Zum Hauptinhalt wechseln
Anmelden |
  Hilfe (neues Fenster)

Malte Pabsts Blog

Startet die Suche
Homepage
  

Kategorien
Exchange 2007
Exchange 2003
Sichern und Wiederherstellen
Systemüberwachung
Allgemeines (Sonstiges)
Andere Blogs
Mein Kollege Holger über Softwareverteilung, -verwaltung, automatisierte Installationen
ixto-Blog: Trends aus der BI-Branche
Hyperlinks
Fotos
Archiv
Archiv (Kalender)

22.04.2009

Remoteverwaltung von Exchange 2007 beim Einsatz verschiedener Serverbetriebssysteme

Für die Fernwartung von Exchange 2007 Servern, installiert auf Windows Server 2008, sind auf dem Verwaltungssystem zusätzliche Schritte notwendig, wenn das Verwaltungsystem unter Windows Server 2003, Windows Server 2003 R2 oder Windows XP betrieben wird.

Nach dem Starten der Exchangeverwaltungskonsole und der Auswahl eines Exchange Servers unter Windows 2008 erfolgt eine Fehlermeldung:

"Unable to create Internet Information Services (IIS) directory entry. Error message is: Access denied.
.HResult = -2147024891."

Für die Beseitigung dieser Fehlermeldung ist eine Anpassung auf dem Verwaltungssystem notwendig.

Dazu öffnet man die Komponentenverwaltung.

Start à Ausführen à dcomcnfg

Dort wechselt man in Component Services à Computers à My Computer à Properties

Und stellt auf der Registerkarte "Default Properties" das Default Impersonation Level" auf "Impersonate".

Unter Umständen ist ein Neustart des Systems notwendig, bei mir funktionierte es immer ohne Neustart.

Bereitgestellt um 10:32 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

15.04.2009

SharePointsicherungen bei Verwendung von SQL-Alias
Häufig werden SharePoint Systeme eingerichtet, dass statt des Servernamens des SQL Servers ein Alias für die Anbindung der Inhaltsdatenbanken verwendet wird. Das bietet eine bessere Flexibilität für spätere Erweiterungen der SharePoint Farm.
 
Leider kollidiert diese Konfiguration mit den Anforderungen, die der DataProtectionManager erfordert. Ohne zusätzlich Schritte ist das Sichern von SharePointinhalten über den DPM nicht mehr möglich.
 
Konfiguration ohne SQL-Alias:
1. Erstellen eine Dienstkontos, das als Farmadministrator eingesetzt wird.
2. Hinzufügen des Dienstkontos zur Gruppe der lokalen Administratoren auf dem SharePoint System.
3. Ausführen des Tools ConfigureSharepoint.exe auf den SharePoint Systemen zur Einrichtung der VSSWriter Berechtigungen. Als Konto wird das oben angegebene Dienstkonto verwendet.
 
Jetzt können Sicherungen erstellt werden.
 
Zusätzliche Konfiguration mit SQL-Alias:
Wurde bei der Einrichtung der SharePoint Farm ein SQL-Alias verwendet, bricht der DPM die Sicherung ab mit folgender Meldung:
DPM could not resolve the SQL alias XXXXX. (ID31250 Details Unknown error (0x80131904) (0x80131904))
 
Diesen Fehler behebt man durch zusätzliche Berechtigungen im SQL-Server. Das Dienstkonto muss zusätzlich die Rolle sysadmin in der SQL-Konfiguration erhalten und schon funktioniert die Sicherung.
Bereitgestellt um 10:29 von Malte Pabst (Admin) | Kategorie: Sichern und Wiederherstellen | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

11.06.2007

Erstellen und Segmentieren der Adresslisten Teil 1

Global Address List Trennung für Outlook

Vorbereitende Schritte:

Installieren der Supporttools für Windows Server 2003.

Erstellen einer universalen Sicherheitsgruppe "Deny-Default-AL". Diese Sicherheitsgruppe wird verwendet um den Zugriff auf die durch die Installation von Microsoft Exchange 2007 erstellen Adresslisten zu verweigern.

In die oben genannte Sicherheitsgruppe dürfen keine Benutzer aufgenommen werden, die die gesamte Exchangeorganisation administrieren sollen.

Einstellen der Berechtigungen für die Standardadresslisten.

