Group Policy Search

Hallo zusammen,

in den unendlichen Weiten des Netzes habe ich eine interessante (MSDN-) Seite gefunden, die die Registry Schlüssel zu bestimmten GPO Einstellungen ausgibt, guckst du: http://gps.cloudapp.net/

Viele Grüße, Jens

Exchange Version auslesen

Hallo zusammen,

seit gestern habe ich eine interessante Info herausbekommen, wie es recht einfach ist die aktuelle Exchange Version via PowerShell abzufragen:

GCM exsetup %{$_.Fileversioninfo}

Die Buildnummern für sämtliche Exchange Versionen sind hier hinterlegt:
http://support.microsoft.com/kb/158530/de

Viele Grüße, Jens

Site Affinität unter Exchange 2007

Hallo zusammen,

in größeren Umgebungen kann es vorkommen, dass Server bzw. Exchange Server in anderen AD Sites hinterlegt sind, als die Clients. Mit dem Exchange PowerShell Befehl

set-clientaccessserver -identity "CAS-Servername" -AutoDiscoverSiteScope "AD-site"

kann ein spezieller Exchange 2007 CAS Server in entsprechenden Site zuordnen, aber warum ist das überhaupt notwendig?!?
Nehmen wir an, wir haben einen Exchange Standort A mit 5.000 Benutzer und einen Exchange Standort B mit 200 Benutzern. Alle Clients aus Standort A dürfen, auch wenn es mehrere AD-Sites dort gibt, niemals auf den CAS in Standort B zugreifen und umgekehrt. Mit dem oben genannten Befehl haben wir somit Standort B bzw. den dazugehörigen CAS Server entsprechend betankt.

Parallel haben wir uns dazu die CAS Server in Standort A angeschaut und haben festgestellt, dass eben diese in einer AD-Site liegen, in der niemals Clients vorhanden sind, da eben die Clients in anderen AD-Sites im gleichen Standort hinterlegt sind.
Da stellte sich natürlich ad hoc die Frage, wie kann das Konstrukt überhaupt funktionieren, denn wenn die Clients eh schon die ganze Zeit (wir hatten vor kurzem erst den CAS Server im Standort B installiert inkl. dem o.g. PowerShell Befehl) in eimer anderen AD-Site hinterlegt sind müssten sie doch jetzt eigentlich auch auf die AD-Site zugreifen in der der neue Exchange 2007 Server (Standort B) hinterlegt ist.

So und eben genau das machen die Clients am Standort A nicht, sie greifen immer auf die korrekten CAS Server zu. Der Grund ist der, dass die Clients immer primär hinsichtlich der Site Affinität auf den zuerst installierten CAS Server zugreifen und eben dieser CAS Server ist dem Standort A zugewiesen (AD-Site mäßig).

Sodele jetzt könnte es allerdings sein, dass Microsoft eben genau diesen Zugriff mit einem zukünftigen Service Pack umwandelt, so dass wir die CAS Server dahingehend angepasst haben, dass sie keiner Site zugeordnet sind:

set-clientaccessserver -identity "CAS-Servername" -AutoDiscoverSiteScope $Null

Somit gehen wir zukünftigen Problemen proaktiv aus dem Weg.

Viele Grüße, Jens

automatisches Setzen von Verzeichnisberechtigungen für öffentliche Ordner

Hallo zusammen,

wir hatten kürzlich die Anforderung Verzeichnisberechtigugnen für öffentliche Ordner zu setzten. Da der Endbenutzer seine öffentliche Ordnerstruktur gerade am Neuausrichten war, kam eine manuelle Änderung der Verzeichnisberechtigungen auf Zuruf somit nicht in Frage. Denn sonst hätten wir jedes Mal wenn er einen neuen öffentlichen Ordner anlegt mit den Verzeichnisberechtigungen bestücken müssen.

Also haben wir das per PowerShell gelöst und als geplante Aufgabe implementiert, guckst du hier:

$PFMailEnabled_Ordnername = Get-MailPublicFolder | Get-PublicFolder | where-object { $_.ParentPath -like "\Contoso\Finance*" } | Select-Object Identity

$PFMailEnabled_Ordnername | Get-MailPublicFolder | add-adpermission -User Contoso\PF_Admin -AccessRights GenericAll

Viele Grüße, Jens

HP System Management Homepage zeigt keine Hardware an

Hallo zusammen,

in letzter Zeit musste ich mich immer wieder mit der HP System Management Homepage befassen, um Hardware zu überwachen. Allerdings hatte ich immer wieder das Problem, dass eben keine Hardware angezeigt wird.

Sodele, nun endlich hat sich der entsprechende Agent aufgetan, so dass die Hardware auch korrekt angezeigt wird, guckst du:

http://h20000.www2.hp.com/bizsupport/TechSupport/DriverDownload.jsp?lang=en&cc=us&prodNameId=3716247&taskId=135&prodTypeId=18964&prodSeriesId=3716246&submit.y=6&submit.x=10&lang=en&cc=us

Viele Grüße, Jens

Konvertierung freigegebenes Postfach

Hallo zusammen,

Wir hatten in der Vergangenheit ein "Problem" mit s.g. freigegebenen Postfächern in einer Migrationsumgebung von Exchange 2003 nach Exchange 2007. Ein s.g. freigegebenes Postach kann in Exchange 2007 nicht via Outlook berechtigt werden. Sollte beispielsweise mein Postfach vom Typ her ein "freigegebenes Postfach" sein, könnte Herr Müller mich nicht auf seinem Postfach berechtigen. Allerdings gibt es hier schon wieder eine Einschränkung, denn mit Outlook 2003 können Berechtigungen vergeben werden, ab Outlook 2007 geht das dann nicht mehr, dann wird vor dem Namen welcher über die Adressliste ausgewählt wird ein kleines Verbotsschild angezeigt.

Begriffsdefinition:

Definition eines freigegebenen Postfachs (siehe Technet):
Zusätzlich zu den standardmäßigen Benutzerpostfächern können Sie in Exchange 2007 freigegebene und Ressourcenpostfächer erstellen. Ein freigegebenes Postfach ist ein Postfach, an dem sich mehrere Benutzer anmelden können. Ein Ressourcenpostfach ist ein Postfach, das einen Ressourcentyp darstellt, z. B. einen Konferenzraum oder eine Videoausrüstung. Ressourcenpostfächer weisen in Active Directory zusätzliche Eigenschaften auf, die Benutzer- und freigegebene Postfächer nicht haben, z. B. Kapazität.

In Exchange 2003 und Exchange 2000 gibt es keine Ressourcenpostfächer. Stattdessen müssen Sie zum Abbilden von Ressourcen freigegebene Postfächer verwenden. Wenn Sie ein freigegebenes Postfach aus Exchange 2003 oder Exchange 2000 nach Exchange 2007 verschieben, erstellt das Cmdlet Move-Mailbox das Postfach als freigegebenes Exchange 2007-Postfach. Nach dem Verschieben des Postfachs nach Exchange 2007 können Sie es in ein Ressourcenpostfach ändern. Weitere Informationen zum Ändern eines freigegebenen Postfachs in ein Ressourcenpostfach finden Sie unter Konvertieren eines Postfachs.
guckst du: http://technet.microsoft.com/de-de/library/bb124797(EXCHG.80).aspx


Ursachen:
Folgende Tätigkeit wurde wohl unter Exchange 2003 gemacht, so dass wir nun knapp 2000 s.g. freigegebenen Postfächer haben:

1. Melden Sie sich am Exchange-Server mit Domain-Administrationsrechten an.
2. Klicken Sie auf Start Programme Microsoft Exchange Active Directory Benutzer- und Computer.
3. Wählen Sie in der Baumstruktur den Benutzer aus, dessen Postfach freigegeben werden soll.
4. Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Eigenschaften.
5. Navigieren Sie zur Karteikarte Exchange Erweitert und klicken auf die Schaltfläche Postfachberechtigungen.
6. Klicken Sie auf Hinzufügen und wählen den Benutzer aus, der Zugriff auf das Postfach erhalten soll und vergeben die entsprechende Rechte (z.B. Vollständiger Postfachzugriff) für den individuellen Zugriff oder mit Gruppen wie Jeder für den globalen Zugriff auf dieses Postfach.

guckst du: http://www.planet-outlook.de/exchangepostfach.htm


Lösung:
Die Lösung ist auf den ersten Blick recht logisch, es müsste lediglich der Postfach-Typ von "sharedMailbox" in "regular" umgewandelt werden, das könnte beispielsweise so aussehen: Set-Mailbox -identity "Jens Kleinhans" -type regular
Interessant wird das ganze nun, wenn nun mehrere hunderte oder tausende solcher freigegebenen Postfächer migrationsbedingt vorhanden sind. Hierzu habe ich ein kleines PowerShell Script erstellt, welches eine .csv Datei einliest und gleichzeitig die Änderungen durchführt. Eines sollte allerdings beachtet werden, es gibt sicherlich migrierte "Postfächer" die zurecht als Typ freigegebene Postfächer sein, z.B. Räume. Diese sollten somit in Ressourcenpostfächer umgewandelt werden.
In meinem Szenario mit mehreren hunderten von freigegebenen Postfächern wollte und konnte ich das somit nicht von Hand machen und so musste ich folgenden Weg einschlagen:

Export sämlticher freigegebenen Postfächer, die betroffen sind (in diesem Beispiel habe ich erstmal einige wenige selektiert,da ich nicht alles auf einmal ändern wollte (dazu fehlt mir der Mut). Im folgenden Befehl gebe ich noch eine zusätzliche Spalte namens "changeit", hier wird entweder mit "ja" oder "nein" hinterlegt ob eben diese Ziele in ein "regular" Postfach verändert werden soll, oder nicht),

get-mailbox -resultsize unlimited | where{$_.recipientTypeDetails -eq "sharedmailbox"}|where{$_.primarysmtpaddress -like "*subdomain.domain.de"}|select samaccountname,primarysmtpaddress,changeit|export-csv c:\liste.csv -notypeinformation -encoding unicode

Im nächsten Schritt habe ich die Datei "liste.csv" entsprechend angepasst, so dass in der Spalte "changeIT" "ja" oder "nein" hinterlegt ist. Wichtig ist, dass die .csv Datei wieder als CSV Datei gespeichert wird und vor allem dass die Spalten mit Komma´s getrennt sind (nicht mit Tabstop).

