Microsoft Foren in deutscher Sprache Online

Microsoft hat wie bereits vor einiger Zeit für den englischsprachigen Raum nun auf den Forenbereich für deutsche Foren geöffnet. Die Homepage des Forenbereiches findet ihr unter folgendem Link. Es empfiehlt sich ein Profil anzulegen und unter “Meine Einstellungen” eine Signatur anzugeben. Die Foren werden auch von Microsoft-Mitarbeiter gelesen/moderiert. Beim ersten Test heute scheinen mir die Foren noch etwas langsam zu reagieren, aber das gibt sich hoffentlich bald.

Viele Grüße

Walter Steinsdorfer

Exchange 2007 Service Pack 1 Rollup 7 verfügbar

seit gestern ist das Rollup 7 für Exchange 2007 Service Pack 1 verfügbar zum Download. Auf dem Exchange Teamblog wird erklärt warum das Rollup 7 sehr schnell nach dem Rollup 6 kam: Beim Rollup 6 handelt es sich um ein Rollup das vorwiegend Sicherheitslücken beseitigt. Es wäre fatal gewesen wenn diese Lücken bis zum regulären Release eines Rollups offen geblieben wären.

Mit dem Rollup 7 werden einige Probleme beim Restore von Datenbanken in SCR-Umgebungen beseitigt, außerdem das Abstürzen der Edgetransport.exe auf Servern mit Hub-Transport-Rolle. Weiter beseitigte Probleme könnt ihr in dem dazugehörigen KB-Artikel lesen.

Wer das Rollup 6 noch nicht installiert hat sollte das unbedingt das Rollup 7 baldmöglichst einspielen. Das Update ist übrigens kumulativ, d.h. man muß nicht jedes Update seit Service Pack 1 gesondert einspielen sondern nur das jeweils aktuellste. Wie im KB-Artikel angegeben bitte unbedingt die URL http://crl.microsoft.com/pki/crl/products/CodeSigPCA.crl verfügbar machen, ansonsten starten die Dienste nicht ohne Hilfe selbst.

Viele Grüße

Walter Steinsdorfer

Internet Explorer 8 steht zum Download zur Verfügung

seit heute ist der Internet Explorer 8 verfügbar zum Download. Unter dem folgenden Link gibt es Informationen zu IE8. Praktisch das endlich mehr Optionen mit der rechten Maustaste zur Verfügung stehen, die auch selbst erweiterbar sind. Mehr Informationen zu Accelerators und anderen Verbesserungen finden sich auf den weiterführenden Links. Für IT-Pros gibts es Informationen zu IE8 im Technet, die Downloads für IE8 sind hier erhältlich.

Achtung: In Windows 7 ist der IE8 enthalten. Die momentan erhältliche Build 7000 enthält zwar eine Vorabversion, es wurde aber in Aussicht gestellt das der Release Candidate von Windows 7 die endgültige Version von IE 8 enthalten wird.

Viel Spaß beim besseren Surfvergnügen

 

Walter Steinsdorfer

Pimp my Outlook Anywhere

nein, das soll kein Artikel darüber werden wie man Outlook besser aussehen lässt. Die Exchange 2007 CAS-Rolle hat so ein paar Eigenheiten, insbesondere wenn man Outlook-Anywhere – Sessions darüber laufen lässt kann es bei zu viel Last auf dem Server zu Verbindungsabbrüchen kommen. Um das zu verhindern könnte man nun mehr CAS-Server betreiben oder den / die Server mit der CAS – Rolle “pimpen”. Wie das geht schildert dieser Artikel.

Erst einmal benötigt man für das Verständnis ein paar technische Grundlagen. Exchange, zumindest der “Web”-Anteil (also alles was über den CAS läuft) ist eine Webanwendung basierend auf Asp.net 2.0. Dotnet kommt mit dem .net-FrameExchange Web Configurationwork auf den Rechner. Die ASP.net Anwendungen können so konfiguriert werden das für jede Anwendung/Site ein anderer Applikations-Pool verwendet wird der in einem anderen Speicherbereich läuft. Für jeden dieser Applikations-Pools kann man dann verschiedene Einstellungen tätigen die sich direkt oder indirekt auf die Performance der Anwendung auswirken. Das gilt für Exchange-CAS genauso wie für Sharepoint.