Die Berechtigungen für den Zugriff auf globale Adresslisten kann nicht über die Exchangeverwaltungskonsole verwaltet werden. Dafür muss "ADSIEdit" aus den Support Tools ran.

In ADSIEdit eine Verbindung mit der Configurationpartition des Active Directory herstellen und der Gruppe "Deny-default-AL" alle Zugriffe auf die Adresslisten verweigern.

Dabei das "Default Offline Address Book" nicht vergessen.

Erstellen und Konfigurieren der zusätzlichen Adresslisten

Erstellen zusätzlicher Adresslisten

Zusätzliche Adresslisten können sowohl über die Exchange Management Konsole als auch über die Exchange PowerShell erstellt werden, außer globaler Adresslisten. Die müssen mithilfe der PowerShell generiert werden. Als Filterkriterium habe ich mich für das "Benutzerdefinierte Attribut 1" entschieden. In realen Umgebungen sollte im Vorfeld geprüft werden ob dieses Attribut bereits verwendet wird.

Im dargestellten Beispiel wird eine zusätzliche Globale Adressliste angelegt in der alle Empfängerobjekte enthalten sind deren Attribut "CustomAttribut1" die Zeichenkette "ITaCS" enthält. Mit zwei zusätzlichen Befehlszeilen werden weitere Globale Adresslisten angelegt und unsere Exchange Organisation verfügt jetzt über vier Globale Adresslisten. Das Ergebnis sieht dann so aus.

Erstellen der Sicherheitsgruppen für die Zugriffe auf die Globalen Adresslisten (GAL)

Jede der erzeugten GALs soll für eine Firma stehen, deren Adressinformationen nichts mit dem Adressinformationen der anderen Firmen zu tun hat. D.h. wir müssen die Zugriffe auf die Adresslisten wechselseitig verhindern. Dafür sollten jeweils Sicherheitsgruppen für die einzelnen Firmen erstellt werden, nach gleichen Schema wie für die "Default global Address List". Für unsere drei "Firmen" also genau sechs Gruppen.

"Deny-ITaCS-Demo-AL"     Members: SCaTI-Demo; Contoso-Demo

"Deny-SCaTI-Demo-AL"     Members: ITaCS-Demo; Contoso-Demo

"Deny-Contoso-Demo-AL"     Members: ITaCS-Demo; SCaTI-Demo

Die Benutzer der jeweiligen Firmen sind Mitglieder in den korrespondierenden Gruppen ihrer Firma.

Erstellen der Empfängerrichtlinien und der Domäneneinträge

Damit E-Mails für unsere verschiedenen Firmen empfangen werden können benötigen wir noch für jede Firma je eine Empfängerrichtlinie und einen Domäneneintrag innerhalb der Exchange Organisation. Das habe ich der Einfachheit halber über die PowerShell realisiert.

Setzen der Berechtigungen für die zusätzlichen Adresslisten

Hier kommt wieder ADSI Edit zum Zuge. Die Vorgehensweise entspricht der Einstellungen der Berechtigungen für die "Default Global Address List" und wird für jede zusätzliche globale Adressliste eingestellt.

Somit sind jetzt die Bedingungen geschaffen, um jedem Benutzer den Zugriff auf die GAL seiner Firma zu gewähren.

Abschließend aber eine schlechte Nachricht. Diese Konfiguration greift nur für Zugriffe mittels Outlook über MAPI bzw. über "Outlook Anywhere" (vormals RPC over http) und verhindert gleichzeitig die Verwendung des "Raum-Buttons" in Besprechungsanfragen. Für eine ähnliche Abbildung im OutlookWebAccess sind weitere Schritte notwendig, genau wie für die Bereitstellung von Offline Adressbüchern. Diese werde ich demnächst im Blog beschreiben.

   

   

  

Bereitgestellt um 09:00 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

11.03.2007

Microsoft Clusterdienst: Deaktivieren der Ereignisprotokollreplikation

Mit der Konfiguration des Microsoftclusterdienstes wird automatisch die Ereignisprotokollreplikation zwischen den beteiligten Clusterknoten aktiviert. Das kann zu einem erhöhten Aufkommen von Einträgen führen.

Das kann zu einem "Überlaufen" der Ereignisprotokolle und damit zur Nichtauswertbarkeit von Systemfehlern führen.

