Wenn Exchange nicht mehr korrekt funktioniert

https://www.ip-insider.de/so-geht-die-schnelle-exchange-diagnose-im-fehlerfall-a-432441/

Sobald Exchange Probleme macht, äußert sich das in vielfältigen Symptomen. Administratoren müssen den Fehler daher so schnell wie möglich eingrenzen, um die Ursache zu beheben und die Umgebung wieder lauffähig zu machen. Wir zeigen welche Vorgehensweisen dabei helfen.

Wenn Exchange nicht mehr korrekt funktioniert, ist der erste Schritt der Fehlerermittlung immer die Erstellung einer Liste aller Exchange-Server und der verschiedenen Domänencontroller, die von Exchange verwendet werden. Exchange arbeitet eng mit Active Directory zusammen und häufig liegt ein Fehler in den Verbindungen einzelner Server.

Die Exchange-Server in der Organisation lassen sich Administratoren in der Exchange-Verwaltungsshell mit dem Befehl „get-exchangeserver“ anzeigen, die Domänencontroller mit „get-domaincontroller“. Die Liste kann mit der Zusatzoption „|out-printer“ auch ausgedruckt werden.

Domänencontroller und Exchange-Server in der PowerShell testen

Wenn die Liste der Domänencontroller und Exchange-Server verfügbar ist, besteht der nächste Schritt darin, von einem Rechner aus alle Server anzupingen. So wird sichergestellt, dass die beteiligten Server im Netzwerk auch zur Verfügung stehen. Dazu verwenden Administratoren am besten den Rechnernamen, damit auch gleich die Namensauflösung getestet werden kann. Verbindungstests nimmt man ebenfalls am besten in der PowerShell mit dem Befehl „Test-Connection“ vor (siehe Abbildung 1). Hier müssen alle Exchange-Server und Domänencontroller überprüft werden. Oft lassen sich schon hier Fehler eingrenzen.

Exchange-Dienste kontrollieren

Exchange braucht für einen stabilen Betrieb einige Systemdienste auf den Servern. Diese Dienste überprüfen Sie ebenfalls am schnellsten mit der PowerShell oder der Exchange-Verwaltungsshell. Der Vorteil bei der Überprüfung in der PowerShell ist, dass Sie die Dienste auch über das Netzwerk anzeigen lassen können. Dazu verwenden Sie auf einem Rechner im Netzwerk den Befehl:

get-service *exchange* -ComputerName <Exchange-Server>

Testen Sie alle Dienste auf allen Exchange-Servern und stellen Sie sicher, dass die notwendigen Dienste, den Status „Running“ besitzen. Auf diesem Weg erkennen Sie recht schnell, auf welchen Exchange-Servern im Netzwerk einzelne Exchange-Dienste nicht mehr funktionieren und welche Dienste das sind. Mit dem CMDlet können Sie natürlich auch andere Systemdienste testen und anzeigen. Sie können den Zustand der Exchange-Dienste in der Exchange-Verwaltungsshell mit dem Befehl „Test-Servicehealth“ überprüfen. Mit diesem Befehl lässt sich erkennen, ob die Exchange-Dienste und -Rollen funktionieren und ob auch die abhängigen Dienste gestartet und funktionsfähig sind (siehe Abbildung 2).

Datenbanken und Verbindungen in der Exchange-Verwaltungsshell testen

Haben Sie die generelle Serververfügbarkeit und die Systemdienste überprüft, testen Sie als nächstes die Exchange-Datenbanken. Dazu verwenden Sie die Exchange-Verwaltungsshell. Sie haben auch hier die Möglichkeiten den Status für alle Server schnell in Erfahrung zu bringen:

Get-MailboxDatabase | Get-MailboxDatabaseCopyStatus

Achten Sie darauf, dass die produktiven Datenbanken den Status „Mounted“ besitzen. Der nächste Schritt besteht darin, dass Sie überprüfen, ob Outlook-Clients noch mit HTTP und TCP auf die Exchange-Clientzugriffserver zugreifen können. Auch dazu verwenden Sie die Exchange-Verwaltungsshell und die beiden Befehle:

  • Test-OutlookConnectivity -Protocol HTTP
  • Test-OutlookConnectivity -Protocol TCP

Bevor Sie den Test mit dem Cmdlet ausführen können, müssen Sie mit dem Exchange-Skript „New-TestCasConnectivityUser.ps1“ einen Testbenutzer erstellen. Um das Skript auszuführen, wechseln Sie in der Exchange-Verwaltungsshell in das Verzeichnis „C:\Program Files\Microsoft\Exchange Server\V15\Scripts“. Geben Sie den Befehl „.\New-TestCasConnectivityUser.ps1“ ein. Anschließend fragt Sie das Skript nach einem sicheren Kennwort für den neuen Testbenutzer. Den Namen des Benutzers legt das Skript selbst fest.

