Mittwoch, 6. Juni 2018

Anpassen internes O365 Email Routing

Hallo zusammen,

ich hatte vor einigen Tagen die Anforderung, dass sämtliche internen O365 Emails nicht direkt "intern" in O365 direkt zugestellt werden sollen, sondern zuerst zu einem externen Dienstleister gesendet werden sollen. Erst im Anschluss soll die Email in O365 zugestellt werden.

Der externe Dienstleister ist in diesem Fall die Hornetsecurity, welche in diesem Fall für das Verschlüsseln/Signieren, Anhängen der Email Signatur und Archivieren der Emails zuständig ist. So dass somit jede Email, also jede interne und jede externe Email entsprechend "behandelt" wird muss diese zweifelsohne auch über die Infrastruktur der Hornetsecurity geroutet werden.

In meinem Test-Szenario arbeite ich mit der Test-Domäne drmaxx.com.
Für diese Domäne habe ich bereits in O365 einen Tenant angelegt, die öffentlichen MX Records zeigen in diesem Fall auf die Hornetsecurity Cloud Plattform.

Zuerst muss sichergestellt werden, dass alle Emails die zur Hornetsecurity gesendet werden auch weiter zu O365 geroutet werden. An dieser Stelle ist wichtig, den richtigen DNS Eintrag zu verwenden. Hierzu meldet meldet man sich im O365 Tenant an und wechselt in das Admin-Center-> Setup->Domänen-> hier ist nun die Standard-Domäne auszuwählen. In meinem Fall ist das drmaxx.com. Um Anschluss werden u.a. sämtliche Infos zu Exchange Online angezeigt, der "MX Eintrag" wird nun zwischengespeichert




Der "MX" Wert wird nun im Hornetsecurity Control Panel als Ziel-System hinterlegt und gespeichert:


Die Vorbereitungen sind somit abgeschlossen. Im nächsten Schritt verbinde ich mich mit der Remote PowerShell von O365, siehe https://backendfrontend.blogspot.de/2018/05/tooltip-powershell-verbindung-nach-o365.html

Um die internen Emails eindeutig zu identifizieren wird eine s.g. Transportregel erstellt. Diese Transportregel stellt sicher, dass sämtliche interne Emails an den HSE Sende-Connector übermittelt werden. 


Im nächsten Schritt der der s.g. Sende-Connector angelegt. Hierzu im Exchange Admin Center unter "Mail flow" -> "Connectors" wechseln und einen neuen Connector anlegen:


Definition Name des Send-Connectors



Abhängigkeit Sende-Connector zu zuvor angelegter Transportregel


Definition Smarthost


Konfiguration Verschlüsselung der Kommunikation



Viele Grüße, Jens



Samstag, 26. Mai 2018

Migration öffentliche Ordner Exchange 2010 nach Exchange 2016 - Teil1

Hallo zusammen,

in diesem ersten Teil der Migration der öffentlichen Ordner von Exchange 2010 nach Exchange 2016 beschäftige ich mich mit den Vorbereitungen, so dass Exchange 2016 Benutzer auf die noch bestehenden Exchange 2010 öffentlichen Ordner zugreifen können.

Zu Beginn ist es nicht unwichtig, dass Exchange 2016 Benutzer jederzeit auf öffentlichen Ordner der Exchange 2010 Server zugreifen können, somit ist es klar dass zuerst sämtliche Postfächer nach Exchange 2016 migriert sein müssen bevor die öffentliche Ordner Migration beginnen kann. In diesem Szenario gehe ich somit davon aus, dass sämtliche Benutzerpostfächer bereits nach Exchange 2016 migriert worden sind.