Die Protokollreplikation kann über die CMD deaktiviert werden.

Cluster /prop EnableEventLogReplication=0

    deaktivieren für den gesamten Clusterverbund

Cluster /prop EnableEventLogReplication=1

    aktivieren für den gesamten Clusterverbund

Bereitgestellt um 10:19 von Malte Pabst (Admin) | Kategorie: Allgemeines (Sonstiges) | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

16.02.2007

Fehler im Systemmanager nach Installation Internet Explorer 7.0

Sicherlich haben sich bereits einige gewundert, dass nach der Installation des Internet Explorer 7.0 der Exchange Systemmanager immer einen Fehler verursacht. Gleichzeitig ist auch eine Verwaltung der öffentlichen Ordner über den betroffenen PC nicht mehr möglich.

Das Problem kann umgangen werden, indem die Datei

C:\programme\Exchsrvr\bin\psapi.dll umbenannt wird.

Nach der Umbenennung steht der Systemmanager in gewohnter Form wieder zur Verfügung.

Bereitgestellt um 10:47 von Malte Pabst (Admin) | Kategorie: Exchange 2003 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

12.12.2006

AntiSpam Anpassen des IMF

Die Informationen beziehen sich auf den "Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide" von Microsoft.

Aktivieren der IMF-Aktualisierung über Microsoft Update

Damit Aktualisierungen automatisch über die Windows Update Funktionen bereitgestellt werden, ist es notwendig einen zusätzlichen Eintrag in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange" Typ DWORD, Name: "ContentFilterState", Wert: "1" (siehe Abbildung) hinzuzufügen.

Benutzerdefinierte Bewertung – Anpassen SCL-Level

Die Bewertung des IMF stellt sich als eine Art Blackbox dar. Es gibt jedoch die Möglichkeit einen gewissen Einfluss auf die Bewertung zu nehmen. Grundlage dafür bildet eine XML-Datei. Diese muss in dem jeweils aktuellsten Ordner des IMF gespeichert werden. (Meist c:\programme\exchsrvr\bin\MSCFv2\...). Dateiname: "MSExchange.UceContentFilter.xml"

Diese XML-Datei kann mit jedem beliebigen Editor bearbeitet werden. Beim Speichern jedoch ist darauf zu achten, dass die Datei im UTF-Format gespeichert wird. Notepad benutzt als Standardspeicherformat "ANSI". Also Achtung wenn der Internetexplorer die Datei, wie in der folgenden Abbildung dargestellt, anzeigt, dann ist etwas im Speicherformat falsch.

Wer die Datei mit Notepad bearbeiten möchte, muss darauf achten, dass als Codierung "UTF-8" festgelegt wird und diese Datei aus Notepad heraus im UTF-Format gespeichert wird. Korrekt sollte es so aussehen:

Was bedeuten jetzt aber die Einträge

  • BODY = Suche im Nachrichtentext
  • SUBJECT = Suche nur um Betreff
  • BOTH = Suche im Betreff und im Nachrichtentext
  • CHANGE ="1" addiere den Wert 1 zum SCL-Wert hinzu, wenn der in Text aufgeführte String gefunden wurde
  • CHANGE ="-1" ziehe den Wert 1 vom SCL-Wert ab, wenn der in Text aufgeführte String gefunden wurde
  • CHANGE ="MIN" setze den SCL-Wert auf 0 und mache keine weiteren Prüfungen, wenn der in Text aufgeführte String gefunden wurde
  • CHANGE ="MAX" setze den SCL-Wert auf 9 und mache keine weiteren Prüfungen, wenn der in Text aufgeführte String gefunden wurde
Bereitgestellt um 13:29 von Malte Pabst (Admin) | Kategorie: Exchange 2003 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

30.11.2006

Verwalten Globaler Adresslisten (GAL)

Die Verwaltung globaler Adresslisten muss zurzeit über die "Exchange Management Shell" erfolgen. Eine Administration über die Verwaltungskonsole ist nicht möglich.

Anzeige der vorhanden globalen Adresslisten

In der "Exchange Management Shell" einfach "get-globaladresslist" eingeben und es wird die Liste der existierenden GAL's mit den dazugehörenden Filtereinstellungen ausgegeben.

Erstellen zusätzlicher Globaler Adresslisten

Zusätzliche globale Adresslisten werden über die "Exchange Management Shell" erstellt.