Bestätigen Sie das Anlegen mit der (Eingabe)-Taste. Sie können das Skript auch so starten, dass ein bestimmter Postfachserver automatisch verwendet wird. Die Syntax dazu lautet „get-mailboxServer | .\new-TestCasConnectivityUser.ps1“. Achten Sie darauf, den Befehl am besten direkt im Verzeichnis „C:\Program Files\Microsoft\Exchange Server\V15\Scripts auszuführen“ (siehe Abbildung 3).

Sie erhalten auch hier das Ergebnis, ob die Verbindung erfolgreich war, oder eben nicht. Alle Clientzugriffserver filtern Sie übrigens mit „Get-ClientAccessServer“. Ob Exchange ActiveSync funktioniert, testen Sie in der Exchange-Verwaltungsshell mit „Test-ActiveSyncConnectivity -ClientAccessServer <Servername>“.

Zusätzlich stehen noch mehr CMDlets für die Analyse zur Verfügung. Die Syntax ist jeweils ähnlich:

  • Test-OwaConnectivity
  • Test-EcpConnectivity –
  • Test-WebServicesConnectivity
  • Test-PopConnectivity
  • Test-ImapConnectivity

Microsoft Stellt überdies ein Tool zur Verfügung, mit dem Anwender Probleme bei der Verbindung von Clients zu Exchange beheben können. Das Microsoft-Verbindungsuntersuchungs-Tool laden Anwender auf der Seite des Remote Connectivity Analyzers herunter. Die Installationsdatei lässt sich auch direkt herunterladen.

Nach der Installation können Anwender mit dem Tool Verbindungsprobleme mit Outlook lösen. Über diverse Assistenten können sich Anwender dabei auch selbst helfen (siehe Abbildung 4).

E-Mail-Fluss testen

Sie können in der Exchange-Verwaltungsshell auch den E-Mail-Fluss testen. Dazu verwenden Sie das CMDlet „test-mailflow -SourceMailboxServer <Postfach-Server>“. Sie erhalten auch hier das passende Ergebnis und können feststellen, ob der E-Mail-Fluss auf dem entsprechenden Postfach-Server funktioniert.

Zusammen mit dem E-Mail-Fluss auf den Exchange-Servern sollten Sie auch die Abarbeitung der Warteschlangen auf den Transportservern überprüfen. Auch hier stehen CMDlets in der Exchange-Verwaltungsshell zur Verfügung: „Get-TransportServer | Get-Queue“. Die Warteschlangen sollten möglichst leer sein. So ist sichergestellt, dass die Transport-Server die E-Mails auch weiterleiten können.

Die einzelnen Ports auf den Servern sollten Sie ebenfalls testen. Dazu verwenden Sie das CMDlet „test-port“ und die entsprechende Port-Nummer. Vor allem die Ports 25 (Transport-Server), 135 (Clientzugriff-Server und Postfach-Server), 443 (Clientzugriff-Server) und 587 (Transport-Server) müssen offen sein und kommunizieren können.

Outlook-Anywhere

http://exchangeserverpro.com/how-to-configure-exchange-server-2010-outlook-anywhere/

http://exchangeserverpro.com/how-to-configure-exchange-server-2010-outlook-anywhere/

E-Mail-Verschlüsselung im Unternehmen

https://www.sslplus.de/

https://support.globalsign.com/customer/de/portal/articles/1216453-personalsign-installation—schritt-1-downloaden-sie-ihr-zertifikat

https://support.globalsign.com/customer/en/portal/articles/1211387-personalsign-installation—schritt-2-suchen-und-installieren-ihres-zertifikats

https://support.globalsign.com/customer/portal/articles/1214839

https://support.globalsign.com/customer/en/portal/articles/2181023-configure-certificate—outlook-2013

https://support.globalsign.com/customer/de/portal/articles/search?q=PersonalSign

GlobalSign PersonalSign 2 Pro Zertifikat
(Personenzertifikat mit Unternehmenszugehörigkeit, Klasse 2
Gültigkeit: 12 Monate)
➢ Signiert und verschlüsselt persönliche E-Mails, Dateien
und Dokumente sowie Remote-Verbindungen zu Servern
➢ Vertrauen in allen wichtigen Server- und Client-
Programmen, gedeckt durch das GlobalSign Liability
Programm
➢ Ausgestellt auf eine Person, E-Mail-Adresse sowie
Organisation
zzgl. Registr

ierungsleistung PAR160960_nbgxxx

http://www.soft-management.net/wp/2011/11/digitale-signatur-und-verschlusselung-eine-einfuhrung/

http://www.msxfaq.de/signcrypt/keys.htm

http://searchexchange.techtarget.com/tutorial/Using-S-MIME-in-Microsoft-Outlook

для шифрования письма

http://www.exchangerus.ru

Нужно знать несколько базовых понятий.