Sobald jedoch ein Benutzer nach Exchange 2016 migriert worden ist, hat dieser nicht perse Zugriff auf die öffentlichen Ordner des Exchange 2010 Servers. Um den Zugriff zu gewährleisten muss ein Proxy Postfach erstellt werden, welches zwischen den beiden Exchange Servern "kommuniziert" und Exchange 2016 Benutzern die öffentlichen Ordner des Exchange 2010 Servers im Outlook präsentiert. Es ist im übrigen nicht möglich über OWA 2016 auf die öffentlichen Ordner des Exchange 2010 Servers zuzugreifen.

Ohne diese Voraussetzungen begrüßt uns Outlook mit dem folgenden Fehler, sobald unser Exchange 2016 Benutzer auf die Exchange 2010 öffentliche Ordner zugreifen möchte:

Cannot expand the folder. The set of folders cannot be opened. Network problems are preventing connection to Microsoft Exchange.








Can’t complete your request
No public folders are available. Check that a public folders deployment exists in this Exchange organization. If so, please try again later



Somit widmen wir uns zuerst einmal den Voraussetzungen für den Zugriff der Exchange 2016 Benutzer auf die öffentlichen Ordner auf Exchange 2010. Wir stellen zunächst sicher
Outlook can't access public folders hosted on legacy Exchange servers

Wenn wir uns nun die zugewiesenen öffentlichen Ordern eines beliebigen Benutzers anschauen, sieht das wie folgt aus (der Wert "DefaultPublicFolderMailbox" ist leer)

get-mailbox -Identity jens.kleinhans| fl *public*



Nun weisen wir zunächst dem Benutzer Administrator Proxy Mailbox zu.
Set-Mailbox jens.kleinhans -DefaultPublicFolderMailbox (siehe Technet Artikel)


Im Anschluss wird erstmal getestet ob der Zugriff funktioniert indem versucht wird ob der Exchange 2016 Benutzer - via Outlook - die Exchange 2010 öffentlichen Ordner zu browsen.

Danach erteilen wir allen Benutzer der Datenbank(en) Zugriff auf die Exchange 2010 öffentlichen Ordner:

Set-MailboxDatabase (Get-Mailbox ).Database -PublicFolderDatabase (Get-MailboxDatabase (Get- Mailbox ).Database).PublicFolderDatabase

Zum Abschluss habe ich den MSExchangeRPC Dienst sicherheitshalber sowohl auf Exchange 2010 als auch auf dem Exchange 2010 durchgestartet.

Im nächsten Teil werden wir uns die Migration der öffentlichen Ordern von Exchange 2010 nach Exchange 2016 anschauen.

Viele Grüße, Jens



Freitag, 25. Mai 2018

Tooltip: PowerShell Verbindung nach O365

Hallo zusammen,

mit dem nachfolgenden Script ist es ganz einfach sich per Powershell auf seine O365 Umgebung zu verbinden um dort administrative Tätigkeiten durchführen zu können, https://www.cgoosen.com/2017/03/script-connect-365-ps-connect-to-office-365-services-using-remote-powershell/

Viele Grüße, Jens

Samstag, 19. Mai 2018

Exclaimer: Hinzufügen von Signaturen für IOS Geräte

Hallo zusammen,

wir haben vor kurzer Zeit die Anforderung eine neue automatisierte Signatur für einen Kunden via Exclaimer zu realisieren (für einen Exchange onpremise Server). Im Zuge der Konfiguration wurde "nur" die html Signatur erstellt, was sich als Fehler herausgestellt hat.

Beim Testen via Outlook wurde die Signatur wie gewünscht angefügt, allerdings wurden Signaturen über das IPhone bzw. IPAD nicht angezeigt. Die Lösung ist, dass auch noch eine Text-Signatur angelegt werden muss, da IOS Geräte Text Emails versenden. Ich habe hierzu einfach die html-Signatur kopiert und bei der Text Signatur eingefügt und schon klappt es auch mit den IOS Geräten.



Von daher am besten gleich von Anfang an auch die Text Signatur gleich erstellen, das spart Troubleshooting hintenraus.

