Zitat
NobbyausHB schrieb:
Solltest du übrigens zeitnah ersetzten, auch die sind ab dem 8.4.2014 aus dem Support!
Moin,
deine Info ist nicht ganz korrekt, du verwechselst das bestimmt mit Office 2003 
Windows Server 2003 R2 Standard Edition (32-bit x86)
Startdatum: 05.03.2006
Ende Mainstream Support: 13.07.2010
Ende Extended Support: 14.07.2015
Ende Service Pack Support: 14.04.2009
Siehe auch http://support.microsoft.com/lifecycle/?LN=de-ch&C2=1163
LG
Hallo,
folgende Konstellation, alles in einer Site:
2 Domänencontroller beide Windows 2003 R2: DC1 und DC2
2 Exchangeserver 2010 SP3 aktuelles URP: CASHUB und MB
wir haben außer der Reihe nach dem letzten Patchday die Domänencontroller nicht am WE sondern unter der Woche neu gestartet in dem Glauben, dass solange einer weiterhin aktiv ist, die Benutzer nichts mitbekommen. Leider hat Outlook 2007 SP2 die Idee nicht für gut befunden, so dass die Benutzer aus ihrem Outlook geflogen sind und sich neu authentifizieren mussten. Dies hat uns etwas irritiert, da wir davon ausgingen, dass Outlook sich am CAS anmeldet und nicht am DC. Da wir erst vor kurzem von Domino migriert haben fehlt uns da die Exchange Erfahrung.
In den Logs der Clients konnte ich nichts finden, in den Logs des verbleibenden DCs ebenfalls nicht. Der MB Server jedoch schreibt zu dem Zeitpunkt, als wir DC1 neu gestartet haben folgendes:
Das Sicherheitssystem konnte keine sichere Verbindung mit dem Server ldap/DC2.Domain.tld/Domain.tld@Doamin.tld herstellen. Es war kein Authentifizierungsprotokoll verfügbar.
Der Versuch den DNS-Hostnamen des Computerobjekts im Active Directory zu aktualisieren ist fehlgeschlagen. Der aktualisierte Wert war "MB.Domain.tld". Der folgende Fehler ist aufgetreten:
In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.
Der Versuch die HOST-SPNs (Service Principal Names) des Computers im Active Directory zu aktualisieren ist fehlgeschlagen. Die aktualisierten Werte waren "RestrictedKrbHost/MB.Doamin.tld" und "RestrictedKrbHost/MB". Der folgende Fehler ist aufgetreten:
In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.
Auf dem CASHUB ist folgendes im Log zu finden:
Prozess SMEX_SystemWatcher.exe () (PID=1708). Der Exchange Active Directory-Anbieter hat die Verbindung mit dem Domänencontroller DC2.Domain.tld verloren. Fehler: 0x51 (ServerDown) (Active Directory-Antwort: Der LDAP-Server ist nicht verfügbar.). Der Exchange Active Directory-Anbieter unternimmt einen erneuten Verbindungsversuch, sobald der Domänencontroller wieder erreichbar ist.
Frage:
Ist das Verhalten wanted by Design, oder habe ich eine fehlerhafte Konfiguration?
Gruß, MTheis
ZitatAlles anzeigen
RobertW schrieb:
Du sagtest: " dass wenn du "FullAccess" und "Send As" vergibst der Server da automatisch ein "Send on behalf of" daraus macht?"
Also: Send As soll zu Send on Behalf werden.
Im Artikel ist aber genau vom umgekehrten Fall die Rede: "...You would expect that User C receives an Email from “User B on behalf of User A ... This means that User B actually Sent an Email As User A."
Aus "Send on behalf" wurde also "Send As." Und es ist dort auch beschrieben, wie so das so ist -> weil der Benutzer über Vollzugiff quasi zum Inhaber wurde und als dieser fungiert. Dies Verhalten ist IMHO auch in 2013 so enthalten.
Jepp genau, ich hatte das verwechselt und zu dem Zeitpunkt den Artikel nicht mehr gefunden. Ich hatte nur noch im Kopf, dass in einer Konstellation mit FullAccess aus der einen Variante automatisch die andere wird
Hallo zusammen,
ist es möglich per OWA oder 2. MAPI-Profil auf ein 2. Exchangepostfach zuzugreifen auf das man keinen Vollzugriff hat? Welches Recht ist dafür entscheidendend?
