geht kann “get-mailbox” schon mal länger dauern. Wer weiß das er an einem Tag noch mehr Einstellungen treffen muß der kann alle Mailboxen einfach einmalig in eine Variable einlesen und die immer wieder benutzen (sofern man das gleiche Powershell-Fenster offen läßt) :

$Mailboxen=get-mailbox

Für obiges Beispiel wäre der Powershell – Oneliner dann:

$Mailboxen | where {$_.customattribute13 –eq “WN”} | set-casmailbox –OwaMailboxPolicy “No Password”

Beim nächsten Anmelden in Outlook Web App sieht man dann recht schnell bei einem Blick auf die OWA-Optionen das die Passwortänderungsmöglichkeit dort nicht mehr vorhanden ist.

Tipp: Mit Service Pack 1 für Exchange 2010 kann der Benutzer sein Kennwort auch ändern wenn es bereits abgelaufen ist. Dafür darf dann über die Richtlinie die Möglichkeit zur Passwortänderung natürlich nicht abgestellt sein. Wie das funktioniert wurde von Norbert Fehlauer auf www.faq-o.matic.net unter folgendem Link beschrieben.

Über die Mailboxpolicys sind außerdem noch folgende OWA – Teile für eine Mailbox deaktivierbar:

Zugriff auf Active Sync (Statistik über Active Sync Devices und Rücksetzmöglichkeit)
Alle Adresslisten
Kalender
Journal
Kontakte
Junk-Mail-Filter
Erinnerungen und Benachrichtigungen
Notizen
Premium Client
Such – Ordner
Aufgaben
Theme-Auswahl
Um-Integration
Wiederherstellung von gelöschten Elementen
Instant Messaging
Text Messaging
S/Mime

Auf den Registerkarten “Public Computer File Access “ und “Private Computer File Access” kann man einstellen welche Daten der Benutzer auf den Computer herunterladen kann bzw. welche lediglich im Browser gerendert werden. Die Auswahl ob es sich um einen vertrauenswürdigen Computer handelt trifft allerdings der Benutzer bei der Verwendung von Formularbasierter Authentifizierung bei der Anmeldung.

Viele Grüße

Walter Steinsdorfer

Microsoft Exchange 2010 Supportability Matrix veröffentlicht

Wstein — Thu, 26 Aug 2010 05:00:00 GMT

Neben dem Service Pack 1 hat Microsoft nun auch für Exchange 2010 die Supportability Matrix veröffentlicht. Man kann dort nachschauen welche Produkte mit welcher Exchangeserverversion von Microsoft unterstützt werden. Wer sich also unsicher ist er für sein Produkt im Problemfall Hilfe erhält ist dort genau richtig. Der alte Link aus meinem früheren Blogeintrag sollte nicht mehr verwendet werden, die Seite wird wohl nicht mehr gepflegt.

Viele Grüße

Walter Steinsdorfer

Die Active – Sync Historie

Wstein — Tue, 13 Jul 2010 05:00:00 GMT

Adam Glick von Microsoft hat auf Wikipedia einen Artikel zur Geschichte von Active Sync veröffentlicht. Er beschreibt dort auch schon neue Features welche mit Exchange 2010 Service Pack 1 kommen werden:

GAL Photo: Photos welche im AD hinterlegt werden können auf dem Handy wiedergegeben werden (wie das geht, siehe Artikel von Ilse)
Message Diffs: Nur der noch nicht auf dem Smartphone vorhandene Teil der Nachricht wird übertragen (bei längeren Unterhaltungen auf Mailinglisten wichtig!)
Rights Management fürs Handy
Mehr Möglichkeiten der Zugangssteuerung für Exchange-Administratoren.

Die Active Sync Version mit Exchange 2010 Service Pack 1 wird dann 14.1 sein.

Viele Grüße

Walter Steinsdorfer

IPhone IOS4 und Exchange Active Sync

Wstein — Wed, 07 Jul 2010 05:00:00 GMT

Das Microsoft Exchange - Team hat einen Artikel veröffentlicht in dem die aktuellen Probleme der neuen IPHone-Software mit Active Sync angesprochen werden:

iOS 4 and Exchange ActiveSync

Viele Grüße

Walter Steinsdorfer

Microsoft Kin Phone ist da

Wstein — Mon, 12 Apr 2010 05:00:00 GMT

Na, neugierig geworden? Hier gibts mehr Infos: http://www.kin.com/

Viele Grüße

Walter Steinsdorfer

Hilfe, kein copy & paste mehr in Windows Mobile 7

Wstein — Fri, 19 Mar 2010 05:00:00 GMT

In dieser Woche kam ja auf mehreren Seiten (http://www.pcwelt.de/start/mobility_handy_pda/pda_smartphone/news/2340432/windows-phone-7-kann-kein-copy-paste/, http://www.zdnet.de/news/mobile_wirtschaft_windows_phone_7_kommt_ohne_copy_and_paste_story-39002365-41529101-1.htm) das Gerücht auf, das das neue Windows Mobile 7 Phone ohne copy und paste Funktion kommt. Für mich ein ziemlicher Hammer, wenn ich unterwegs bin nutze ich die Funktion doch relativ häufig (2-3 mal in der Woche). Ein Microsoft Mitarbeiter hat nun auf seinem Blog eine Umfrage dazu gestartet: http://blogs.technet.com/adhall/archive/2010/03/19/do-you-actually-use-copy-paste-on-your-phone.aspx . Nach dem Abstimmen erhält man das bisherig Ergebnis, welches Microsoft dann doch dazu bewegen sollte das Streichen dieser Funktion zu überdenken.

