Fragen zu Exchange 2010 aus dem Usergroupmeeting

Im letzten Usergroupmeeting am Freitag, den 19.06.2009 sind einige Fragen zu Exchange 2010 aufgetaucht. Einige Antworten könnten für die Allgemeinheit interessant sein, deswegen veröffentliche ich diese hier:

  1. Stimmt es das die Archivmailbox in der gleichen Datenbank wie die normale Mailbox des Benutzers liegt? In der RTM – Version von Exchange 2010 wird das genau so der Fall sein. Der Grund ist die Performance. Wenn man viele Elemente archiviert brauchen, wenn diese in derselben Datenbank liegen nur die Zeiger der Elemente geändert werden. Müsste das Element in eine andere Datenbank umgelagert werden bräuchte man deutlich mehr Performance.
  2. Kann ich einen CAS 2010 zum Abrufen von 2007er Mailboxen einsetzen? Nein, das ist nicht vorgesehen. Lediglich Cas 2010 – Cas 2007 Proxy´s über verschiedene AD-Standorte würden den Benutzer auf eine Exchange 2007 Mailbox zugreifen lassen.
  3. Ist die Migration mittels Assistent zu BPOS/Exchange Online eine “Einbahnstraße”? Momentan schon noch. Sollte Bpos/Exchange Online nach Exchange 2010 migriert werden ist es eventuell sogar möglich die Postfächer “in the Cloud” mit der Konsole zu verwalten. Henrik Walther hat das in einem Artikel beschrieben:http://www.msexchange.org/articles_tutorials/exchange-server-2010/management-administration/management-administration/exchange-2010-management-architecture-single-machine-manage-multiple-exchange-2010-organizations.html
  4. Wird ein Backup-Tool für Exchange 2010 mitgeliefert? In der Beta ist keine Backupmöglichkeit enthalten. Ob Microsoft eine Backuplösung für Exchange 2010 implementieren wird oder das 3rdParty – Anbietern überlassen wird ist zur Zeit noch offen.

Es gab noch ein paar Fragen zur Hochverfügbarkeit, das werde ich in den nächsten Tagen nochmal anhand eines gesonderten Artikels erläutern.

Viele Grüße

 

Walter Steinsdorfer

Falschen Iscsi-Initiator eingespielt, was nun?

Auf der Microsoft Download-Seite des ISCSI-Initiator 2.08 erhält man durch einen Klick auf den Link “Download Files below” Zugriff auf den Download des Microsoft ISCSI-Initiators. Eine feine Sache, denn damit kann man über Gigabit-Anbindungen Storages mit einem ISCSI-Target anbinden. Die für den Server so lokal sichtbaren Festplatten sind genau wie tatsächlich im Server eingebauten Festplatten nutzbar. Einige Netzwerkkarten bieten sogar an das man über ISCSI den Server bootet. In einigen Fällen ist das eine richtig “coole” Sache. Wenn man viele baugleiche Server aus einer Baureihe kauft kann man diese über ISCSI booten und einfach einen davon “Weglegen”. Sollte eine Hardware versagen muß die Ausfall-Maschine einfach eingeschaltet werden und die Konfiguration der defekten übertragen werden. Noch besser finde ich das man vor dem Einspielen von Updates einfach einen Schnappschuss erstellt. Sollten die Updates scheitern kann man einfach die Schattenkopie einspielen, meist geht das am San das man die Schattenkopie wieder herstellt. Auch ein einfaches Klonen von Server ist so möglich (bitte Vorsicht wegen der SID).

Tja, was wenn man den oben angesprochenen ISCSI-Initiator herunterlädt und den vorhandenen ISCSI-Initiator updated? Wenn der Server über das SAN gebootet wird ist der heruntergeladene Initiator leider der falsche und der Server bluescreend gleich nach dem Startbildschirm. Den richtigen, Bootfähigen Initiator findet man, wie auf der Abbildung dargestellt etwa in der Mitte der Downloadseite.

iscsi-initiator

Hat man aus irgendwelchen Gründen nun keinen Schnappschuß gemacht kann der sich im Reebootmodus befindliche Server mit der Option “Last good Known” wieder zum Leben erweckt werden (F8 beim Windows – Splash – Screen). Der richtige, Bootfähige ISCSI-Initiator frägt übrigens bei der Installation welche Netzwerkkarte zum Booten verwendet wird. Daran ist der eindeutig erkennbar.

Viele Grüße

 

Walter Steinsdorfer

Windows 7 ohne Internet Explorer

Wie auf mehreren Seiten im Internet (vgl. z.B. heise, winfuture oder das Windows 7 Blog) zu lesen war wird Windows 7 in Europa ohne den Internet Explorer ausgeliefert. Ich persönlich finde das sehr schade. Firefox und Google Chrome habe ich mir auch schon angeschaut. Für mich fehlt diesen Browsern allerdings ein wichtiges Merkmal: Die zentrale einfache Steuerbarkeit für Administratoren. In kleinen (dort in Form von SBS und EBS) und mittelständischen, aber auch in großen Firmen wird als zentraler Verzeichnisdienst meistens Active Directory eingesetzt. Über das Active Directory lassen sich per Gruppenrichtlinien Registryeinstellungen auf den Clients setzten. Der Admin hat damit eine zentrale Anlaufstelle um wichtige Änderungen an Clients vorzunehmen. Die Skalierung von wenigen Rechnern bis hin zu sechsstelligen Rechneranzahlen ist dabei normalerweise kein Problem. IE einstellungen

In dem beigefügten Screenshot sieht man die Internetexplorereinstellungen mit ausgeblendeten Reitern, z.B. für die Verbindungseinstellungen. Der Benutzer wird so daran gehindert, auf einfache Weise den Firmeneigenen Proxy mit bestimmten Filterregeln zu umgehen.