Per ExFolders habe ich auf die "oberste Ebene des Informationsspeichers" Die Rechte "Publishing Editor" gesetzt. Im eigenen MAPI-Profil mit eingebunden (Outlook 2007) kann der Anwender auch problemlos mit dem 2. Postfach arbeiten. Wenn er jedoch per OWA oder 2. MAPI-Profil darauf zugriefen möchte (z.B. zum Aktivieren der Abwesenheitsnachricht) erhält er keinen Zugriff.
Weiß jemand welche Rechte dafür noch benötigt werden?
RobertW: Ich weiß, dass das Berechtigungskonzept nicht glücklich ist und du mir viele Probleme prophezeit hast... siehe anderer Thread
Gruß, Michael
Zitat
RobertW schrieb:
Definiere "Rechte"! In den meisten Firmen sieht das so aus, dass die Leute mit dem Funktionspostfach arbeiten sollen. Und echtes Arbeiten geht halt nur mit Vollzugriff.
Da sind wir bei dem Punkt. Wenn ich Vollzugriff gebe, können die MA selbst die Berechtigungen und Freigaben innerhalb der Mailbox ändern. Nach unseren Richtlinien dürfen solche Änderungen aber nur schriftlich nach Genehmigung der jeweiligen Abteilungsleitung erfolgen. Diese Genehmigungen gehen an die IT, werden umgesetzt und entsprechend abgeheftet. Wir werden alle 1 - 2 Jahre extern stichprobenartig kontrolliert, ob die Berechtigungen im System mit denen der schriftliche fixierten übereinstimmen.
Zitat
Definitiv nicht. "Send As" und "Send an behalf" sind zwei unterschiedliche Dinge. Man darf zwar nicht beides Konfigurieren, aber einzeln funktionieren sie wie erwartet.
Ich bezog mich auf diese Aussage hier:
http://blogs.technet.com/b/ehl…nd-on-behalf-send-as.aspx
Gruß, Michael
P.s. Zum Thema Vollzugriff werde ich gleich noch einen anderen Thread eröffnen, da das dortige Problem nicht ganz in diesen Thread passt
Zitat
RobertW schrieb:
Alles. Outlook stellt sich irgendwann zickig an, wenn die Daten nicht sauber gecacht werden, was sie bei einzelner Ordnereinbindung nicht erfolgt. Gleiche Probleme gibt es irgendwann auch bei "normal" eingebundenen Postfächern.
Motivation ist nicht so deine Stärke, oder? Wir haben Caching deaktiviert (außer Notebooks) und die Mailboxgrößen beschränkt in der Hoffung dem damit etwas entgegensetzen zu können.
Zitat
Ich habe bisher nur eine echte, saubere und dauerhaft funktionierende Lösung gefunden: Vollzugriff, Automapping aus und das Funktionspostfach als echtes zusätzliches Exchange-Postfach einbinden. Geht aber erst ab Ol 2010.
Das mit OL2010 ist uns "leider" bekannt. Allerdings ist der Grund nicht schwerwiegend genug, dass ich Gelder für ein Update auf 2010/2013 bekommen würde. Das muss leider warten.
Die Sache mit dem Vollzugriff macht mich stutzig, denn damit hast du doch 2 weitere Probleme. Erstens hebelst du damit das komplette Rechtemanagement aus und zweitens war es nicht so, dass wenn du "FullAccess" und "Send As" vergibst der Server da automatisch ein "Send on behalf of" daraus macht?
Zitat
Outlook und Exchange sind halt kein Workflow-System und der Zugriff auf andere Postfächer dient der Vertreter, nicht der intensiven Arbeit.
Da hast du leider recht. Aber das ständige Outlook schliessen, wieder öffnen und in einem anderen MAPI Profil anmelden macht die User nicht gerade glücklicher.
Zitat
Ohne das Wissen, was Objekte sind, wie man an die Eigenschaften rankommt und wie man sie richtig verwendet, wirst Du kein Spaß haben. Dann solltest Du zuerst mit einem guten Buch oder einem Kurs beginnen.
Kurs ist für Q1/2014 geplant 
Gruß, Michael
Zitat
RobertW schrieb:
Früher oder später wirst Du mit Deinem Konstrukt eh in Probleme laufen
Du kannst die Berechtigungen auf via EMS vergeben und in diesem Zusammenhang auch das AD-Attribute via Shell setzen. Ist nicht so aufwendig und in der Shell hast Du alle Infos (den DN des Users) eh im direkten Zugriff.