New-GlobalAddressList –Name "ITaCS GAL" -IncludedRecipients "MailboxUsers, Resources, MailContacts, MailGroups, MailUsers" -Company "ITaCS"

Diese globale Adressliste enthält alle e-mailaktiven Objekte vom Typ Postfach und Kontakt im AD, die Feld Firma "ITaCS" zu stehen haben.

Natürlich sind diese Objekte gleichzeitig in der Default GAL enthalten. Das bedeutet in weiteren Schritten müssen Berechtigungen angepasst und Offline Adresslisten erstellt werden.

   

Entfernen von Globalen Adresslisten

Dabei sollte darauf geachtet werden, dass die "Default Global Address List" nicht entfernt wird (ich kann nicht sagen ,ob das überhaupt möglich ist, denn ich bin bisher noch nicht auf die Idee gekommen sie zu löschen). Benutzer die keinen Zugriff auf eine Globale Adressliste haben können nicht mehr ihre Postfachinhalte abrufen oder in anderer Form mit dem Exchange Server arbeiten.

Remove-GlobalAddressList –identity "ITaCS GAL"

Und weg ist die selbsterstellte GAL.

Bereitgestellt um 14:58 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)
Aktivieren der AntiSpam Funktionen auf einem Hub Transport Server

Die AntiSpam Funktionen stehen in der Verwaltungskonsole nur auf Servern zur Verfügung, denen die Rolle "Edge-Server" eingerichtet wurde. In vielen Szenarien existiert aber nur ein Exchange Server oder kein Edge-Server, dann möchte man natürlich auf diesem auch den Nachfolger des IMF verwenden.

Voraussetzung ist die Installation der Rolle "Hub-Transport. Zur Aktivierung der AntiSpam-Funktionen ist ein Script beigefügt. Dieses befindet sich in Installationspfad der Exchange Server Dateien – "install-AntiSpamAgents.ps1". Also die "Exchange Management Shell" öffnen und das Script ausführen.

Nach erfolgreicher Ausführung des Scriptes sollte die Verwaltungskonsole unter Hub Transport entsprechend der folgenden Abbildung erweitert sein.

Jetzt kann es an die Konfiguration der Filtereigenschaften gehen. In Vorbereitung darauf sollte man jedoch ein Quarantänepostfach einrichten.

Bereitgestellt um 13:21 von Malte Pabst (Admin) | Kategorie: Exchange 2007 | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

19.11.2006

SNMP und MOM 2005

Schritt Eins: Konfiguration eines Windows Servers zum empfangen von SNMP-Traps
Im Szenario wird davon ausgegangen, dass der MOM-Verwaltungsserver gleichzeitig auch als SNMP-Agent konfiguriert wird.

Als Erstes muss das SNMP-Protokoll und der SNMP-WMI-Provider auf dem MOM-Verwaltungsserver installiert werden. Wenn kein SNMP-Sender verfügbar ist, dann kann für Testzwecke auch ein zweites Windowssystem genutzt werden. Dann muss auf diesem auch das SNMP-Protokoll installiert werden (Beschrieben unter: Schritt Zwei).  

  Konfigurieren SNMP-Dienst

  • Startart automatisch
  • Registerkarte Traps: auf dem MOM Server leer lassen (Denn wir versenden keine Traps sondern wollen welche einfangen.
  • Sicherheit Community public lesen erstellen, SNMP von jedem annehmen
  • SNMP-Dienst neu starten

Um den Empfang zu testen, startet man des tool snmputil.exe aus den Windows Reskit, dass ich zuvor unter %Systemroot%\System32 abgelegt habe.

 Schritt Zwei: Konfigurieren des SNMP-Senders

  • Community: public
  • TRAP Ziel: unser MOM Server
  • Wenn kein echter SNMP-Sender zum Testen verfügbar ist, dann kann man einen zweiten Windows Rechner nehmen. Auf diesem muss auch SNMP installiert werden und auf der Registerkarte TRAPS als Ziel den MOM Server eingeben.

Nach einem Neustart des SNMP-Dienstes auf dem Zweiten Rechner, einfach mal den SNMP Dienst neustarten und unser snmputil sollte einige SNMP Traps empfangen.

Die SNMP Traps landen also auf unserem Verwaltungsserver. Im Weiteren müssen diese Informationen noch in die MOM Operator Konsole integriert werden.