Viele Grüße, Jens

Erweiterung User Profile Disks

Hallo zusammen,

zu Beginn der Erstellung einer RDS Collation muss sich der Administrator entscheiden, sofern dieser auf User Profile Disk setzt, wir groß die maximale Größe die User Profile Disk maximal werden darf.



Einmal eingestellt kann die maximale Größe der User Profile Disk nicht mehr geändert werden.
Was also tun, wenn die maximale Größe einzelner Benutzer nun doch erweitert werden muss, da der Benutzer das Limit gerissen hat und in seinem Profil beliebige Probleme hat (wie z.B. keine Speicherungen von Daten mehr auf dem Desktop mehr möglich)?

In einem früheren Beitrag habe ich die Vorgehensweise dokumentiert wie der Benutzername zu einer User Profile Disk ermittelt werden kann, https://backendfrontend.blogspot.com/2018/05/ermittlung-dateiname-einer-user-profile.html

Sofern die VM auf einem HyperV Server betrieben wird, muss die User Profile Disk Datei auf den HyperV Server kopiert werden. Sicherheitshalber ist es zum empfehlen eine Sicherung der Datei anzufertigen bevor hier Veränderungen vorgenommen werden. 

Sobald die VHDX Datei auf dem HyperV Server lokal vorliegt kann die Datei über den HyperV Manager erweitert werden.


Im weiteren ist nun die .vhdx Datei auszuwählen, die wir erweitern möchten:


Nun wählen wir "Erweitern" aus, da wir die bestehende Größe der Festplatte erhöhen möchten:


im letzten Schritt legen wir die neue maximale Größe der User Profile Disk fest und bestätigen mit "Fertigstellen"



Die bestehende Dateigröße der soeben angepassten .vhdx Datei bleibt unverändert, das Festplattenlimit wurde nur nun in diesem Fall auf 20 GB erhöht.
Die Datei wird nun wieder an ihren ursprünglichen Speicherort verschoben, so dass der Benutzer auf seine UPD wieder zugreifen kann. Sicherheitshalber bewahre ich die ursprüngliche .vhdx Datei noch ein paar Tage auf.

Viele Grüße, Jens




Mittwoch, 16. Mai 2018

Drucker und Terminal Server - Freunde fürs Leben

Hallo zusammen,

ich hatte in der vergangenen Zeit immer wieder Probleme mit dem Drucken aus dem Terminal Server heraus. Meine Umgebung besteht aus einer Windows Server 2016 RDS Farm und einem zentralen Print Server - ebenfalls Windows Server 2016. Die Drucker habe ich verbunden über den Netzwerkshare des zentralen Druckservers.

Mit den folgenden Symptomen habe ich zu kämpfen gehabt:

  • Der verbundener Drucker war von einem zum nächsten Tag nicht mehr vorhanden
  • Der verbundene Drucker wurde als "anderes Gerät" angezeigt
  • Der Drucker war zwar präsent, hat aber beim Drucken auf ein Treiber-Problem hingewiesen
Schlussendlich gab es beliebig viele Probleme, welche auch mit einem Neustart der RDS-und Druckserver nicht behoben werden konnte. Die Windows Updates waren selbstverständlich alle drauf.

Ich wusste mir anfangs nicht zu helfen als die Drucker wiederzu verbinden bzw. diese zu löschen und wieder neu hinzuzufügen. Dies konnte jedoch keine Lösung sein und habe nach einiger Recherche folgende Möglichkeiten gefunden um das Problem nachhaltig zu lösen:

Im Nachfolgenden Registry Key wurden die den Benutzern zugewiesenen Registry Schlüssel nach einer erfolgreichen RDS Abmeldung nicht auf den RDS Servern gelöscht. Daraufhin habe ich den Schlüssel sicherheitshalber exportiert und den Schlüssel vollständig gelöscht.

