Beiträge von jaX

Hallo zusammen,

ich habe fast das gleiche Problem heute wieder. Kleiner Unterschied: Es handelt sich nicht um eine neue Mailbox, sondern um eine Namensänderung (nach Hochzeit). Die Namensänderung ist bereits mehrere Monate her. Die Mailbox ist nicht "hidden from addressbook". Der User wird bei mit als Domänen-Admin in der GAL angezeigt, bei 4 einfachen Usern, bei denen ich es überprüft habe, nicht.

Verwendet wird Outlook 2007 im Cache Mode. Schalte ich den Cache Mode ab, ist die Mailbox sofort sichtbar.

Das muss doch etwas mit dem OAB zutun haben.
Für Hilfe wäre ich sehr dankbar!

Hallo zusammen,

ich habe im Einsatz:
- Exchange 2007 (Rollen Mailbox, CAS und HubTransport auf einem Server)
- Internet Mail Connector Einstellungen:
---> use domain name system (DNS) “MX” records to route mail automatically
---> use the External DNS Lookup settings on the transport server
- Outlook 2007

Mein Problem:
E-Mails zu einer bestimmten Domäne können nicht zugestellt werden. Sie hänge mehrere Tage mit der Fehlermeldung

451 4.4.0 Primary target IP address responded with: "421 4.4.2 Connection dropped." Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.

in der Queue und werden dann mit der NDR #550 4.4.7 QUEUE.Expired; message expired ## verworfen.

Nach Aussage der Admins der Zieldomäne werden Ihnen zuverlässig alle E-Mails zugestellt. Eine spezielle Suche nach unsere Domäne brachte kein Ergebnis, als würde unsere Mails gar nicht so weit kommen. Die wollen von uns Logeinträge sehen, die zeigen, dass unsere Mail von ihrem Provider abgelehnt werden.

Wenn ich mir die nicht zugestellte Mail im Message Tracking anschaue, bringt mir das auch nicht weiter, die EventIDs SEND und DELIVER fehlen einfach.

Ein nslookup auf den MX der Domäne bringt mir einen Server zurück, zu dem ich mich per telnet über Port 25 auch verbinden kann. Ein Traceroute zu der Domäne kann nicht beendet werden. Der Hop ihrer Zentrale in Norwegen wird noch angezeigt (domäne.com), wenn es dann zur deutschen Domäne geht (domäne.de), kommt nur noch * * * Zeitüberschreitung der Anforderung.

Scheint irgendetwas mit DNS nicht zu funktionieren, oder? Bei Hilfe wäre ich dankbar.

Hallo zusammen,

ich habe ein paar Fragen zu folgendem Szenario:

Die bestehende Win2003 Domäne firma.de soll abgeschafft werden. Stattdessen soll eine neue Win2003 Sub-Domäne der Muttergesellschaft entstehen, die über VPN mit der Hauptdomäne repliziert. Ich habe jetzt bereits einen ersten (virtuellen) Windows 2003 Server R2 installiert, der bereit ist, DNS Server und DC zu werden.

In der neuen Domäne soll dann auch ein Exchange Server in die bestehende Exchange Organisation der Muttergesellschaft installiert werden und die Postfächer aus der alten Domäne firma.de übernommen werden. Ab erst einmal das AD selber:

1. Kann ich im bestehenden Netzwerk (im gleichen Subnetz), wo bereits die Domäne firma.de mit DNS Servern läuft, parallel einen DNS Server für die neue Sub-Domämne installieren, oder kommen die sich in die Quere?

2. Wie geht man bei der Installation der neuen Sub-Domäne am besten vor?

3. Gibt es triftige Gründe, die neue Sub-Domäne in einem anderen Subnetz aufzubauen? Das würde erheblichen Aufwand u.a. in den Bereichen Routing/VPN/Firewall erzeugen.

Danke im Voraus für Tipps!

Ich habe spaßeshalber nochmal im IIS-Manager den Wizard gestartet und habe "Renew current certificate..." gewählt. Und siehe da, auf einmal konnte ich wieder "Send request immediately..." auswählen und der Zertifikat-Server stand wieder zur Verfügung. Verstehe ich mal überhaupt nicht. Kann ich mir nur so erklären, dass der (recht alte und deshalb recht ausgelastete) Zertifikat-Server einfach busy war.
:-?

Jedenfalls hat er das Zertifikat jetzt bis zum 15.08.2010 verlängert und ihm auch einen neuen Thumbprint verpasst.

Trotzdem würde ich gerne noch wissen, wie es denn korrekt mit dem Clonen gemacht wird, wenn jemand so freundlich ist

Und noch eine andere dumme Frage:
Wenn mir der Befehl

Get-ExchangeCertificate | ft

drei zertifikate ausgibt, wovon zwi für I (IMAP) und P ( POP) aktiviert sind, ist das schlecht? sollte ich das zweite deaktivieren?

Hallo Norbert,

danke für deine Antwort. Den Befehl kenne ich schon, der listet die Certs auf. Allerdings zeigt er mit nach dem Clonen exakt das gleiche an wie davor. Deshalb frag ich nochmal anders herum und hoffe dass du es nochmal für Dumme erklärst:

Wird beim Clonen mit dem Befehl

Get-ExchangeCertificate -Thumbprint xxxxxxxxx | New-ExchangeCertificate

ein neues Cert mit neuem Thumbprint erstellt, oder bleibt der Tumbprint gleich (ist ja schließlich ein Clone)?