Nach einigen manuellen Tests habe ich dann folgenden Befehl ausgeführt:

Import-Csv -Path C:\Temp\liste.csv | Where-Object { $_.ChangeIT -eq "ja" } | ForEach-Object { Set-Mailbox -Identity $_.PrimarySmtpAddress -Type Regular }

Mit dem folgenden Befehl habe ich dann verifiziert: Get-Mailbox "Jens Kleinhans" | fl rec*

Viele Grüße, Jens

Blackberry 5 - Hochverfügbarkeit via SQL

Hallo zusammen,

mit der BES 5 Version hatte auch die Hochverfügbarkeit bei dem Blackberry Enterprise Server Einzug gehalten, doch wie verhält sich das ganze mit der dahinterliegenden SQL Datenbank.

Eine SQL Express Datenbank mit dem SQL Express Server lässt sich von Haus aus nicht hochverfügbar gestalten.
Auch das Verlegen der Blackberry Datenbank auf einen SQL Cluster ist seitens RIM nicht supported, guckst du hier: http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB13474

Mit dem s.g. Database Mirroring ist es seitens RIM supported eine SQL Datenbank "hochverfügbar" bereitzustellen. Eine Anleitung wie das zu tun ist, findet ihr hier: http://www.blackberry.com/btsc/dynamickc.do?externalId=KB21884&sliceID=1&command=show&forward=nonthreadedKC&kcId=KB21884

Ehrlich gesagt bringt eine Blackberry 5 HA Lösung nicht wirklch viel, wenn die SQL Datenbank nur auf einer Single Datenbank Instanz vorhanden ist, denn dann könnte ich mir den hochverfügbaren Blackberry Enterprise Server auch gleich sparen, da ohne Datenbank schlichtweg nicht mehr funktionieren wird.

Viele Grüße, Jens

WTS 2008 RemoteApps in Zusammenarbeit mit Thin Clients

Hallo zusammen,

vor kurzem hatte ich mich ein wenig genauer mit den Terminal Server 2008 Remote Apps auseinandergesetzt. Es hatte sich die Frage gestellt, ob es möglich ist Thin-Clients ebenfalls Remote-Apps zur Verfügung zu stellen.

Remote-Apps sind Applikationen die auch dem Terminal Server 2008 R2 installiert sind und welche direkt auf den Desktop des Benutzers veröffentlicht werden. Der Benutzer öffnet wie gewohnt sein Outlook "lokal", in Wahrheit wird jedoch eine Verbindung zum Termianl Server aufgebaut, der das Programm Outlook seamless öffnet. Somit denken die Benutzer sie arbeiten lokal mit ihrem Outlook, in Wirklichkeit arbeiten sie jedoch auf dem entfernten Terminal Server.
Somit bleibt den Benutzern "erspart", dass sie eine RDP Session auf einem Terminal Server aufbauen müssen, die IT Abteilung hat den Vorteil, dass sie Applikationen zentral verwalten usw usw. :)

Na ja, auf jeden Fall haben die Remote-Apps ihre Grenzen bei Thin Clients, weil sie nicht in der Domäne sind bzw. kein Mitglied der Domäne sind. Somit ist es leider nicht möglich, dass Thin-Clients mit Remote Apps arbeiten können. Thin Clients müssen auch weiterhin eine echte RDP Verbindung zum Terminal Server öffnen.

Viele Grüße, Jens

Zugriff auf UNC-Pfade im Terminal Server

Hallo zusammen,

wenn ein Terminal Server Benutzer via UNC Pfad im Windows Explorer auf einen Share eines anderen Servers zugreifen möchte, müssen die GPOs für den WTS dahingehend angepasst werden, so dass der Zugriff auf "Ausführen" gewährleistet ist.

Zu finden ist die GPO in Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Startmenü und Taskleiste - "Menüeintrag Ausführen au sdem Menü Start entfernen"

Sobald diese Einstellung deaktiviert ist, ich denke bei vielen ist diese Einstellung aktiviert, funktioniert auch der UNC Zugriff (\\Servername\Share). Da der Zugriff beispielsweise auf DOS so oder so für normale Benutzer gesperrt sein sollte, ist das auch kein echte Problem das Menü "Ausführen" wieder anzeigen zu lassen.

viele Grüße, Jens

Blackberry 5 Dokumentationsübersicht

Hallo zusammen,

kurz notiert, anbei ein Link zu einer exzellenten Dokumentationsübersicht zu sämtlichen Blackberry 5 Dokumenten, guckst du hier:

http://docs.blackberry.com/en/admin/subcategories/?userType=2&category=BlackBerry+Enterprise+Server+for+Microsoft+Exchange

Viele Grüße, Jens

Postfachtypen einzeln zurücksetzen

Hallo zusammen,

vergangene Woche hatte ich einen Post hinsichtlich falschen Postfachtypen eingestellt, guckst du hier: http://backendfrontend.blogspot.com/2010/10/falsche-postfachtypen.html

Dieses Script ändert jedoch die Postfachtypen für ALLE "falschen" Postfächer. Wenn somit nur erstmal testweise ein einzelnes Postfach auf "Benutzerpostfach" vom Typ her geändert werden soll, so muss das Script entsprechend angepasst und in der PowerShell ausgeführt werden:


cls
#get a list of all linked mbx
$AdminSessionADSettings.ViewEntireForest = $true
$linkedmbx = Get-Mailbox Jens.Kleinhans

$AclContainingAEA.User

#Fix AEA in AD
Remove-MailboxPermission -Identity $linkedmbx.DistinguishedName -User $AclContainingAEA.User -AccessRights ExternalAccount

#Fix MsExchRecipientType in AD so that Box is displayed as User and no longer as linked (change from 2 to 1)
$LDAPPath = "LDAP://" + $linkedmbx.DistinguishedName
$ADUser = [ADSI]"$LDAPPath"
$ADUser.put("msExchRecipientTypeDetails",1)

#Fix msExchMasterAccountSID (clear in AD) so that "isLinked" and "linkeMasterAccount" gets cleared.
$ADUser.putex(1,"msExchMasterAccountSid",$null)

#Save information to AD
$ADUser.setinfo()

Viele Grüße, Jens

Sound ist nicht Sound auf dem WTS 2008

Hallo zusammen,

kürzlich musste ich lernen, dass Soundwiedergabe nicht gleich Soundwiedergabe auf einem WTS ist. Microsoft unterscheidet wohl nämlich zwischen Sound welcher in Form von Musik abgespielt wird und Systemmeldungen (Beeps). Wird beispielsweiese der Sound in der RDP-Dienstkonfiguration auf dem WTS Server deaktiviert, ist zwar der Anmelde- bzw. Abmeldesound deaktiviert, dafür ertönen aber die s.g. Beeps (z.B. bei Fehlermeldungen) nach wie vor aus dem lokalen PC Lautsprecher.

Jetzt muss ein entsprechender Registry Wert angepasst werden, so dass wirklich kein Sound mehr aus dem Lautsprecher kommt, also dass quasi der Sound als auch das Soundschema (Beeps) deaktiviert wird.

• Clicken auf "Start", Klicken auf "Ausführen", "regedit" eintragen und Return drücken
• Zum folgenden Registry Schlüssel browsen:
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server
• Rechte Mouse auf dem Bearbeiten Menü und neuen DWORD erstellen
• "DisableBeep"eintragen und mit Return bestätigen
• Rechtsklick auf den soeben erstellten Wert
• Als Wert wird hier 1 eingetragen und mit OK bestätigt
• Registry Editor verlassen
• Clicken auf "Start", clicken auf "Ausführen", "services.msc" eingeben und mit Return bestätigen
• Der Dienst "Terminal Services service" neustarten (Achtung dadurch werden alle Benutzer vom Terminal Server deaktiviert)
• Erneutes Verbinden auf den Terminal Server - Ab- und wiederanmelden und dann funktionierts auch mit dem Beep

Viele Grüße, Jens

Bestimmte Elemente aus der Systemsteuerung ausblenden

Hallo zusammen,

in den Gruppenrichtlinien generell ist es möglich bestimmte Symbole aus der Systemsteuerung anzeigen zu lassen. Genrell ist es empfehlenswert den Benutzer den Zugriff auf die "Drucker" zu gewähren, so dass ggf. der Standarddrucker gewechselt werden kann, oder auch dass der Benutzer sie selbständig einen neuen Drucker hinzufügen kann.

Genrell muss in der GPO hinterlegt werden, welche Systemsteuerungssymbole überhaupt noch angezeigt werden dürfen. Soweit so gut, allerdings muss man(n) eben halt noch wissen wie diese Symbole überhaupt heissen, denn mit dem Wort "Drucker" kommt man(n) nicht wirklich weit, da dies wie sollte es auch anders sein nicht funktioniert.

Anbei ein Link, der die Namen der Systemsteuerungssymbole aufgelistet hat, so dass diese dann ausgeblendet werden: http://msdn.microsoft.com/de-DE/library/ee330741(v=VS.85).aspx

Viele Grüße, Jens

falsche Postfachtypen

Hallo zusammen,

es kann ab und an vorkommen, dass in einem Migrationsszenario Postfächer von Exchange 2007 nach Exchange 2007/2010 migriert werden, die nach der Migration als Postfach-Typ verkknüpftes Postach (linked Mailbox) hinterlegt haben.