Wie im nebenstehenden Bild zu sehen gibt es Webseiten und Application-Pools. Die Application – Pools sind im Task – Manager unter der Registerkarte Prozesse mit dem Eintrag “w3wp.exe” zu finden. Der CAS-Server benutzt für RPC über https den Eintrag “RPCwithCert” (wenn Sie die verschlüsselte Variante benutzen, wovon ich jetzt mal ausgehe). in den Eigenschaften des Eintrags “RPCwithCert” in der Registerkarte ist ersichtlich, das in der Default Konfiguration der Default-Application Pool ausgewählt ist (siehe auch Bild 2).

RPCoverhttpssite

Den Default Application Pool an die Konfiguration anzupassen wäre eine Möglichkeit, allerdings nicht die empfohlene Variante. Besser ist es einen neuen Application Pool zu erstellen und diesen der Webseite zuzuweisen.

 

 

 

 

 

 

 

new pool Um einen Neuen Pool zu erstellen in der IIS-Verwaltung bitte auf Application-Pool mit der rechten Maustaste klicken und New Application Pool auswählen. Als Vorlage kann der Default Application Pool dienen. Geben Sie dem neuen Pool einen Aussagekräftigen Namen wie zum Beispiel RPCoverHttps, Outlookanywhere oder ähnlich. In dem neuen Applikations-Pool, dessen Eigenschaften mit der rechten Maustaste erreichbar sind müssen noch ein paar Einstellungen getätigt werden.

 

KonfigW3wp1 Als erster Schritt bitte den Haken bei “Recycle Worker Prozeß” entfernen. Bei jedem Recycling wird der Cache komplett geleert und alle Clients versuchen sich zur selben Zeit erneut zu verbinden, das könnte sich kontraproduktiv auf die Performance auswirken. Auch der Eingestellte Wert von umgerechnet 29 Stunden ist nicht die beste Wahl, wer möchte kann aber auf “Recycle Worker processes at the following times” ausweichen und eine nächtliche Uhrzeit einstellen.

 

 

 

 

KonfigW3wp2

Auf dem Reiter “Performance” sollte man noch die Zeit nach der der Prozess sich herunterfährt wenn keine Anforderungen mehr laufen nach oben schrauben. Welche Werte hier für den einzelnen gut sind kann man am Besten durch ausprobieren herausfinden. Der 2. Wert ist sehr viel wichtiger, da das Request queue limit bei nur 1000 liegt. Dieser Wert wird schon in mittleren Umgebungen sehr schnell erreicht, Outlook stellt ja immer mehrere Anfragen gleichzeitig. Auch dieser Wert kann durch vorsichtiges Experimentieren verbessert werden. Zur Einstellung Webgarden sollte man sich überlegen wie viele Prozesse man pro CPU ablaufen lassen will. Ideal wäre die Einstellung pro Core 1 Prozess, oft ist es aber schneller 2 parallele Prozesse pro Core einzustellen. Ein wenig Experimentierfreudigkeit kann hier nicht schaden.

 

Reconfiguratet Site

Wie kommt nun “RPCwithCert” zu dem neuen ApplicationPool? einfach die Eigenschaften aufrufen, den Reiter “Virtual Directory” auswählen und den Button neben dem Namen des Pools auswählen. Dann den neuen Application Pool über das Drop Down Menü einstellen, übernehmen, fertig.

 

 

 

 

 

 

So, ich hoffe das das einige Fragen beantwortet. Viel Spaß beim tunen von Exchange.