Die Anzahl der Votes ist zwar noch nicht überragend, aber das kann ja noch werden.

Viele Grüße

Walter Steinsdorfer

Exchange CAS in der DMZ?

Wstein — Sun, 21 Feb 2010 06:00:00 GMT

Es kommt öfters vor das es Fragen zu CAS-Servern in einer DMZ gibt. Gleich vorweg: Dieses Scenario ist nicht supportet von Microsoft. Warum das auch ganz gut so ist werde ich im folgenden ein wenig erläutern.

Die DMZ

Eine DMZ oder auch “demilitarisierte Zone” (siehe Wikipedia) hat den Sinn interne wichtige Dienste von denen die der Öffentlichkeit zugänglich gemacht werden sollen, also zum Beispiel Email oder Webseiten, zu trennen. Dadurch wird ganz enorm die Angriffsfläche für Hacker verringert.

Die Rolle Client Access Server von Exchange

Die CAS-Rolle ab Exchange 2007 ist für die Veröffentlichung des Mailboxzuganges für Outlook Web Access / Outlook Web App, Imap - Clients, POP3 – Clients und auch Active Sync Verbindungen zuständig. Ab Exchange 2010 kommt noch der Zugriff aller Outlook Benutzer hinzu. Um den Zugriff von extern zu ermöglichen scheint es im ersten Augenblick eine gute Idee zu sein die Rolle des CAS-Servers in einer DMZ unterzubringen. Ein Hacker der dort eindringt hätte in der Theorie keinen direkten Zugang zu anderen Daten. Leider ist nicht nur diese Theorie falsch sondern die nachfolgenden Abhängikeiten führen die eingerichtete DMZ “ad absurdum”.

Der CAS in der DMZ, ein Widerspruch in sich

Die Exchange CAS-Rolle veröffentlicht zwar nach extern nur Port 443, mit dem Server der die Mailboxrolle innehat wird jedoch über Mapi kommuniziert. Dieses Protokoll verwendet RPC (Remote Procedure Call). RPC funktioniert so das auf dem Zielport 135 die Kommunikation gestartet wird und dann ein oder mehrere hohe Ports für die weitere Datenübertragung genutzt werden. Möchte man nun den CAS-Server in die DMZ stellen müsste man in Richtung Mailboxserver alle Ports öffnen. Die DMZ wäre damit dahin. Die Beschränkung der Ports ist zwar möglich, jedoch nur in Richtung Client supportet, nicht in Richtung des Mailboxservers (der wiederum auch mittels MAPI/RPC mit dem Server mit der CAS – Rolle kommuniziert).

Weiterhin muß der CAS – Server auch Mitglied eines Active Directory Forests bzw. einer Domäne sein. Auch hier wird RPC zur Kommunikation teilweise verwendet.

Eine Idee wäre noch alle Server in der DMZ mit IPSec anzusprechen. Für die Tunnelung über den IPSec – Port müsste jedoch zuerst einmal ein Kerberos Ticket eines DC´s erstellt werden (über RPC). Weiterhin wäre die Verschlüsselung noch mit Klartextpasswort (das will in der DMZ wahrscheinlich niemand einrichten) oder per Zertifikat möglich. Hier ergeben sich jedoch wieder andere Problemstellungen und IPSec zu überwachen bzw. im Fehlerfall das Problem zu lösen ist nicht so einfach.

Was passiert wenn der Server mit der CAS – Rolle von einem Hacker übernommen wird?

Der Hacker hätte bei der Übernahme des Servers mit der CAS – Rolle sofort Zugriff auf die Komplette Domäne. Der Grund dafür ist das die Exchange-Server weitgehende Rechte brauchen um die Objekte in der Domäne verwalten zu können (Beschreiben des Accounts mit verschiedenen Attributen wie Mailbox, SMTP-Adressen etc.). Ein solche Übernahme sollte recht selten sein, die Veröffentlichung über Port 443 ins Internet ist sehr ausgereift. Die DMZ trägt hier allerdings überhaupt nicht zum Schutz bei, die Installation der CAS Rolle sorgt eher für ein Aufweichen der DMZ. Mit der entsprechenden Firewall (ISA, TMG) kann auch die Terminierung auf diese Geräte gelegt werden und ein zusätzlicher Sicherheitsfaktor eingebaut werden. Wichtig in diesem Zusammenhang ist noch das OWA möglichst nur von vertrauenswürdigen Computern benutzt wird. Wer weiß schon ob nicht in Internetcafes oder sonstigen öffentlich zugänglichen Terminals Hard oder Software Keylogger installiert sind. Diese würden alle Tastatureingaben aufzeichnen, ein böswilliger Mensch wäre äußerst schnell mit den Rechten des Benutzers in der Domäne angemeldet. Hoffentlich hatte der dann keine Domänenadminrechte…

Hier noch einige Anmerkungen der Exchange Teams zu dem Thema.

Happy secure Computing ;-)

Walter Steinsdorfer