Der Grund warum das Postfach auf einmal verknüpft ist im AD zu finden, der Wert "Associated External Account" in den Postfacheinstellungen wurde hier aus welchen Gründen auch immer gesetzt, so dass das Postach als "extern" gekennzeichnet worden ist. Grund genug für Exchange 2007/2010 eben genau dieses Postfach als verknüpftes Postfach auszugeben.

der offizielle Weg von Microsoft das Postfach wieder so abzuändern, so dass es korrekt angezeigt wird, ist hier dokumentiert: http://technet.microsoft.com/en-us/library/bb201749.aspx
Allerdings hat diese Methode den bösen Beigeschmack, dass sämtliche Exchange Attribute verloren gehen, da das Postfach vom AD Objekt getrennt werden muss und danach wiederverbunden werden muss. Sofern also benutzerdefinierte Änderungen Exchange-mäßig durchgefüht wurden, müssen diese erneut konfiguriert werden, wenn das Postfach wiederverbunden ist.

Natürlich gibt es auch noch einen anderen Weg diese "Anzeigeprobleme", die keine Anzeigeprobleme sind zu beheben. Den unten beschriebenen Weg habe ich selbst schon erfolgreich ohne Beeinträchtigungen durchführen können, allerdings sollte dies immer nur erstmal mit einem Account durchgeführt werden, aber der Reihe nach. Mit folgendem Powershell Befehl werden erstmal sämtliche verknüpfte Postfächer angezeigt:

$mb_linked = get-mailbox -filter { RecipientTypeDetails -eq "LinkedMailbox" } -resultsize:unlimited

$mb_linked.count

Mit dem folgenden Script können die verknüpften Postfächer dann wieder in normale Postfächer geändert werden:
http://www.thesoundtrackofmylife.at/post/2009/01/13/Bulk-modify-linked-mailboxes-to-user-mailboxes-in-Exchange-2007.aspx

Viele Grüße, Jens

ICAL in Outlook ausgegraut

Hallo zusammen,

der Hype mit Apple Produkten kommt so langsam immer mehr in der Exchange Welt an, so dass wir gestern das Problem hatten, dass ein Benutzer Besprechungsanfragen an ein IPAD geschickt hatte, die dann vom IPAD selbst nicht verarbeitet werden konnten.

Der Grund war, dass Outlook Besprechungsanfragen nicht im ICAL Format verschickt hat bzw. nicht verschicken konnte, da der Schalter selbst im Outlook unter Extras - Optionen - Kalenderoptionen - "Beim Senden von Besprechungsanfragen über das Internet ICalendar verwenden" ausgegraut war.

Nachdem es keine Gruppenrichtlinie sein konnte, haben wir herausgefunden, dass in diesem MAPI Profil welches an Exchange angebunden ist temporär ein POP3 Konto angehängt werden musste, so dass der Schalter angehakt werden konnte. Alternativ ist es auch möglich ein externen Kalender einzubinden, dann wird der Schalter ebenfalls nutzbar.

In diesem Sinne viel Spass beim Senden von Terminen zu euren IPADS :)

viele Grüße, Jens

Adobe Info-Meldungen auf WTS deaktivieren

Hallo zusammen,

für viele Terminal Server Nutzer ist es extrem lästig wenn Adobe bei jedem Anmeldevorgang anmerkt, dass eine neue Versin vorliegt. Es gibt daher auch genügend Benutzer die daraufhin vergebens versuchen das Update auf dem WTS zu installieren. Frei nach dem Motto, weniger Verwirrungspotential ist meistens besser, hab ich hier die Registry Keys hinterlegt mit denen eben die wichtigsten, nervigen Dinge bei Adobe abgeschaltet werden können:

Deaktivieren des Auto-Update:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\9.0\FeatureLockdown] "bUpdater"=dword:00000000

Deaktiveren der EULA Abfrage:
HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Acrobat Reader\9.0\AdobeViewer]
"EULA"=dword:00000001
"Launched"=dword:00000001

Viele Grüße, Jens

Probleme Migration der öffentlichen Ordner

Hallo zusammen,

in einem Kunden Szenario hatten wir neulich das Problem, dass die Migration der öffentlichen Ordner mittels "Re-Homing" nicht vollständig funktioniert hatte. Es wurden ca. 90% der öffentlichen Ordner auf den neuen Exchange 2007 Server übertragen, aber eine nicht unerheblich Anzahl an Öffentlichen Ordnern wurde nicht verschoben.

vom Troubleshooting haben haben wir zuerst folgende Artikkel bzw. Hotfixe eingespielt:
http://support.microsoft.com/?id=936000
http://support.microsoft.com/?id=959239

Das folgende Script hatte dann schlussendlich die Lösung gebracht, auch wenn es einige Zeit in Anspruch genommen hatte bis wir damit durchwaren, guckst du hier:

Fixing Public Folder Replication Errors From Exchange 2003 to Exchange 2007 or 2010
http://blogs.technet.com/b/bill_long/archive/2010/04/22/fixing-public-folder-replication-errors-from-exchange-2003-to-exchange-2007-or-2010.aspx

Für den Skript wird folgende benötigt:

• eine Maschine mit Outlook 2007 oder 2010
• Windows Powershell installiert
• Ein MAPI Profil , das auf alle öffentlichen Ordnern Rechte hat, die wir bereinigen wollen (am einfachsten also Rechte auf allen Ordnern)
• Ordnern, die bereinigt werden, müssen wieder ein Replikat an dem Exchange 2003 Quellserver haben. D.h. die Ordnern, die noch in den öffentlichen Ordner Instanzen auf Exchange 2003 auftauchen, müssen temporär wieder ein Replikat am alten Server haben.
  
  Dies könnte mit einem Exchange Management Shell Befehl ungefähr folgendermaßen erreicht werden, angenommen dass wir die Liste der Instanzen in der Datei filename.csv haben:
  
  Import-Csv filename.csv foreach { Invoke-Expression $('Set-PublicFolder \"' + $_.FolderPath + '" -Replicas $OldPubDB,$NewPubDB ') }

In diesem Sinne viel Erfolg bei der Migration.

Viele Grüße, Jens

Probleme mit Abwesenheitsassistenten in einer Migration

Hallo zusammen,

wir haben heute ein seltsames Problem behoben, so dass es sich lohnt darüber zu berichten. In einer Migrationsumgebung von Exchange 2003 nach Exchange 20xx kam es teilweise vor, dass einige Benutzer Probleme mit den Abwesenheitsassisten hatten. Genauer gesagt, hatte die Benutzer den Abwenseitsassistent aktiviert, es wurden jedoch blöderweise keine Abwesenheitsnachrichten versendet (weder intern noch extern).

Laut Microsoft passiert das unregelmäßig/regelmäßig bei diversen Kunden in einer Migrationsumgebung, als Workaround funktioniert das nochmalige Verschieben das Postfachs auf eine andere Datenbank.

Weiterhin wird ein Benutzer niemals seine Abwesenheitsnachrichten aktivieren kann, wenn Windows Benutzer nicht mit dem Oultook Benutzer übereinstimmt, d.h. bin ich als Jens Kleinhans im Windows/AD angemeldet und binde mir das Postfach vom Admin Jens Kleinhans ein, werde ich keine Abwesenheit aktivieren können, es sei denn ich melde mich im Windows auch als Admin Jens Kleinhans an.

Update: Microsoft hat hierzu ein Hotfix veröffentlicht, guckst du hier http://support.microsoft.com/default.aspx?scid=kb;EN-US;954574

Viele Grüße, Jens

Grenzen von Verteilerlisten

Hallo zusammen,

auch Verteilerlisten in Exchange bzw. in öffentlichen Ordnern scheinen Grenzen zu haben, was wir in der letzten Zeit haben bemerken müssen.
Das Limit von Elementen bzw. von Kontakten innerhalb von einer Verteilerliste (in unserem Fall Exchange 2007 in Verbindung mit einem Active Direcotry 2003 native) beträgt zwischen 120-130 Einträgen, was zumindest teilweise hier beschrieben ist: http://support.microsoft.com/kb/238569/EN-US/

Benutzer, die diese Verteilerliste nutzen möchten, erhalten daraufhin reht irreführende Fehlermeldungen, dass der Arbeitsspeicher nicht ausreichend sei.
Als Workaround bleibt nur die Möglichkeit die Verteilerliste zu unterteilen und/oder könnte es auch sein, dass ein oder mehrere Einträge in der Verteilerliste korrupt sind. In diesem Falle müsste eben dieser korrupte Einträge lokalisiert und behoben werden - dann klappts auch wieder mit der Verteilerliste.

Viele Grüße, Jens

Verteilerlisten erscheinen nicht in GAL

Hallo zusammen,

wir hatten in einer Exchange 2003/2007 Migration das Phänomen, dass teilweise dynamische Verteilerlisten nicht angezeigt werden (im Outlook). Die Verteilerliste an sich sah in der Exchange 2007 Management Console ganz normal aus, so dass wir zuerst den Fehler gar nicht finden konnten.