Viele Grüße

 

Walter Steinsdorfer

Absichern von Unternehmensnetzwerken Teil 3 – Trennung von Admin und Userkonten

wie ich bereits in Teil 2 angekündigt habe widme ich mich in diesem Teil der Trennung von Administrator und Benutzerkonten. Diese Maßnahme wurde von meinen Mitarbeitern am Anfang gar nicht für gut befunden, sicher wird es noch andere Leser/Administratoren geben denen es genauso geht. Warum auch sollte man Administratoren 2 Konten geben, der weiß doch eigentlich immer wo man hinklicken darf, oder etwa nicht? Meiner Erfahrung nach leider nicht. machen Sie doch mal selbst den Test und fragen einen IT-Mitarbeiter mit Berufserfahrung (bei Anfängern funktioniert das leider nicht, die haben noch keinen “O.K.-click-Reflex”. ) was genau er da gerade bestätigt hat. Rote X im Popup, Warnhinweise etc. werden meist nur mit geringer Beachtung mehr oder weniger “wahrgenommen”. Und schließlich und endlich sind IT-Administratoren auch nur Menschen denen in der täglichen Arbeit Fehler unterlaufen können.

Die meisten kennen bestimmt die Sicherheitshinweise welche meist in monatlichen Abständen im Technet bekannt gegeben werden. Häufig sind Angriffe nur möglich wenn ein Konto mit vielen Rechten angemeldet ist, also ein Konto mit lokalen Administratorrechten beispielsweise. Häufig kommt ein Sicherheitsproblem in Form eines Virus oder anderer Schadsoftware aus dem Internet oder per USB-Stick in das Unternehmen. Wenn Sie wie ich in “Absichern von Unternehmensnetzwerken Teil 1” beschrieben habe das Unternehmensnetzwerk auch intern abgeschottet haben sollte sich der Schaden gering halten. Macht der Mitarbeiter als Administrator die Schadsoftware auf ist das Problem allerdings oft sehr groß. Administratoren haben oft Zugänge auf geschützte Systeme, die dann kompromittiert werden können. Nicht auszudenken wenn ein Benutzer mit Administratorrechten eine Schadsoftware unerkannt herunterlädt und das an dem einen Rechner ausführt der in der Firewall der Clients als Ausnahme eingetragen ist. Das Unternehmen wäre im Fall von Conficker oder Sasser in Sekunden lahmgelegt. Was kann man also tun damit dieser Fall nicht eintritt:

  • Das Arbeitskonto und das Administratorkonto der IT-Mitarbeiter trennen
  • Einen “IT-Terminalserver” einrichten. Hier dürfen sich nur die Administratorenkonten der Mitarbeiter anmelden
  • Den IT-Terminalserver als einzigen mit einem Zugang auf die Clients in der Domäne ausstatten (vgl. Absichern von Unternehmensnetzwerken Teil 1)
  • Das Administrator-Konto des IT-Mitarbeiters bekommt keine Mailkonto und keinen Zugang zum Internet, damit wird der Empfang bzw. das (versehentliche) herunterladen von Schadcode verhindert oder wenigstens erschwert.
  • Datenträger die im Unternehmen eingesetzt werden sollen werden nach jedem Kontakt mit einem Fremdsystem von der IT auf Schadsoftware untersucht
  • USB-Zugänge auf Rechnern für Mitarbeiter werden gesperrt.
  • Die Mitarbeiter werden natürlich geschult

Mit dieser Liste konfrontiert werden die meisten heute in der IT tätigen Mitarbeiter anfangs sehr ablehnend reagieren. Das hängt natürlich damit zusammen, das die oben genannten Maßnahmen als Behinderung bei der Arbeit angesehen werden. Die Frage die sich jetzt stellt ist natürlich ob die Gefühle des IT-Mitarbeiters oder die Sicherheit im Unternehmen wichtiger sind.

Ausblick: Im nächsten Beitrag werde ich darauf eingehen warum Administratoren in der IT eine Vertrauensstellung im Unternehmen haben.

Viele Grüße

 

Walter Steinsdorfer

Wie bekomme ich meine Daten von einen Rechner auf den anderen Syncronisiert?