Wie kann ich denn nun den Clone (wo auch immer er liegt) für IMAP, POP3 und WWW aktivieren?
Wenn ich den Befehl

Enable-ExchangeCertificate -Thumbprint <alterTumbprint> -Service IIS

(oder IMAP) ausführe, bringt das leider rein garnichts. Dann habe ich im IIS-Manager immernoch das abgelaufen Cert stehen.

Hallo Norbert,

danke für den Link. Allerdings brint der mich nicht richtig weiter.
Laut des Technet-Artikels soll man das alte zertifikat einfach mit dem folgenden Befehl clonen:

Get-ExchangeCertificate -Thumbprint xxxxxxxx | New-ExchangeCertificate

Den Befehl habe ich ausgeführt. Allerdings bekomme ich im IIS-Manager immernoch das alte abgelaufene Zertifikat angezeigt. Ich schätze ich muss den neuen Clone aktivieren. Im Kommentar zum Artikel steht der folgende Befehl dazu:

Neues Zertifikat aktivieren
Enable-ExchangeCertificate -Thumbprint <neuerThumbprint> -Service IIS

Altes zertifikat entfernen
Remove-ExchangeCertificate -Thumbprint <neuerThumbprint>

Allerdings: Wo sehe ich das neue Zertifikat und dessen Fingerprint? Wo wird es abgelegt?

Gruß
Andreas

Hallo zusammen,

ich verzweifle (mal wieder) am Theme Zertifikate, wo ich keine Ahnung von habe.

Ich habe auf unserem Exchange Server eine selbstsigniertes Zertifikat (mail.domäne.de) für IMAP aktiv. Diese Zertifikat ist abgelaufen, weshalb in Outlook Warnmeldungen aufpoppen. Beim verlängern des Zertifikats habe ich jetzt Probleme:

Wenn ich im IIS Manager unter den Eigenschaften der Default Web Site unter dem Reiter Directory Security den Wizard starte, und dann "Renew the current certificate" wähle, kann ich nicht wie früher "Send request immediately..." wählen und dann den Zertifikatserver auswählen. Der Punkt ist ausgegraut und ich habe nur den Punkt "Prepare the request now, but send it later" (certreq.txt wird erzeugt). Ich denke also, dass die Verbindung zwischen dem Exchange und dem Zertifikat-Server nicht stimmt oder der Zertifikat-Server ein generelles Problem hat.

Wer kann mir weiterhelfen?

ich glaube das Thema hat sich gerade erledigt. Der User war über LAN-Kable mit dem internen Netz verbunden. Gleichzeitig war er mit dem Gäste WIFI verbunden und kam also noch zusätzlich von außen rein. Das muss irgendwie gestört haben, warum auch immer.
Verbinde ich mich nur intern oder nur extern, scheint es jetzt zu funktionieren. Trotzdem würde mich interessieren, was es mit dem zertifikat auf sich hat. Einer ne Idee? Krank!

Hallo zusammen,

ich habe mal wieder Probleme mit zertifikaten, bei denen werde ich glaube ich nie durchblicken.

Wenn ich in der Verwaltungs-Shell den Befehl Get-ExchangeCertificate eingebe, bekomme ich unter anderem das Zertifikat, dessen Thumbprint mit 4167 beginnt und korrekt auf mail.domäne.de ausgestellt ist, zurück gegeben. Diese Zertifikat ist für die Services .IP.W aktiv, also auch IMAP4.

Jetzt habe ich auf einen Outlook 2007 Client ein IMAP-Konto eingerichtet. Der erste Abruf der Mails funktioniert. Beim erneuten Start von Outlook erscheint aber dann die Fehlermeldung, dass das Zertifikat abgelaufen oder noch nicht gültig ist und das Abholen der Mails schlägt fehl. Gehe ich dann auf Zertifikat anzeigen, sehe ich ein völlig anderes Zertifikat, das zwar auch auf mail.domäne.de ausgestellt ist, aber dessen Thumbprint mit 3953 beginnt. Dieses Zertifikat bekomme ich beim Befehl Get-ExchangeCertificate garnicht angezeigt.

Wo bekommt der Client das Zertifikat her und wie kann ich es ändern, sodass er das gültige bekommt?

Gruß
jaX

Das Problem konnte behoben werden.
Ursache: Es wurden in der Default Domain Policy einige Rechte aktiviert (u.a. Verwaltung von Überwachungs- und Sicherheits-Protokollen). Weil die Default Domain Policy die höchste Priorität hat, wurde dadurch die Einstellungen der Domain Controller Policy überschrieben. Und in der ist konfiguriert, dass Exchange Server auch Überwachungs- und Sicherheits-Protokolle verwalten dürfen. Dadurch hatte der Exchange Server keine Berechtigung mehr für den Zugriff auf das AD.

Was lernen wir daraus: Wenn MS sagt, man soll die Default domain Policy niemals ändern, sollte man auf sie hören.