Das Problem war, dass eben geanu diese Verteilerliste unter Exchange 2003 erstellt worden ist und somit einen LADP Filter verwendet, ab Exchange 2007 werden jedoch s.g. OPATH Filter verwendet. Mit folgendem Befehl haben wir die Verteilerlist nach Exchange 2007 "migriert", so dass diese im Anschluss sofort in der GAL sichtbar war:


Set-DynamicDistributionGroup "Verteilerliste" -RecipientFilter ( .\ConvertFrom-LdapFilter (Get-DynamicDistributionGroup "Verteilerlsite").LdapRecipientFilter )

Das Script "convertFrom-LdapFilter" ist hier zu finden: http://msexchangeteam.com/archive/2007/03/12/436983.aspx

Die .ps1 Datei muss in folgenden Pfad abgespeichert werden, wo auch der o.g. PowerShell Befehl ausgeführt werden muss:
C:\Program Files\Microsoft\Exchange Server\Scripts

Viele Grüße, Jens

Default Gateway geht nach Reboot verloren

Hallo zusammen,

nachdem mir das jetzt schon des Öfteren passiert ist und ich mir jedes Mal einen Wolf gesucht habe um das Problem zu lösen schreib ich das jetzt besser einfach mal auf.

Ab und an passiert es, dass nach einem Reboot das Standardgateway einfach verschwunden ist, von Hand eintragen kann hier eigentlich nicht immer die Lösung sind.
In einer Diskussion kam dan endlich die Lösung auf:


Reset IPv4 TCP/IP stack to installation defaults. netsh int ipv4 reset reset.log
Reset IPv6 TCP/IP stack to installation defaults. netsh int ipv6 reset reset.log

Der Server muss nach der Änderung durchgestartet werden und dann klappts auch mit dem Standardgeteway.

Viele Grüße, Jens

Überprüfung Hyper-V Hardware Funktionalität

Hallo zuammen,

immer wieder wird dieses Überprüfungsprogramm wieder gebraucht um zu überprüfen ob die eingesetzte Hardware überhaupt für Hyper-V unterstützt ist, oder ob noch Nacharbeiten durchgeführt werden müssen :)

Guckst du, http://www.grc.com/securable.htm

Viele Grüße, Jens

Move-Mailbox Script für Exchange 2003/2007 Migration

Hallo zusammen,

wir hatten im aktuellen Projekt eine Anforderung, haufenweise (weit mehr als 10.000 Benutzer) von Exchange 2003 nach Exchange 2007 zu verschieben. Genauer gesagt durften die Benutzer erst abends verschoben werden um den normalen Geschäftsbetrieb nicht zu beeinträchtigen.
Da wir hier wahrscheinlich extrem viel Zeit gebraucht hätten, haben wir uns ein PowerShell Scritp geschrieben, welches gleich mehrere Dinge auf einmal abdeckt:

• Verschieben alle Postfächer einer bestimmten Datenbank
• Verschieben alle Benutzer der bestimmten Datenbank, die sich seit Datum X nicht mehr angemeldet haben

Das hat zum Vorteil, dass wir tagsüber extrem viel Postfächer verschieben konnten, da eben nur die Postfächer einer bestimmten Datenbank verschoben worden sind, deren Benutzer seit dem Datum X nicht mehr am Exchange angemeldet waren. Da wir diese Info nur mittels WMI Abfrage von Exchange 2003 auslesen können ist das Script in diesem Fall etwas länger geworden:

$arr = @() ; Get-WmiObject -ComputerName %EX2003ServerName% -Namespace ROOT\MicrosoftExchangeV2 -Class Exchange_Mailbox Where-Object { $_.StoreName -eq "EX2003DatenbankName" -and $_.LastLogonTime -lt "20100813" } % { $arr += $_.MailboxDisplayName } ; $arr get-mailbox Move-Mailbox -TargetDatabase "EX2007Servername\Ex2007SGName\EX2007Datenbankname" -MaxThreads 12 -IgnorePolicyMatch -confirm:$false

Viele Grüße, Jens

Hochverfügbarkeit von öffentlichen Ordnern unter EX2010

Hallo zusammen,

unter Exchange 2010 kann die Mailbox Rolle mit einer s.g. DAG hochvergügbar ausgestattet werden. In einer DAG sind neben die Mailboxen selbstverständlich auch die öffentlichen Ordner hinterlegt. Eine öffentliche Ordner Datenbank ist deshalb aber nicht "hochverfübar". Eine erhöhte Verfügbarkeit wird nur erreicht, wenn mehrere öffentliche Ordner Datenbank in der Exchange Organisation inkl. Replikation vorhanden sind.

Guckt du auch hier:
http://technet.microsoft.com/en-us/library/bb629523.aspx

Viele Grüße, Jens

Betrachtung Archivierungsmöglichkeiten mit Exchange

Hallo zusammen,

Mit Exchange 2010 bietet sich die Möglichkeit ein s.g. Online Archiv zu nutzen, das s.g. Online Archiv ist der Ersatz für die ausgelagerten .pst Dateien die bisher irgendwo im Netzwerk oder auf den lokalen PCs herumschwirren. Microsoft Exchange verfolgt die Strategie diese Daten direkt in Exchange reinzuholen, da sie dort

a) gesichert sind
b) der Benutzer von jedem PC aus drauf zugreifen kann und
c) Vertreter könnten ebenfalls auf das Archiv zugreifen.

Anbei ein paar Nachteile zum Thema .pst Dateien:

• Der „Überall-Zugriff“ ist nicht gewährleistet
• Der Benutzer kann nur von dem PC auf die .pst Datei zugreifen wo diese gespeichert ist
• Widerfährt der Hardware in defekt ist die .pst Datei ggf. nicht mehr nutzbar und somit geht Mailbox Inhalt verloren
• Microsoft supported keine .pst Dateien in einem Netzwerkpfad, guckst du hier: http://support.microsoft.com/kb/297019
• keine Unternehmensweite Suche möglich
• nahezu keine Möglichkeit die .pst Dateien zu sichern, sofern sie nicht im Netzwerk liegen, welches ja gar nicht supported ist
• Der Benutzer ist selbst für das Backup der .pst Datei verantwortlich, sofern diese lokal vorgehalten wird

Die Tendenz geht klar dahin dass wichtige Unternehmensdaten (s.g. Hot Data) auf wenigen, schnellen/performanten Festplatten zur Verfügung gestellt werden und weniger wichtige Daten, z.B. das Online Archiv auf großen, langsameren und vor allem billigeren Storage zur Verfügung gestellt wird.

Das Archiv ist als zweites Postfach innerhalb des bestehenden Postfachs anzusehen, für den Benutzer aber absolut transparent.

Das Online Archiv ist nicht mit einem echten Archivierungssystem wie Easy oder ähnliche Produkte zu vergleichen, es bietet „nur“ die Möglichkeit Exchange-Daten auszulagern. Auf der anderen Seite ist es somit möglich Quotas für die Benutzer Postfächer zu definieren, so dass die Postfächer kleine gehalten werden können. Natürlich können aber auch Quotas auf das Online-Achtiv integriert werden.

Das „Problem“ bei der aktuellen Implementierung ist jedoch, dass eben dieses Archiv nur in der gleichen Datenbank abgelegt werden kann, wo sich das Postfach befindet. Mit dem Herauskommen von Exchange 2010 SP1 (Herbst 2010) gibt es folgende Neuerungen:

• Die Archiv Datenbank kann auf einer dedizierten Datenbank ausgelagert werden (Stichwort: Cheap Storage)
• Benutzer könnten Berechtigungen für Vertreter vergeben (nur möglich durch den Administrator – die Möglichkeit für die Benutzer selbst ist für SP2 geplant)
• Die maximale empfohlene Größe eines Online Archivs auch in der Hinsicht Indizierung beträgt 120 GB
• Such-Vorschau über spezielle Keywords, auch über das Outlook-Archiv
• Die Benutzer können absolut integriert mit dem Archiv arbeiten, sie können Emails bearbeiten, Nachverfolgen, Kennzeichnen usw.
• Benutzer können via Outlook Web App (ehemals OWA) auf das Archiv zugreifen
• …und das wichtigste: es ist möglich das Archiv in der Cloud (BPOS) zu betreiben, vollkommen transparent für den Benutzer, d.h. der Outlook Nutzer sieht gar nicht, dass sein Archiv nicht auf dem lokalen Exchange Server liegt, sondern extern beim Hoster. Für die Unternehmen bietet sich somit die Möglichkeit sämtliche Archive an einen Hosting Anbieter auszulagern, welcher das preisgünstig auf „Cheap Storage“ anbietet. Die BPOS Postfächer kosten Stand heute in der Standard Version ab 4,26€ pro Monat, ob dieses Preismodell dann auch für das Online Archiv übernommen, ist abzuwarten
• …und nicht zu vergessen: momentan würde das technisch nur mit Outlook 2010 funktionieren. Microsoft arbeitet aber derzeit an der Integration dieser Funktion in Outlook 2007 (!), so dass dort auch auf das Online Archiv zugegriffen werden kann.
• De-Duplication (wenn eine email 10x gefunden wird, wird sie im Ergebnis dennoch nur 1x angezeigt)
  

Allerdings funktioniert das Online Archiv nur dann wenn der Outlook Client online mit dem Exchange Server verbunden ist, d.h. besteht keine Verbindung zum Exchange Server, so besteht auch kein Zugriff auf das Archiv.

Ein weiterer Ansatzpunkt hinsichtlich Online Archiv wäre die Möglichkeit einen Archiv Server mit lokalen Platten und/oder SAN Platten zur Verfügung zu stellen. Diese Möglichkeit hätten den Charme, dass Unternehmen nach wie vor ihre sensiblen Daten intern vorhalten und diese nicht in der Clound bei einem Hoster gespeichert haben. Das wäre sozusagen eine private Cloud!

Der Administrator hat weiterhin die Möglichkeit mit einer s.g. Retention Policy Daten vollautomatisch vom Postfach in das Archiv Postfach zu verschieben, beispielsweise alle Daten welche älter als 365 Tage sind.