Hallo Robert,
danke für die schnelle Antwort. Welcher Teil meines Konstruktes wird das Problem verursachen? Kann ich das ganze sauberer umsetzen, dass ich keine Probleme zu erwarten habe?
Für die Scripting Geschichte mit dem AD-Modifay werde ich mir wohl mal PowerGUI von Quest ansehen... dürfte nen Powershell Beginner entsprechend unterstützen. Zumal ich vermutlich auch noch das eine oder andere zusätzliche CMDlet wie Set-QADUser gebrauchen kann.
Gruß, MTheis
Hallo zusammen,
wir lieben unsere User und möchten ihnen daher auch komfortabel die Mailboxen zur Verfügung stehen, die sie für ihre Arbeit benötigen. Während der Migrationsphase von unserem bisherigen Mailsystem haben wir daher zunächst (auch dank großer Unwissenheit) den Benutzern auf die sog. Funktionsmailadressen wie z.B. support@domain.tld Vollzugriff gewährt. Das war eine unheimlioch praktische Sache, da die User a) automatisch genug Rechte hatten und b) die Funktionsmailadressen so auch automatisch im Outlook 2007 erschienen sind.
Das haut natürlich jedwedes Berechtigungskonzept voll über den Haufen. Also wird der Vollzugriff wieder gestrichen und die Berechtigungen manuell mittels ExFolders vergeben und durchgedrückt.
Feine Sache, bis auf die Tatsache, dass die Mailboxen jetzt nicht mehr automatisch in den MAPI Profilen der Benutzer erscheinen. Und da einige bis zu 10 Funktionsmailadressen benötigen, die sie dann immer manuell einrichten müssten wenn sie den Arbeitsplatz wechseln (keine Roaming Profiles) ist das ein ziemlicher Aufwand.
Also habe ich mir angesehen warum die Mailboxen beim setzen des Wertes "Vollzugriff" automatisch eingebunden werden. Das hängt mit dem AD Attribut msExchDelegateListLink der jeweiligen Mailbox zusammen. Die Dort aufgeführten Benutzer in kompletter LDAP Schreibweise ( CN=Vorname Nachname,OU=Team,OU=Division,OU=Company,DC=Domain,DC=TLD ) erhalten automatisch die jeweilige Mailbox eingebunden.
Siehe auch http://www.frankysweb.de/?p=673
Somit habe ich mittels ADSI Editor das Problem technisch schon einmal gelöst, finde es aber noch recht unschön von der Handhabung her, zumal ich die Kompletten namen immer per Hand eingeben muss, oder aber vorher erst die entsprechende OU exportieren in eine Textdatei, diese dann öffnen, Namen rauskopieren usw.
Kennt jemand eine elegantere Methode / ein Tool wie sich diese Aufgabe bewältigen lässt? Ich fasse noch einmal die Eckdaten zusammen:
- Exchange 2010 SP3 Rollup 2
- Anlegen einer Funktionsmailadresse (Neues Postfach erstellen und AD-Konto deaktivieren)
- Berechtigungen setzen für "Top of Information Store und Free Busy Data)
- Automapping für die berechtigten Benutzer aktivieren (msExchangeDelegateListLink)
- Outlook 2007
Gruß, MTheis
Danke RobertW,
genial und blitzschnell. Bei dir sieht das so einfach aus
Hat super funktioniert, Thema ist somit gelöst.
LG, MTheis
Nachdem unsere Exchangeserver endlich auf dem aktuellsten Stand sind sollte auch endlich die obige Funktion sauber funktionieren. Bei einzelnen Mailboxen habe ich es auch schon manuell erfolgreich getestet. Allerdings haben wir eine nicht all zu kleine Anzahl an betroffenen Mailboxen (leider nicht alle), die jedoch alle innerhalb einer bestimmten OU liegen.
Ich benötige daher ein Powershellskript, welches für
Alle Mailboxen in OU=xyz den Wert
Set-MailboxSentItemsConfiguration <Postfach-id> -SendAsItemsCopiedTo SenderAndFrom
und
Set-MailboxSentItemsConfiguration <Postfach-id> -SendOnBehalfOfItemsCopiedTo SenderAndFrom
setzt.
Leider reichen meine Powershellkenntnisse dafür nur in soweit aus, dass ich mir ziemlich sicher bin, dass das zu lösen ist.
Kann mir da evtl. jemand helfen?
Danke, MTheis