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\Client Side Rendering Print Provider]
    Im Anschluss habe ich erneut einen leeren Schlüssel namens "Client Side Rendering Print Provider" wieder angelegt.
  • Eine Alternative ist ebenfalls die Drucker per Gruppenrichtlinien zu verteilen. Dies hat den Vorteil, dass die GPO regelmäßig überprüft ob der Drucker vorhanden ist und legt ggf. den Drucker erneut an. Somit habe ich mir eine GPO angelegt



    Im Anschluss habe ich den freigegebenen Netzwerkdrucker hinterlegt:



    Unter "Gemeinsame Optionen" habe ich dann eingerichtet, dass der Drucker im Benutzerkontext hinzugefügt werden soll und dass der Drucker1 nur den Benutzern zugewiesen werden soll, die in der entsprechenden Gruppe Mitglied sind



    Nun noch die Gruppe auswählen, die dem Drucker zugewiesen ist.



Ich habe mich daraufhin mit einem Microsoft Support Spezialist unterhalten, dieses Problem war leider kein Einzelfall und es wäre auch müssig darüber zu diskutieren ob das Problem im Treiber des Druckerherstellers oder bei Microsoft selbst liegt. Wie auch immer, Microsoft empfiehlt das Verteilen der Drucker über GPOs zu realisieren.

Viele Grüße, Jens





Sonntag, 13. Mai 2018

Ermittlung Dateiname einer User Profile Disk

Hallo zusammen,

es kann manchmal vorkommen dass die User Profile Disks der Terminal Server Benutzer lokalisiert werden müssen. Die User Profile Disk Dateinamen werden allerdings als %SID%.vhdx Datei gespeichert:


Es gibt im Technet ein PowerShell Script zum Auschlüsseln der Benutzernamen hinter den .vhdx Dateien. Die Benutzer müssen hierzu übrigens nicht angemeldet sein, https://gallery.technet.microsoft.com/Retrieve-usernames-for-a-94780a9e 

Viele Grüße, Jens

Samstag, 5. Mai 2018

Migration VMWare nach HyperV

Hallo zusammen,

ich hatte das Vergnügen einige Tests VMs meiner VMWare Umgebung nach HyperV zu migrieren. Zu Beginn hatte ich den Fehler gemacht, dies auf einem Windows 7 Client auszuführen, bevor ich die Migration dann direkt auf dem HyperV Server durchgeführt habe.

Zu beachten an der Migration ist die Tatsache, dass für den Migrationszeitraum der doppelte Bedarf an Storage zur Verfügung stehen muss da sowohl die VMDK als auch die VHDX Datei gleichzeitig auf dem abgelegt werden.

Zu Beginn habe ich mir den Virtual Machine Converter erstmal auf dem HyperV Server installiert, anbei der Link zum Download, https://www.microsoft.com/en-us/download/details.aspx?id=42497

Es ist natürlich richtig, dass diese Software in Rente geschickt worden ist, sie hat jedoch einwandfrei funktioniert um meine VMs auf einen HyperV 2016 Server zu migrieren. Ich habe dabei sowohl Windows Server 2008 R2, Windows Server 201 R2 als auch Windows Server 2016 konvertiert.

Nach der Installation eine PowerShell öffnen und erstmal das Modul laden:
Import-Module 'C:\Program Files\Microsoft Virtual Machine Converter\MvmcCmdlet.psd1'

Im Anschluss können die Festplatten Stück für Stück migriert werden. Ich habe hier die Erfahrung gemacht nicht zu viele Jobs parallel durchzuführen, da mir zwischendurch immer mal wieder der RAM ausging und der Job abgebrochen.
ConvertTo-MvmcVirtualHardDisk -SourceLiteralPath C:\ClusterStorage\Volume1\Server1\Server1.vmdk -VhdType DynamicHardDisk -VhdFormat vhdx -destination C:\ClusterStorage\Volume1\Server1\

Viele Grüße, Jens