Weiterhin bestünde die Möglichkeit dass Unternehmen eine ihre DAG Kopien bei einem Hoster betreiben zu lassen. Genauer gesagt, wäre es technisch denkbar, dass Unternehmen beliebig viele Exchange 2010 Server bei einem Hosten mieten/kaufen/aufstellen um an diesem externen Standort einen Exchange 2010 DAG Kopie zu erstellen. Somit hat das Unternehmen die 100%ige Sicherheit und Gewissheit unternehmensrelevante email Daten extern vorzuhalten und dennoch die Hoheit darüber zu behalten.

Marco Viets hat genau zu diesem Thema eine sehr interessante Dimplomarbeit zum Thema Archivierung erstellt, welche einen tollen Einblick in die aktuelle Marktsituation gibt, guckst du hier: http://sites.google.com/site/jenskleinhans/file-cabinet/AuswertungUmfrageDiplomarbeitMarcoViets.pdf?attredirects=0&d=1

Viele Grüße, Jens

untertützte Outlook Versionen für Exchang 2010

Hallo zusammen,

unter Exchange 2010 sind nur noch die Outlook Versionen ab Outlook 2003 unterstützt, ältere Outlook Versionen wie die Version XP oder 2000 sind offizielle nicht mehr unterstützt und somit auch nicht mehr supported, für weiter Infos guckst du hier:
http://technet.microsoft.com/en-us/library/bb125239.aspx

Viele Grüße, Jens

BES5 Suppport für Exchange 2010 | Installationsvoraussetzungen

Hallo zusammen,

mit der aktuellen BES 5.01 Version wird seitens RIM nun auch offiziell Exchange 2010 untertützt. Folgende Voraussetzungen sind für den Betrieb des BES (nach wie vor nötig):

• Exchange Server 2010 benötigt zwingend Update Rollup 1
• BES benötigt zwingend das 5.0.1 Maintanence Release 1
• BES benötigt nach wie vor das MAPI/CDO client 6.5.8146.0 oder höher

Für weitere Infos guckst du hier:
http://msexchangeteam.com/archive/2009/12/09/453486.aspx
http://na.blackberry.com/eng/services/server/exchange/2010support.jsp

Viele Grüße, Jens

BES5 reduziert deutlich die Festplattenbelastung

Hallo zusammen,

es wird gesagt, dass Technologie mit neuen Versionen immer besser wird, was im Bezug auf Serverbelastung bei der Verwendung von BES5 wieder einmal zutrifft. Viele Unternehmen haben immer wieder Probleme mit der Performance ihrer Exchange Systeme und finden immer wieder den Blackberry Dienst als Verursacher für die Performance Probleme. Mit der BES4.x Version wurde das Verhältnis mit 1:4 berechnet, d.h. vier BES User brauchen genausoviel Last für ein einziger Exchange Benutzer.

Mit der BES5 Version wird in dieser Hinsicht vieles deutlich besser, da die "Belastung" deutlich auf 2,34:1 reduziert werden konnte. Anders gerechnet könnten mit der BES5 Version deutlich mehr Blackberry User in eine Exchange Umgebung hinzugefügt werden.

Für weitere Infos guckst du hier: http://docs.blackberry.com/en/admin/deliverables/8864/BlackBerry_Enterprise_Server_for_Microsoft_Exchange-5.0-US.pdf

Viele Grüße, Jens

maximale .pst Datei Größe

Hallo zusammen,

immmer mal wieder wird die Frage gestellt wie groß eigenglich die Outlook .pst Datei werden kann/darf/soll. Grundsätzlich müssen hier erstmal in verschiedene Outlook Versionen unterscheiden.

Microsoft Office Outlook 2007 and Microsoft Office Outlook 2003 have both a different format and a larger overall size limit for the personal folders (.pst) file than the .pst files that are in the earlier versions of Microsoft Outlook. In Outlook 2002 and earlier, the .pst files are in the American National Standards Institute (ANSI) format, and the overall size has a limit of 2 gigabytes (GB). By default, .pst files are in the Unicode format in Outlook 2007 and in Outlook 2003. Additionally, the overall size of the .pst files has a limit that is more than the 2-GB limit that is imposed by the ANSI .pst files. By default, the limit for a Unicode .pst file in Outlook 2007 and in Outlook 2003 is configured to be 20 GB. http://support.microsoft.com/default.aspx?scid=kb;EN-US;830336

Viele Grüße, Jens

Outlook Anywhere Test Szenario

Hallo zusammen,

es gibt für die gängigen Client Betriebssysteme den unten stehenden Registry Key mit dem es möglich ist, dass Outlook (2007) dazu gezwungen wird über http(s) sich mit dem Exchange Server zu verbinden. Im LAN verbindet sich das Outlook i.d.R "nur" mittels MAPI mit dem Exchange Mailboxserver, so dass ein Test nur erschwert möglich wäre. Mit dem unten stehenden Registry Key wird zwingend festgesetzt, dass Outlook sich nur mittels http(s) mit den Exchange Server verbinden soll.
Anders ausgedrückt ist das auch eine prima Möglichkeit um Qualität zu sichern/überprüfen:

HKCU\Software\Microsoft\Office\12.0\Outlook\RPC
neuen DWORD "DisableRpcTcpFallbackValue" Wert: 1

Der "RPC" Schlüssel ist per default nicht vorhanden, so dass dieser zuerst erstellt werden muss um danach im zweiten Schritt den DWORD zu erstellen.

Viele Grüße, Jens

How-To: Blackberry Enterprise Transporter Suite

Hallo zusammen,

anbei die Dokumentation einer Blackberry 4.1.6 nach Blackberry 5.0.1 Migration mittels der Blackberry Enterprise Transporter Suite.
Die Erfahrungen waren wirklich sehr gut, hatte alles einwandfrei und ohne Zwischenfälle funktioniert. Nichtmal die Benutzer hatten etwas von der Migration mitbekommen.

Viele Spass beim Migrieren :)
Das How-To findet ihr hier: http://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxqZW5za2xlaW5oYW5zfGd4OjU5OWY5MTM4ODk5YjFlNmQ&pli=1

Viele Grüße, Jens

Besprechungsanfragen via Delegates

Hallo zusammen,

in Exchange 2007 ist es möglich Besprechungsanfragen zuerst an einen freizugebenen Kollegen zu schicken, der die Besprechungsanfragen zuerst freigibt bzw. diese endgültig freigegeben werden. Als Beispiel ist eine zentrale Person in der Firma dafür verantwortlich sämtliche Besprechungszimmer zu handeln und diese zu verplanen. Sämtliche Anfragen werden somit zuerst an diese Person gesendet, die die Besprechungsanfragen über diese Ressource dann bearbeitet. Anbei eine kurze Aufstellung meines Testzenario:

Exchange 2007
Ressourcenpostfach namens "Sonne"
Person die das Ressourcenpostfach verwaltet: "dummy33"
Person die eine Besprechungsanfrage an die Ressource "Sonne" sendet: "dummy11"

Mit diesem Befehl wird erstmal grundsätzlich die Delegation für ein Ressourcenpostfach erstellt:


Set-MailboxCalendarSettings -Identity "sonne" -AutomateProcessing AutoAccept -ResourceDelegates "Dummy33" -AllBookInPolicy:$false -AllRequestInPolicy:$true


Sobald allerdings der Benutzer "Dummy33" die Besprechungsanfrage zusagt verschwindet der Betreff und wird durch "Dummy33" ersetzt, guckst du hier:

Ist natürlich recht blöd, da so niemand ,genauer gesagt der Delegate, mehr sehen kann was der eigentliche Betreff war. Aus diesem Grund wird der PowerShell Befehl ein wenig erweitert:

Set-MailboxCalendarSettings -Identity "sonne" -AutomateProcessing AutoAccept -ResourceDelegates "Dummy33" -AllBookInPolicy:$false -AllRequestInPolicy:$true -DeleteSubject:$false

...und schon klappt es auch mit dem Nachbarn, guckst du hier:

Der Befehl könnte noch um die Option -AddOrganizerToSubject:$false erweitert werden, so dass nicht ersichtlich wäre, wer die Freigabe für die Besprechungsanfrage durchgeführt hat.

Viele Grüße, Jens

OWA Passwort Änderung in Exchange 2003/2007 Transition Phase

Hallo zusammen,

wir wollten gestern in unserem Testszenario im OWA leider vergebens unser Passswort ändern, was defacto leider so nicht (mehr) funktioniert.
Aber erstmal von vorne, unser Szenario:

diverse Exchange 2003 SP2 mit sämtlichen Mailboxen
divers Exchange 2007 jeweils mit unterschiedlichen Rollen auf unterschiedlichen Servern
diverse ISA 2004 Server in der DMZ

Alle Benutzer inkl. die Testbenutzer liegen (noch) auf Exchange 2003 und greifen via RPC over https auf ihre Exchange Postfächer zu. Als wir nun die Zugriff auf die Postfächer von den Exchange 2003 Front-End Server auf die neuen Exchange 2007 CAS Server umgestellt hatten, funktionierte im ersten Schritt soweit alles ohne Probleme. Nach einiger Zeit wollten wir allerdings testweise die Passwörter sowohl vor der Anmeldung (also am ISA Server) bzw. im OWA selbt unter "Optionen" ändern. Leider wird dies mit der Fehlermeldung 403 bzw. 404 quittiert, guckst du hier:

Ohne Anpassungen wird sich der Zustand auch nicht mehr ändern, dass Benutzer ihre Passwörter ändern können, solange ihre Postfächer noch auf Exchange 2003 Back-End Server liegen. Werden die Benutzer nach Exchange 2007 migriert ist der CAS Server für die Passwort-Änderung verantwortlich und führt dies auch ohne Probleme durch.