  • Сервер Exchange не принимает участия в шифровании сообщений, он только шифрует трафик.
  • Шифрование сообщений происходит на клиенте и только на клиенте.
    Клиентом может быть, как Outlook, так и OWA или Outlook Express.

Технология шифрования работает так:

  1. Мне нужно отправить зашифрованное сообщение Леше Бурлаченко. Свое сообщение я подписываю (не шифрую!) . Подписанное сообщение содержит мой публичный ключ.
  2. Леша из моего сообщения сохраняет мой публичный ключ в своей адресной книге в контакте Павел Нагаев. (Посмотрите, в контактах есть вкладка Certificates)
  3. Леша использует мой публичный ключ для шифрования письма мне.
  4. Я получаю письмо и расшифровываю с помощью моего приватного ключа.

Если у Леши не будет установлено в Outlook своего
собственного сертификата, то Outlook не даст отправить ему зашифрованное
мне письмо. Windows Mail
позволяет это сделать. Получить сертификат можно у вашего внутреннего
центра сертификации или получить персональный сертификат у любого центра
сертификации бесплатно. Например:

https://technet.microsoft.com/de-de/library/cc179061%28v=office.14%29.aspx

http://www.lin.by/2015/10/smime-smime-securemultipurpose-internet.html

http://www.oszone.net/7114/

http://www.q2w3.ru/2009/07/28/268/

https://support.office.com/ru-ru/article/%D0%A8%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5-%D1%81%D0%BE%D0%BE%D0%B1%D1%89%D0%B5%D0%BD%D0%B8%D0%B9-%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9-%D0%BF%D0%BE%D1%87%D1%82%D1%8B-373339cb-bf1a-4509-b296-802a39d801dc?ui=ru-RU&rs=ru-RU&ad=RU

outlook-autodiscover-deaktivieren/

http://itler.net/outlook-autodiscover-deaktivieren/

Die Outlook Autodiscovery Funktion kann eine wirklich nützliches
Feature sein, kann aber auch gewaltig nerven, wenn man Einstellungen an
seinem Outlook vornehmen möchte, diese aber nur für ein paar Sekunden
ziehen, da die Autodiscover Funktion diese Parameter direkt wieder in
den Ursprungszustand zurück setzen. Noch ärgerlicher wird es, wenn es
durch diese Funktion zu Fehlern kommt, wenn bestimmte Umstände in
ungünstiger Kombination zusammen treffen. Aber hier gilt auch – nicht
verzweifeln, denn irgendwie kann man bei Microsoft alles regeln bzw.
abstellen!

Hier in diesem Fall fügen wir zwei Regestrierungsschlüssel hinzu,
welche dem System ganz einfach verbieten irgendwelche Dinge der
Autodiscoverfunktion zu nutzen. Dadurch werden selbst getätigte Einträge
nicht überschrieben und mit etwas Glück macht das Outlook System das
was man von ihm möchte, ohne dass der Exchange Server einem in die Suppe
spuckt!

Der Registry Eintrag, bzw. die Registrie-Einträge schauen dafür wie folgt aus:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\“15.0″\Outlook\AutoDiscover]

„ExcludeScpLookup“=dword:00000001
„ExcludeHttpRedirect“=dword:00000001
„ExcludeHttpsAutoDiscoverDomain“=dword:00000001
„ExcludeHttpsRootDomain“=dword:00000001
„PreferLocalXML“=dword:00000001
„ExcludeSrvRecord“=dword:00000001
„ExcludeLastKnownGoodURL“=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\“15.0″\Outlook\AutoDiscover]

„ExcludeScpLookup“=dword:00000001
„ExcludeHttpRedirect“=dword:00000001
„ExcludeHttpsAutoDiscoverDomain“=dword:00000001
„ExcludeHttpsRootDomain“=dword:00000001
„PreferLocalXML“=dword:00000001
„ExcludeSrvRecord“=dword:00000001
„ExcludeLastKnownGoodURL“=dword:00000001
Diese Zeilen kopiert ihr einfach und fügt diese in ein Textfile ein,
welches ihr danach zu einem *.reg File umbenennt. Dann genügt ein
einfacher Klick auf dieses File und schon frägt einem das System, ob man
die entsprechenden Schlüssel eintragen möchte. Diese Frage beantwortet
man natürlich mit „Ja“ und schon ist man das nervige Autodiscover los!