Zuhause ist der 2. oder sogar 3. Rechner inzwischen häufig üblich. Oft hat mein ein älteres Gerät, das aber noch nicht ausgemustert werden soll oder man braucht einen Labtop und nutzt zuhause lieber den Familienrechner. Meiner Frau und mir z.B. stehen momentan 5 Geräte zur Verfügung die für verschiedene Aufgaben genutzt werden. Da aber verschiedene Daten (meine Frau ist Lehrerin) wie Schulaufgaben oder Arbeitsblätter an allen Rechnern verfügbar sein sollen brauchten wir eine Syncronisierungslösung. Ich habe nach etwas gesucht was nach dem ersten Einrichten einfach funktioniert und bin bei Microsofts Live Mesh hängen gebliegen. Einfach mit dem Live – Konto einloggen, den Client herunterladen und die Ordner zum Syncronisieren angeben. Ist kinderleicht und nach der einmaligen Einrichtung funktioniert alles im Hintergrund ohne Zutun des Benutzers.

Ausschnitt Live Desktop

Live Desktop

Live Mesh Herunterladen des Clients

Clientinstallation

Installierter Live Mesh Client

Symbol für den installierten Live Mesh Client neben der Uhr

 

Viele Grüße

 

Walter Steinsdorfer

Exchange Online: Microsoft bekommt GlaxoSmithKline als Kunden dazu

im MSexchangetemablog wurde es am letzten Montag veröffentlicht: Microsoft startet in 19 Ländern seine Platform für Online Services. Die erste Erfolgsstory darf natürlich nicht fehlen: Microsoft konnte GlaxoSmithKline, eine der größten Pharmafirmen weltweit als Kunden gewinnen. Inzwischen nutzen bereits mehr als 1500 Kunden die Online Services von Microsoft. Ein toller Erfolg wie ich finde. Mehr infos findet ihr unter den nachfolgen den Links:

Unter den möglichen Produkten gibt es neben Sharepoint und CRM natürlich auch Exchange-Online/Hosted Exchange. Gerade für kleinere Unternehmen ohne eigenen Administrator eine interessante Alternative.

Viele Grüße

 

Walter Steinsdorfer

Wie finde ich heraus welche Verteilergruppen genutzt werden?

eigentlich eine ganz einfache Frage, oder? Unter Exchange 2007 kann das auch noch relativ einfach und schnell erledigt werden mit einem Powershell-Onliner:

Get-ExchangeServer -identity servername| Get-MessageTrackingLog -EventId Expand | group-object RelatedRecipientAddress | ft Name,Count –Autosize

 

Wie man sieht wird hier das Tracking-Log eines Exchange-Servers ausgelesen. Wenn man es nicht verändert hat werden die Tracking-Logs 30 Tage aufgehoben. Über diesen Zeitraum wird nun eine Statistik erstellt wie oft die einzelnen Verteiler benutzt worden sind. Gerade in größeren Umgebungen kann man so sehr leicht feststellen ob einzelne Verteiler überhaupt noch benötigt werden.

 

Viele Grüße

Walter Steinsdorfer

Nächstes Exchange Usergroup Meeting findet am Freitag, den 20.03.2009 statt

einige haben es schon auf der Webseite www.exusg.de  gelesen: Das nächste Offline-Meeting der Exchange User Group findet am 20.03.2009 in Unterschleißheim statt. Beim letzen mal haben sich die Teilnehmer folgende Themen gewünscht:

  • Active Sync,
  • Activ Sync Emulator
  • Email Archivierung
  • Suche
  • SAN – Zertifikate
  • Quest Recovery Manager
  • Exchange Programmierung
  • Power Shell (tiefergehend)
  • Konzepte / Vorgehensweisen bei der Useranlage
  • Anlegen und Verwalten von Ressourcenpostfächern / shared Mailboxen
  • (siehe auch http://msmvps.com/blogs/wstein/archive/2008/11/24/exchange-user-group-meeting-vom-freitag-den-21-11-08.aspx)

    Wer sich anmelden möchte schickt mir einfach eine Email. Da die Themen teilweise noch offen sind können auch noch Wünsche zu den Themen geäußert werden.

    In der Regel bleibt zwischen den Vorträgen genügend Zeit für Networking. Vielen Dank an dieser Stelle auch wieder an Microsoft. Microsoft stellt uns den Raum und die Verpflegung zur Verfügung.

     

    Viele Grüße

     

    Walter Steinsdorfer