Natürlich gibt es Workarounds zu diesem Thema, guckst du hier:
http://telnetport25.wordpress.com/2008/05/08/windows-2008-iis-7-the-exchange-2007-cas-and-iisadmpwd/

Allerdings ist diese Vorgehensweise leider seitens Microsoft nicht offiziell supported, guckst du hier: http://msexchangeteam.com/archive/2008/12/09/450238.aspx

Somit ist die Devise, so schnell wie möglich die Benutzer nach Exchange 2007 zu migrieren, so dass die OWA Benutzer ihre Passwörter wieder ändern können.

Viele Grüße, Jens

IT Policy für BES 5 Express

Hallo zusammen,

der BES5 Express hat leider nur ca. 40 von möglichen 500 Policy Einstellungen welche der BES 5 Enterprise Server anbietet. Ich bin erst kürzlich darüber gestolpert, da ich eine WLAN Policy für Blackberrys einrichten wollte und auf einem BES5 Express Server eben genau diese IT Policy vergebens gesucht hatte (im BES 4.1.6 war diese nämlich noch drin).
Na ja, dafür ist der BES5 Express ja auch kostenlos und kann bis zu 75 Benutzer ohne weitere Lizenzkosten hosten.

Anbei die Aufstellung der IT-Policys für den BES5 Express, guckst du hier http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB21123

Viele Grüße, Jens

GPOs unter Windows Server 2008 R2

Hallo zusammen,

wollte gestern in meinem Testlab ein simple GPO mit einer Laufwerkzuweisung für meinen XP Client machen, wie immer über eine .vbs Datei erstellt und per Logon Script zuwiesen. Nur leider hatte das dieses Mal einfach nicht funktioniert, so dass ich mir das genauer angeschaut hatte.

Die Umgebung:
1 x Windows Server 2008 R2
1 x Windows XP SP3 (x83)
Windows Server 2008 Domäne

Nach ein wenig Recherche hat ich die Info gefunden, dass es die vbscript.dll Datei mit W2k8 R2 nicht mehr ausgerollt wird und somit .vbs Scripte gar nicht mehr funktionieren, guckst du hier: http://serverfault.com/questions/100606/windows-server-2008-r2-vbscript-script-engine-missing

Da macht das ganze natürlich schwieriger, denn ich hätte doch gerne das eine oder andere Laufwerk via GPO zugewiesen bekommen. Das Schlagwort hierzu heisst Group Policy Preferences. Dies GPP Voraussetzungen müssen zwingend auf einem Windows XP Rechner installiert sein, wenn die Domäne auf Windows Server 2008 ist bzw. die DCs alle W2k8 sind.

Hierzu müssten sowohl die Client-side-extensions als auch die XMLLite Software installiert sein, weiter Infos inkl. Download guckst du hier: http://technet.microsoft.com/en-us/library/cc731892(WS.10).aspx

Achtung: Das gillt nur für Windows XP Clients, nicht für Vista oder Win 7!

Direkt nach dem Restart wurden die Netzlaufwerke als auch meine veröffentlichten Drucker dann direkt zugewiesen.

Da .vbs Scripts ja nicht mehr funktionieren hatte ich die Netzlaufwerke über die neuen Gruppenrichtlinien Funktionen zugwiesen:

Also, eine neue GPO erstellt und an diese Stelle bewegt: Benutzerkonfiguration - Richtlinien - Administrative Vorlagen - Einstellungen - Windows Einstellungen - Laufwerkszuordnungen

Im nächsten Schritt wird die neue Laufwerkszuordnung hinzugefügt:

Sobald der Client sich nun neu anmeldet werden die Laufwerke zugewiesen.

Viele Grüße, Jens

RIM / Blackberry Zertifizierungen

Hallo zusammen,

RIM bietet (evtl. auch schon länger) die Möglichkeit sich in der Technologie Blackberry entsprechend zu zertifizieren.

BlackBerry Certified Solution Designer
The BlackBerry Certified Solution Designer certification is designed for technical professionals who provide pre- and post-sales technical consulting services to BlackBerry customers.

Required exams
One exam related to designing and deploying BlackBerry solutions on the platform of your choice: Microsoft® Exchange or IBM® Lotus® Domino®
Completion of the BlackBerry Certified System Administrator certification
BlackBerry® Enterprise Server v5.0 exams:

BCX-620 Designing and Deploying a BlackBerry Solution v5.0 in a Microsoft Exchange Environment1
BCX-621 Designing and Deploying a BlackBerry Solution v5.0 in a IBM Lotus Domino Environment – Coming Soon
Exams currently available
BlackBerry® Enterprise Server v4.1 exams:

BCP-610 Designing and Deploying a BlackBerry Solution in a Microsoft Exchange Environment
BCP-611 Designing and Deploying a BlackBerry Solution in an IBM Lotus Domino Environment
Note: all BlackBerry® Certification Program exams related to the BlackBerry Enterprise Server v4.1 will be retired on September 1, 2010. Learn more about the retirement process.

Schedule an exam

Exams coming soon
BCX-621 Designing and Deploying a BlackBerry Solution v5.0 in a IBM Lotus Domino Environment1
Exam guides
BCP-610 Designing and Deploying a BlackBerry Solution in a Microsoft Exchange Environment exam guide (PDF)
BCP-611 Designing and Deploying a BlackBerry Solution in an IBM Lotus Domino Environment exam guide (PDF)
BCX-620 Designing and Deploying a BlackBerry Solution v5.0 in a Microsoft Exchange Environment exam guide1 (PDF)
Self-study guides available for purchase
The following self-study guides are available for purchase from the Element K website:

BCP-610 Designing and Deploying a BlackBerry Solution in a Microsoft Exchange Environment self-study guide
BCP-611 Designing and Deploying a BlackBerry Solution in an IBM Lotus Domino Environment self-study guide
Back to top


BlackBerry Certified Application Developer
The BlackBerry Certified Application Developer certification is designed for technical professionals responsible for designing applications for the BlackBerry solution.

Required exams
One exam related to developing applications for the BlackBerry solution
One exam related to developing either Java® or web applications for the BlackBerry solution
Exams currently available
All exams for a particular certification must be taken within the same BlackBerry Enterprise Server software version.

BCP-810 Developing Applications for the BlackBerry Solution
BCP-811 Developing Java Applications for the BlackBerry Platform
BCX-812 Developing Web Applications for the BlackBerry Platform1
Schedule an exam

Exam guides
BCP-810 Developing Applications for the BlackBerry Solution exam guide (PDF)
BCP-811 Developing Java Applications for the BlackBerry Platform exam guide (PDF)
BCX-812 Developing Web Applications for the BlackBerry Platform exam guide1 (PDF)
Pre-exam self-assessments
BCP-810 Developing Applications for the BlackBerry Solution practice exam

weitere Infos gibt es hier: http://na.blackberry.com/eng/support/programs/certification/plan_design.jsp

Viele Grüße, Jens

Antispam Agent Handling

Hallo zusammen,

ich wollte mich in diesem Blogbeitrag ein wenig dem AntiSpam Modul von Exchange 2007/2010 widmen. Wenn emails durch das AntiSpam Modul blockiert oder in Quarantäne gestellt werden, sind genau diese email nicht über die Nachrichtenverfolgung auffindbar.
Emails die als Spam klassifiziert worden sind, können zwar über das Anti-Spam Log ermittelt werden bzw. die Details könnten angeschaut werden, aber sie können nicht an den ursprünglichen Empfänger weitergeleitet werden (im Falle von false positive). Der Absender müsste in diesem Fall die email erneut versenden.

Anbei ein Beispiel wir man im Log nach blockierten emails sucht:
Get-AgentLog where {$_.P1FromAddress -like "Absender@hotmail.com" -or $_.P2FromAddresses -like "Absender@hotmail.com" -and $_.reasondata -eq "9"}

Get-AgentLog -StartDate "25.03.2010" -EndDate "26.03.2010" where {$_.reasondata -eq "9"} > c:\antispam.txt

In diesem Beispiel sucht Exchange nach allen emails vom Absender "absender@hotmail.com" im Zeitraum vom 25.03.2010 bis 26.03.2010 und einen SCL Wert von 9 (also Spam) und gibt das Ergebnis in eine .txt Datei aus.

Viele Grüße, Jens

Blackberry 5 - Hochverfügbarkeit

Hallo zusammen,

wir sind aktuell in der Planung einen Blackberry5 als Hochverfügbarkeitslösung zu implementieren, ich werde hierzu weiter berichten.
Anbei ein paar interessante Links zum Thema Hochverfügbarkeit für Blackberry 5.

http://docs.blackberry.com/de-de/admin/deliverables/7317/HA_in_a_distributed_environment_405431_11.jsp

http://docs.blackberry.com/de-de/admin/?userType=2

http://de.blackberry.com/services/business/server/full/RIM1270_UnderstandingHighAvailability_DE.pdf

Viele Grüße Jens

neue PFDAVADmin Version

Hallo zusammen,

Microsoft hat eine neue Version von PFDAVAdmin veröffentlicht mit dem nun deutlich besser Exchange 2007 bedient werden kann. PFADVAdmin funktioniert aber dennoch nicht (mehr) mit Exchange 2010, dahier WEBDAV als Dienst herausgenommen worden ist.

An updated version of the PFDAVAdmin tool has been released to the web. You can get it from the download center at this link: http://www.microsoft.com/downloads/details.aspx?familyid=635BE792-D8AD-49E3-ADA4-E2422C0AB424.
This update contains various bug fixes that have been made over the last three years (the prior version on the Download Center was from April of 2007). It also has some changes that make it work better against Exchange 2007. For instance, the old versions of PFDAVAdmin expected certain directory objects to be present for all Exchange servers. In Exchange 2007, some of those objects are only present with a CAS role. This resulted in a situation where PFDAVAdmin would only connect to Exchange 2007 mailbox servers that also had the CAS role. That problem is fixed in this version of PFDAVAdmin, which has no problem connecting to Exchange 2007 with only the mailbox role installed.
The dependency on .NET Framework 1.1 remains, which means you should run PFDAVAdmin from a workstation with Framework 1.1 installed - you should not install this old version of the framework on your Exchange servers, because it makes IIS unhappy.
PFDAVAdmin still cannot connect to Exchange 2010 servers, because WebDAV is gone from 2010. If you need similar functionality for Exchange 2010, use ExFolders instead.