Neu angelegte Benutzer werden nicht in der globalen Adressliste angezeigt

Neu angelegte Benutzer werden nicht in der globalen Adressliste angezeigt
wenn während des Anlegens des Benutzer die Systemaufsicht nicht lief, wird er nie in der GAL auftauchen.

Bitte mal folgende Befehle in der EMS ausführen:

Quellcode
Get-AddressList | Update-AddressList

Get-GlobalAddressList | Update-GlobalAddressList

Get-OfflineAddressBook | Update-OfflineAddressBook

Danach solltest Du ihn wenigstens in OWA im Adressbuch. sehen. Bis er dann in Outlook ist, kann es noch ein wenig dauern.

Unzustellbarkeitsnachrichten

http://www.servolutions.de/support/articles/unzustellbarkeitsnachrich.htm

Wie kann ich Unzustellbarkeitsnachrichten wegen nicht-existierender Mailadressen versenden lassen?
Unzustellbarkeitsnachrichten (NDRs, non-delivery reports) zu
versenden falls eine Email ankommt die an eine nicht existierende
Adresse gerichtet wurde ist ein Exchange Feature. In POPcon selbst
müssen Sie nur die Umleitung an einen Postmaster o.ä. bei unbekannten
Zieladressen ausschalten damit POPcon versucht die Email an die
(unbekannte) ursprüngliche Adresse zuzustellen. Exchange selbst sendet
dann die Unzustellbarkeitsnachrichten falls Exchange nicht so
konfiguriert ist das die Email schon im SMTP-Protokoll mit POPcon
abgelehnt werden bevor Sie von Exchange verarbeitet werden. Sie können
dies so in Exchange

1. Unzustellbare Emails bei Exchange 2007/2010 nicht ablehnen sondern Unzustellbarkeitsnachrichten (NDRs) versenden

Bei Exchange 2010 werden Emails an nicht existierende Empfänger per
default im SMTP Protokoll abgelehnt. Diese Ablehnung muss zuerst
abgeschaltet werden damit diese Emails von Exchange angenommen und dann
Unzustellbarkeitsnachrichten versandt werden:

Öffnen Sie die Exchange Management Cosole und gehen Sie zu
Organisationskonfiguration, Antispam. Dort öffnen Sie bitte die
Eigenschaften der Empfängerfilterung“:

Auf der Seite „Blockierte Empfänger“ muss der Haken bei
„Nachrichten blockieren, die an Empfänger gesendet wurden, die es im
Verzeichnis nicht gibt“ entfernt werden. Danach werden diese
unzustellbaren Emails von POPcon im SMTP Protokoll nicht mehr abgelehnt
sondern angenommen und Exchange sendet dazu jeweils eine
Unzustellbarkeitsnachricht.

Exchange 2010 AntiSpam Filter aktivieren

Wenn es auf Ihrem Exchange Server in der Verwaltungskonsole unter

Microsoft Exchange
-> Microsoft Exchange lokal
-> Organisationskonfiguration
-> Hub-Transport

bereits dem Reiter

Antispam

gibt ist dieser schon bereit (wenn nicht sogar schon aktiv), wenn dieser Reiter fehlt öffnen Sie die ‚Exchaneg management Shell‘ und starten sie folgendes Script:

& ‚C:\Program Files\Microsoft\Exchange Server\V14\Scripts\install-AntispamAgents.ps1‘

Alternativ wechseln Sie ins Verzeichnis

cd C:\Program Files\Microsoft\Exchange Server\V14\Scripts\

und führen dort das Script aus:

.\install-AntispamAgents.ps1

Danach müssen Sie den Transtportdienst neu starten

net stop MSExchangeTransport
net start MSExchangeTransport

http://znil.net/index.php?title=Exchange_2010_AntiSpam_Filter_aktivieren

nicht vertrauenswürdigen Zertifikaten

https://support.microsoft.com/de-de/kb/2006728

Bin auf die Lösung gekommen.
Vorweg, das Zertifikat war nicht bei den „nicht vertrauenswürdigen Zertifikaten“.