Ich denke das die meisten Menschen “Gewohnheitstiere” sind. Viele werden daher den Internet Explorer schon deshalb vorziehen weil die Oberfläche aus der Firma bekannt ist.

Den Internet Explorer 8 finde ich allerdings so gut gelungen, das ich bisher zumindest noch kein Feature vermisst habe. IE 8 kann von Microsoft unter folgendem Link heruntergeladen werden: http://www.microsoft.com/germany/windows/internet-explorer/default.aspx

 

Viele Grüße

Walter Steinsdorfer

Microsoft – Sicherheitsupdates im Juni 2009

In diesem Monat hat Microsoft einige sehr wichtige Sicherheitsupdates veröffentlicht. Eine ausführliche Beschreibung zu den einzelnen Lücken gibt es unter dem neuen Security Bulletin für Juni 09. Die aus meiner Sicht wichtigsten Updates möchte ich hier hervorheben:

Bulletin 09-018: Besonders hervorzuheben sind diesesmal die Updates gegen eine Sicherheitsanfälligkeit im Active Directory die alle Windows Server 2000 oder 2003 betrifft. Die Produkte sind Active Directory und ADAM. Windows Server 2008 ist von diesem Problem nicht betroffen. Das Problem ist unter folgendem Link beschrieben und aus meiner Sicht deshalb so kritisch, weil Active Directory Dienste gegen Clients schlecht absichern lässt. Auch Exchange-Server, welche die Rolle Edge installiert hat läuft mit ADAM. Es werden dort wichtige Daten wie alle gültigen Emailadressen abgelegt.

Bulletin 09-022: Dieser Hinweis beschreibt eine Sicherheitsanfälligkeit des Druckspoolers. Sofern alle Clients mit einer Firewall geschützt sind sollten nur die Druck und Fileserver betroffen sein, bei denen der Port 445 oder RPC-Endpoint-Mapper (Port 135) geöffnet ist.

Bulletin 09-026: Dieses Bulletin beschreibt einen Hinweis gegen eine RPC-Sicherheitslücke, mit deren Hilfe eine Angreifer sich erhöhte Rechte verschaffen kann. Der RPC-Endpoint-Mapper (Port 135) ist z.B. auf jedem Exchange Server geöffnet, da die Mapi-Verständigung zwischen Outlook und Exchange über RPC passiert.

Bulletin 09-025: ein lokaler Benutzer kann sich über eine Lücke im Windows Kernel erhöhte Rechte verschaffen. Das betrifft meines Erachtens alle Windows Versionen. Wenn eure User schon Adminrechte auf den allen Rechnern haben dann wäre das eh egal. In Firmen wo großen Wert auf die Trennung von Sicherheitskonten und Arbeitskonten gelegt wird sollte das Update sofort eingespielt werden.

Neben den von mir erwähnten Updates gibt es noch diverse Lücken in Office Produkten und im Internetexplorer. Damit ist diesen Monat wieder “Happy Patching” angesagt. Viel Spass beim Blick in den WSUS, die Liste ist ziemlich lang :-).

viele Grüße

 

Walter Steinsdorfer

Exchange User Group Meeting am 19.06.2009

Das nächste Exchange User Group Meeting wird am 19.06.2009 stattfinden. Es gibt folgende Agenda:

 

Agenda für das Exchange User Group Meeting:

18:00 Uhr Begrüßung

18:30 Uhr Neuerungen in Exchange 2010 Teil 1

20:00 Uhr Networking

20:30 Uhr AD und SQL

21:00 Uhr Networking

21:30 Uhr Neuerungen in Exchange 2010 Teil 2

22:30 Uhr Abschlußbesprechung, Termine nächste Meetings

 

Das User Group Meeting findet bei Microsoft in Unterschleißheim im Raum Erde statt. Wer kommen möchte kann sich einfach bei mir per Email anmelden.

viele Grüße

 

Walter Steinsdorfer

Outlook 2007 Tastaturshortcuts nicht überall eindeutig

Einer Mitarbeitern der Firma für die ich arbeite ist vor ein paar Tagen ein merkwürdiges Problem aufgefallen. In Outlook, bei der Verwendung der Funktion Besprechung planen (zu finden unter Aktionen in der Kalenderansicht) kann in dem Assistenten der sich öffnet die Namensauflösung gegen das globale Adressbuch nicht mit “STRG+K” oder “ALT+K” ausgelöst werden. Diese Tastaturkombinationen sind aber sonst überall verfügbar wo Namen gegen das Adressbuch geprüft werden müssen (Ist der Name den man eingetippt hat eindeutig wird er vervollständigt, im anderen Fall öffnet sich ein Auswahlfenster). Das Problem scheint nur in deutschen Outlook-Installationen zu existieren. Auf Nachfrage hin bekam ich allerdings den Tipp, es im Assistenten für die Terminplanung mit “ALT+M” zu versuchen. Das klappt. Aber “ALT+M” funktioniert nur an dieser Stelle, an anderer Stelle muß weiterhin mit “ALT+K” gearbeitet werden. Übrigens: Öffnet man einen Termin und wählt dort den Terminplanungsassistenten aus (das mache ich immer, deshalb ist mir das Problem nie aufgefallen bisher) funktionieren “ALT+K” prima. Obwohl das Fenster genau gleich aussieht ist dort wohl doch etwas anderes hinterlegt.

Warum es keine einheitliche Tastaturkombination gibt: Keine Ahnung, ich hab das jetzt mal hinterfragt, vielleicht gibt es ja bald ein Update dazu.

Update: Microsoft wird sich das anschauen. Mit welchem Ergebnis bleibt abzuwarten, ich halte euch auf dem Laufenden.

 

Viele Grüße

Walter Steinsdorfer