Viele Grüße, Jens

Postfachdaten Recovery

Hallo zusammen,

mal wieder eine Anforderung gehabt die es wert ist sich in einem Blogeintrag zu widmen. Ein Benutzer hatte versehentlich seine "Gelöschten Elemente" im Outlook gelöscht und hatte dies erst 30 Tage nachher gemeldet, so dass es nicht mehr möglich war mit dem serverseitigen Papierkorb diese Daten zurückzuholen. Normalerweise sollte ja auch nicht die gelöschten Elemente als Archiv dienen, aber lassen wir das :)

Gesichert wurde und wird mit dem DPM 2007 Server. Beim Restore, auf das ich jetzt nicht näher eingehe da das klar sein dürfte wie das geht, ist es nur möglich die komplette Exchange Datenbank zurückzusichern, guckst du http://support.microsoft.com/kb/904845/en-us
Dies bedeutet somit, dass wir somit min. soviel Festplattenplatz auf der Platte benötigen wie eben die aktuell gesicherte Datenbank groß ist (Stichwort: Planung).

Sobald das Restore mittels DPM durchgeführt wurde ist die s.g. Recovery Storage Group anzulegen, guckst du http://www.msexchange.org/tutorials/Working-Recovery-Storage-Groups-Exchange-2007.html
In unserem Szenario wollten wir aber nicht das komplette Postfach zusammenführen bzw. kopieren, sondern die "gelöschten Elemente" in ein Unterordner zurücksichern. Daher hatten wir in der Exchange Management Shell foglenden Befehl ausgeführt um das Postfach in ein Unterordner namens Restore zurückzusichern:

Restore-Mailbox -Identity "John.Doe" -RSGDatabase "rsg\mailbox database" -rsgmailbox "John.Doe" -TargetFolder "Restore"

Der Benutzer hatte sich im nächsten Schritt die Daten selbstständig verschoben und daraufhin den Unterordner gelöscht.

Eine weitere Möglichkeit dedizierte Emails zurückzuholen ist hier sehr schön dokumentiert, guckst du http://edge.technet.com/Media/DPM-2007-how-to-do-individual-item-restore-for-Exchange/

Viele Grüße, Jens

Exchange Cross Forest Administration

Hallo zusammen,

ich hatte neulich eine Anforderung dass ein Administrator aus Forest A (Exchange 2003) Exchange Organisations Berechtigungen für Forest B (Exchange 2007) benötigt hatte. Es handelte sich hierbei um zwei komplett voneinander getrennte Gesamtstrukturen, die über einen Forest Trust verbunden sind. DNS usw. funktioniert naütrlich soweit bzw. war Voraussetzung.
Über die Exchange 2007 Verwaltungskonsole ist es allerdings nur möglich Benutzer aus dem lokalen Forest bzw. der Domäne hinzuzufügen und keine Cross Forest Benutzer.

Nach einige Recherchen habe ich dann folgenden Artikel gefunden, der das Problem schön beschreibt und gleichzeitig eine Lösung anbietet, guckst du technet.microsoft.com/en-us/library/bb232078%28EXCHG.80%29.aspx

Das ganze hatte nur den Haken, dass es einfach nicht funktioniert hatte. Folgende Passage hatte dann schlussendlich doch die Lösung gebracht, auch wenn es aus meiner Sicht recht unverständlich hinterlegt ist.

To perform the steps of this procedure in Forest A, the account you use must be delegated the following:
Membership in the Enterprise Admins group in Forest A

To perform the steps of this procedure in Forest B, the account you use must be delegated the following:
Membership in the Enterprise Admins group in Forest B

Weill heißen, mein Admin-Account aus Forest A muss zu den Domänen Admins in Forest B hinzugefügt werden und umgekehrt. Leichter gesagt als getan. Mein Admin Account aus Forest A muss zum Mitglied der "Administratoren" in der OU "Built-in" gemacht werden. Das ist dort die einzige Stelle wo ein Cross Forest Benutzer als Administrator hinzugefügt werden konnte, da es sich bei dieser Gruppe um eine domänenlokale Gruppe (siehe AGDLP) handelt. Es ist nicht möglich ein Benutzer aus einem fremden Forest in die Gruppen der Domänen-Admins oder Enterprise Admins hinzuzufügen.

Viele Grüße, Jens

Bestimmte Benutzer von GAL ausblenden

Hallo zusammen,

ich hatte diese Woche eine interessante Anforderung die auf den ersten Blick gar nicht gelöst werden kann. Nehmen wir an wir arbeiten alle bei Contoso. Contoso hat die Anforderung dass bestimmte Benutzer (z.B. interne Detektive, Fahnder usw.) nicht in der GAL angezeigt werden dürfen und nur in einer dedizierten Adressliste vorhanden sein dürfen.

Microsoft gibt klar vor, dass die eine Anpassung der GAL nicht supported ist, guckst du http://technet.microsoft.com/en-us/library/bb232068(EXCHG.80).aspx (You cannot edit the settings of the default GAL.)
Auch die Möglichkeit der s.g. Addresslist Segregation ist nicht möglich bzw. nicht im Exchange Standard und somit auch nicht supported, siehe http://technet.microsoft.com/de-de/library/bb936719(EXCHG.80).aspx (Unsupported: This configuration is one where companies may want to totally segregate their address lists and still have access to the Default Global Address List, or try to split the Global Address List (GAL) into two separate address lists. An example of this configuration would be a company with two groups of 500 users that belong to the Sales and Finance departments. Both groups are in the GAL, however the desire is to have everyone access the GAL except one group. If you are going to segregate your address lists, then they will be segregated. Attempting this configuration will cause problems with the check names functionality which will prevent users from creating Outlook profiles, and can also break the OAB Generation Process. This also allows Outlook users to see all of the Address Lists from within Outlook, which cannot be changed.)

Die Address List Segregation ist allerdings extrem aufwendig zu implementieren und ist auch erst ab Exchange 2007 (derzeit noch nicht für Exchange 2010) unterstützt. Sobald in der Exchange Organisation noch ein Exchange 2003 Server vorhanden wäre, wäre diese Schriftstück schon wieder obsolet, da nicht seitens Microsoft unterstützt.

Da die Segregation somit außen vor war/ist aufgrund der viel zu hohen Anforderungen und Implementierungszeit hatten wir eine andere, zündende Idee, wir verwenden öffentliche Ordner (die die länger leben als gedacht):

Es wird ein neuer Öffentlichen Ordner namens Microsoft angelegt, als Unterordner wird ein Kontakt-Öffentlichen Ordner angelegt, der wie die Adressliste heisst angelegt:













In diesem öffentlichen Kontaktordner (welcher über Berechtigungen gesteuert wird) werden dann die "versteckten Benutzer" angelegt. Dieser Kontaktordner bzw. dessen Kontakte werden nicht in der GAL angezeigt.
Benutzer die Berechtigungen auf dem öffentlichen Ordner haben, können sich diesen Ordner im Adressbuch mitanzeigen lassen. Dies wird folgendermaßen durchgeführt und ist für jeden Benutzer durchzufüren der an Delton emails senden muss:

Rechte Mousetaste auf "Microsoft" - "Eigenschaften" - Registerkarte "Outlook Adressbuch" - Haken setzen bei "Dieen Ordner als Email Adressbuch anzeigen"
















Daraufhin kann der Benutzer die Delton Benutzer aus dem Adressbuch auswählen:

Diese Lösung hat den Vorteil, dass sie a) von Microsoft supported ist und b) der Benutzer kann wie gewohnt weiterarbeiten.
Lediglich die Berechtigungen auf den öffentlichen Ordner muss gesetzt werden, für die Benutzer für die der Ordner sichtbar sein soll. Am besten ist hierzu eine Gruppe zu verwenden.

Viele Grüße, Jens

Limits bei der Wiederherstellung von öffentlichen Ordnern via PFDAVAdmin

Hallo zusammen,

in einem früher Blogeintrag hatte ich mich mit der Wiederherstellung von öffentlichen Ordnern mittels PFDAVAdmin auseinandergesetzt, guckst du hier http://backendfrontend.blogspot.com/2010/01/wiederherstellung-von-offentlichen.html. Genauergesagt sind wir mit der Wiederherstellung an die Limits von PFDAVAdmin gestoßen, so dass das Programm mit einem Time-Out abgebrochen ist.

Das ganze hat jetzt von der Sache her nichts direkt mit der Größe des öffentlichen Ordners oder der Anzahl der Elemente zu tun. Die Problemmatik des Absturzes von PFDAVAdmin hat eher etwas damit zu tun, dass tatsächlich ein Time-Out im Programm bzw. der Registry hinterlegt ist. Erhält PFDAVAdmin somit keine Reaktion innerhalb von 100000ms weil das Programm eben noch damit beschäftigt ist den Inhalt auszulesen (weil der öffentlichen Ordner so groß ist), erhalten wir die besagte Fehlermeldung.

Diesen besagten Time-Out hatten wir in unserem Szenario dann auf 86400000 ms (=24h) gestellt und siehe da es hat dann doch tatsächlich funktioniert.

Der Registry Schlüssel H_KEY_LOCAL_MACHINE\software\Microsoft\PFDAVADMIN\HttpTimeout müsste somit auf den Wert 86400000 gesetzt werden, dann klappts auch mit dem Nachbarn.