Integration der SNMP Traps in die MOM Consolen.

Die Einbindung in die Operatorkonsole muss durch einen MOM-Administrator über die Verwaltungskonsole realisiert werden. Mit MOM werden zwei SNMP Datenprovider mitgeliefert. D.h. also MOM ist mit der Installation bereits in der Lage SNMP-Informationen zu empfangen. Aber wohin damit und wie Anzeigen????

Zur Erfassung der Daten ist jetzt noch eine Ereignisregel notwendig die an die entsprechenden Computer gebunden wird.Dafür erstellt man sich eine Computergruppe in der Administratorkonsole "SNMP Empfänger" und fügt dieser alle Computer hinzu, die in der Umgebung SNMP-Traps entgegen nehmen sollen. In unserem Fall den MOM-Verwaltungsserver.

Für diese Computergruppe erstellt man anschließend eine Regel Gruppe "SNMP Verwaltung". Diese Regelgruppe bildet die Grundlage für Ereignis- und Alarmregeln.

Ereignisregel zur Aufnahme von SNMP Traps in die MOM Datenbank Ereignisregeltyp Bestimmte Ereignisse sammeln (Sammlung).

Als Datenquelle kann der Datenprovider "SNMP Trap Catcher" genutzt werden.

Auf der Kriterien Registerkarte einfach alles leer lassen und nichts aktivieren. Dann werden alle SNMP-Informationen angenommen.

Die Parameterspeicherung veranlasst den MOM-Verwaltungsserver alle durch diese Sammplungsregel erfassten Information in die SQL-Datenbank zu schreiben.

Im Ergebnis sollten die SNMP Traps in der MOM-Datenbank auftauchen.

So sollte es funktionieren.

Bereitgestellt um 00:26 von Malte Pabst (Admin) | Kategorie: Systemüberwachung | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

 ‭(Ausgeblendet)‬ Administratorhyperlinks
Neues aus unseren Blogs
Consulting-Team-Blog: Beiträge
Regelmäßiges SharePoint 2010 Farm-Backup mit PowerShell
[13.07.2010]
Helge de Vries
SharePoint
Fabian´s Blog [SharePoint MVP]
State Service Application in SharePoint 2010 erstellen
[15.06.2010]
Fabian Moritz
SharePoint 2010; State Service; Managed Service Applications
Fabian´s Blog [SharePoint MVP]
Microsoft SharePoint Konferenz 2010 AUT – Präsentationen und Demos
[10.06.2010]
Fabian Moritz
Events; Office 2010; Office Business Anwendungen; SharePoint Konferenz 2010; Web Content Management
Consulting-Team-Blog: Beiträge
Migration: Zwei SharePoint Sites unter einer gemeinsamen URL ansprechen (Teil 2)
[21.05.2010]
Kai Wilke
SharePoint
Fabian´s Blog [SharePoint MVP]
Windows SharePoint Services 3.0 vs. SharePoint Foundation 2010 Objektmodell
[12.05.2010]
Fabian Moritz
Development; WSS 3.0; SharePoint Foundation 2010; Objektmodell
Consulting-Team-Blog: Beiträge
Migration: Zwei SharePoint Sites unter einer gemeinsamen URL ansprechen (Teil 1)
[10.05.2010]
Kai Wilke
SharePoint
Fabian´s Blog [SharePoint MVP]
Stellenangebot: ASP.NET / SharePoint-Entwickler gesucht
[10.05.2010]
Fabian Moritz
SharePoint 2007; Stellenausschreibung; SharePoint 2010
Fabian´s Blog [SharePoint MVP]
SharePoint 2010 Ribbon anpassen und erweitern
[07.05.2010]
Fabian Moritz
Customizing; SharePoint 2010; SharePoint Foundation 2010; Ribbons
Fabian´s Blog [SharePoint MVP]
Service Accounts und deaktivierte Benutzer aus dem Profilimport ausschließen
[06.05.2010]
Fabian Moritz
SharePoint 2007; MOSS 2007; Profildatenbank
Fabian´s Blog [SharePoint MVP]
Fehler beim Start des SharePoint 2010 User Profile Synchronization Services
[05.05.2010]
Fabian Moritz
Troubleshooting; ShareConnect 2010; Managed Services; Profildatenbank