Sicherheitshalber sollte während der Aktion der Antivirenscanner auf dem Server deaktiviert werden!

In diesem Sinne viel Erfolg beim Recovery :)

Viele Grüße,
Jens

Windows Mobile: Verschlüsselung von Speicherkarten

Hallo,

Exchange 2007 bietet mittels Active Sync Richtlinien an Speicherkarten zu verschlüsseln. Das ist ne tolle Sache, allerdings sollte dennoch beachtet werden, dass nur neue Dateien verschlüselt werden. Die Daten die bereits vor der Richtlinie auf der Speicherkarte vorhanden waren sind und bleiben unverschlüsselt.

Viele Grüße,
Jens

WTS 2008 Startleiste anpassen

Hallo,

per Default ist das Server Manager Icon auf einem Windows Terminal Server 2008 bei jedem Benutzer in der Startleiste/Quicklaunch vorhanden.
Unter folgendem Pfad kann dieses Icon entfernt werden, oder neue Icon hinzugefügt werden. Das ganze funktioniert allerdings nur für Profile die neu erstellt werden:

C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch

Grüße, Jens

Cluster move - via Exchange oder Cluster Konsole

Hallo zusammen,

immer mal wieder taucht die Frage auf, ob in einem SCC/CCR Exchange Szenario der Clusterschwenk mittels der Exchange Verwaltungskonsole oder dem Cluster Administrator durchgeführt werden kann.

Micrsoft positioniert sich hier doch recht deutlich, dass der Schwenk auf einen anderen Knoten über die Exchange Verwaltungskonsole durchgeführt werden soll. Hintergrund ist, dass zusätzlich noch Tests ausgeführt werden, ob der passive Knoten überhaupt in der Lage ist den aktiven Knoten übernehmen kann.

Das ganze wurde auch hier dokumentiert, http://msexchangeteam.com/archive/2007/10/22/447317.aspx

Viele Grüße, Jens

Active Sync in einer Exchlange 2003/2007 Migration

Hallo zusammen,

in einer Exchange 2003/2007 Migration läuft es vom Vorgehen her so ab, dass zuerst die HUB/CAS Server umgestellt werden und erst zum Schluss die Postfächer von Exchange 2003 nach Exchange 2007 verschoben worden.

Für die bevorstehende CAS Migration haben wir uns auf den ISA Servern ein neues Zertifikat und eine Route eingerichtet, so dass wir parallel zum Live-Betrieb den Zugriff via Outlook, Outlook Anywhere, OWA, Active Sync usw. testen können. Bei den ersten Tests von Active Sycn ist uns aufgefallen, dass Active Sync nur dann funktioniert wenn das Postfach auf einem Exchange 2007 Mailbox Server liegt.

Sobald ich meinen Testbenutzer verwenden möchte, der auf Exchange 2003 liegt haben wir auf dem Endgerät immer wieder die Kennwortaufforderung erhalten, als ob wir das Kennwort nicht richtig hinterlegt hätten (was wir aber haben).

Die Lösung haben wir dann schlussendlich auf dem MSExchange Team Blog gefunden, guckst du hier: http://msexchangeteam.com/archive/2007/01/05/432079.aspx

Sobald die integrierte Windowsauthentifizierung auf dem Exchange 2003 Backend Server hinterlegt ist funktioniert auch sofort der Active Sync Zugriff über die Exchange 2007 CAS Infrastruktur.

Viele Grüße, Jens

Wiederherstellung von öffentlichen Ordnern

Hallo zusammen,

ich hatte zu Beginn des Jahres die nette Erfahrung gemacht, dass es nahezu unmöglich ist gelöschte Öffentlichen Ordner wieder herzustellen. Aber fangen wir erstmal weiter vorne an.

Wenn ein öffentlichen Ordner (PF) gelöscht wird, geht der erste Weg immer über PFDAVAdmin mit dem gelöschte Elemente im PF wiederhergestellt werden können, guckst du hier: http://technet.microsoft.com/en-us/kb/kb00924044.aspx

Können die gelöschten Ordner, aus Gründen die ich später beschreiben werde, nicht mehr wiederhergestellt werden empfiehlt Microsoft das Einsetzen eines Recovery Servers. Dieser Recovery Server muss in einem separaten AD stehen, die Exchange Organisation, Storage Gruppe und Datenbanken müssen so heissen wie die Produktiv-Umgebung usw., guckst du hier: http://support.microsoft.com/kb/823176

Gehen wir doch ein wenig tiefer rein, so mussten wir feststellen, dass es Live nahezu unmöglich ist mit Boardmitteln (!) eine Wiederherstellung von Öffentlichen Ordnern durchzuführen. Denn in einem separaten AD habe ich überhaupt technisch gesehen keine Möglichkeit auf meine Backup Infrastruktur zuzugreifen (mal abgesehen von der Sicherung auf ein NAS). Die Backup Infrastruktur (Tape Library usw.) ist technisch gesehen an der Live-Umgebung angebunden und kann kein Restore auf eine andere Umgebung durchführen.
Es sei denn es wird ein Restore in eine Datei gemacht und diese alternativ abgelegt.
Dann wäre es theoretisch denkbar, diesen Recovery Server mit der zurückgesicherten Datenbank dort einzubinden. Der Faktor Zeit spielt hier eine extrem wichtige Komponente, die wirst du nämlich in solch einem Fall einfach nicht haben.
Microsoft beschreibt weiter, dass die Daten auf dem Recover Server dann online genommen werden können und dort via Outlook exportiert und im eigentlichen Live-System wieder importiert werden sollen.
Leider haben wir damit aber weitere Probleme, da die Berechtigungen auf den Ordner flöten gegangen sind, ebenso sind die Email Aktivierungen auch verloren gegangen. Je nachdem wie groß der Ordner war tut das verdammt weh, wenn diese Informationen verloren gegangen sind. Das schlimme an dieser Tatsache ist vielmehr, dass du einfach nicht mehr an diese Information herankommst.

Schauen wir uns aber nochmals das PFDAVAdmin Programm an, mit diesem es doch recht einfach ist gelöschte Ordner wiederherzustellen. Allerdings hat das ganze den Haken, dass PFDAVAdmin ein internes Limit der Größe des gelöschten Ordners im Zusammenhang mit den enthaltenen Elementen hat. Wird dieses Limit erreicht erscheint eine Timeout Meldung des PFDAVAdmins und der Ordner kann nicht zurückgesichert werden.
Die Info, dass ein Ordner Email aktiviert ist, ist standardmäßig im AD hinterlegt. Wird nun eben solch ein Ordner gelöscht wird auch die Information im AD gelöscht und bei der Wiederherstellung via PFDAVAdmin ist somit auch die Email Aktivierung nicht mehr vorhanden. In größeren Umgebungen ist dies extrem ungünstig, wenn diese Infos nicht zurückgeholt werden können.

Ein simples Restore der öffentlichen Ordner Datenbank zurück in das Live-System durch das Backupprogramm kommt leider auch nicht in Frage, da die gelöschten öffentlichen Ordner in der öffentlichen Ordner Hierarchie nicht mehr vorhanden sind. Nach einem Restore würden somit die wiederhergestellten, gelöschten Ordner direkt wieder verschwinden. Hierzu ist noch zu beachten, dass die Hierarchie auf jedem Server repliziert ist, der eine öffentliche Ordner Datenbank besitzt. Unabhängig davon ob dieser Server Replikate besitzt oder nicht, die Hierarchie wird immer komplett repliziert.

Mein Fazit zum Thema der Wiederherstellung von öffentlichen Ordnern ist somit recht ernüchternd, dass es nahezu nicht möglich ist in angemessenen Rahmen und technischen Möglichkeiten ein Recovery durchführen zu können. Schlussendlich haben wir uns mit Ontrack Powercontrols geholfen und die an einen alternativen Ort zurückgesicherten Öffentliche Ordner Daten direkt zurück in den Exchange Live Server geschossen. Dieser Weg hat den Vorteil, dass zumindest die Berechtigungen vorhanden bleiben, nicht aber die Email Aktivierungen.
Wichtig in diesem Zusammenhand ist noch, dass die Software nicht auf einem Exchange 200x Server installiert werden darf, da die Software ein lokal installiertes Outlook benötigt.

Am Ende des Tages muss schlussendlich jeder selbst entscheiden wie entscheidend der Verlust der Email Aktivierungen oder Berechtigungen in öffentlichen Ordnern für ihn ist. Je größer die Umgebung, desto wichtiger werden aus meiner Sicht die oben genannten Punkte.

Einen letzten Aspekt möchte ich gerne noch ansprechen, der sicherlich nur für die wenigsten Implementationen zutrifft. In öffentlichen Ordnern können bekannterweise auch Verteilerlisten und Kontakte erstellt und gepfelgt werden. Diese Kontakte könnten natürlich dann auch Mitglied dieser Verteilerliste sein. Werden diese Daten dann beispielsweise durch 3rd Party Software wiederhergestellt funktionieren zwar die Verteilerlisten noch können aber nicht mehr verändert werden.

Lessons Learnd:
- öffentliche Ordner sollten nicht mehr als 5000 Elemente beinhalten, da ansonsten ein Restore nicht mehr gewährleistet werden kann, guckst du http://technet.microsoft.com/en-us/library/bb124200%28EXCHG.65%29.aspx
-öffentliche Ordner sollten immer mit einem Limit versehen werden, so dass diese immer mittels PFDAVAdmin zurückgesichert werden können
- Regelmäßige Backups der PF Berechtigungsstruktur (kann mittels PFDAVAdmin durchgeführt werden)
- In großen Umgebungen sollten über die Lizenz von Kroll Ontrack Powercontrols nachgedacht werden

Viele Grüße, Jens