Habe es jetzt folgendermaßen gelöst bekommen, bin in die zentrale
Zertifikationsverwaltung über certmgr.msc gegangen und habe dort die
gleichen Schritte gemacht wie vorher auch schon, nur mit dem
Unterschied, dass ich im ersten Fall über den Menüpunkt „Zertifikat
installieren“ bei der Outlook Meldung gegangen bin. Als ich die gleichen
Schritte direkt über die Verwaltung unter certmgr.msc getan habe hat es
funktioniert und er hat das Zertifikat erfolgreich importiert.

e-mails-verschlusseln-

http://www.german-privacy-fund.de/e-mails-verschlusseln-leicht-gemacht/

http://workshop.tecchannel.de/a/e-mails-verschluesseln-und-signieren,3277623

http://www.pcwelt.de/ratgeber/Sicherheit_im_Web-So_verschluesseln_Sie_E-Mails_und_mehr-7406060.html

https://www.verbraucher-sicher-online.de/blog/e-mails-verschluesseln-mit-outlook

https://mail.de/hilfe/nachrichten-pgp-in-outlook

https://www.gpg4win.de/

Zur Nutzung von PGP in Microsoft Outlook empfehlen wir die freie Software Gpg4win, da sie im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entwickelt wurde.

Gpg4win unterstützt folgende Betriebssysteme:

Windows XP,
Vista,
Windows 7
Windows 8

relay-ohne-authentifizierung-erlauben

https://www.frankysweb.de/exchange-20102007-relay-ohne-authentifizierung-erlauben/

Es kommt oft vor, das manche Programme Status Meldungen oder Berichte
per Mail verschicken können, aber keine Art der Authentifizierung
bieten. Häufig kann man nur einen SMTP Server angeben, aber leider keine
Kontoinformationen. Für solche Fälle kann man einen neuen
Empfangsconnector erstellen, der auch Mails ohne vorherige
Authentifizierung annimmt und weiterleitet. Diese Möglichkeit ist
allerdings mit Vorsicht zu genießen und sollte auf IP-Adressen
beschränkt werden, denn es ein Relay lässt sich leicht für SPAM
missbrauchen.

Ein neuer Empfangsconnector kann entweder über die Mangement Console
oder über die Management Shell erstellt werden, zunächst der Weg über
die Konsole:

Unter der Serverkonfiguration / Hub Transport klickt man im Aktionsfeld auf „Neuer Empfangsconnector“

Im darauffolgenden Dialog ist es wichtig nur die Server oder Systeme
anzugeben, die auch wirklich berechtigt sind, Mails ohne
Authentifizierung zu senden. Auf keinen Fall sollte hier das komplette
Subnetz oder ein zu großer Bereich angegeben werden. In diesem Fall wird
nur die IP 192.168.1.123 berechtigt sein, diesen Connector zu nutzen.
Mit einem Klick auf „Weiter“ und im nächsten Dialog auf „Neu“ wird der
Connector angelegt.

Per Management Shell wird der Connector mit diesem Befehl angelegt:

new-ReceiveConnector -Name ‚Allow Interal Relay‘ -Usage ‚Internal‘ -RemoteIPRanges ‚192.168.1.123‘ -Server ‚EXSRV01‘

Jetzt legen wir in den Eigenschaften des neuen Connectors fest, das
Anonyme Benutzer Mails an diesen Connector senden dürfen, also Häkchen
bei „Anonyme Benutzer“ setzen:

Oder wieder per Powershell:

Set-ReceiveConnector -PermissionGroups ‚AnonymousUsers‘ -Identity ‚EXSRV01\Allow Interal Relay‘

Zum Schluss der wichtigste Schritt, wir haben zwar erlaubt das die IP
192.168.1.123 ohne Angabe von Benutzer und Passwort auf den Connector
zugreifen darf, aber nicht das auch über diesen Connector Mails
verschickt werden dürfen, um dies zu ändern müssen wir die Powershell
bemühen, da es die entsprechende Einstellung in der Console nicht gibt:

Get-ReceiveConnector
„Allow Internal Relay“ | Add-ADPermission -User
„NT-Autorität\Anonymous-Anmeldung“ -ExtendedRights
„Ms-Exch-SMTP-Accept-Any-Recipient“

Hier gibt es einen kleinen Stolperstein:

  • Bei deutschen Servern heißt es „NT-Autorität\Anonymous-Anmeldung“
  • Bei englischen Servern heißt es „NT AUTHORITY\ANONYMOUS LOGON“

Die Ausgabe des Befehls sollte so aussehen:

Ab jetzt sollte der Rechner mit der IP 192.168.1.123 in der Lage sein, über diesen Connector Mails zu verschicken.

Möchte man das Recht wieder entziehen, geht das über diesen Befehl:

Get-ReceiveConnector
„Allow Internal Relay“ | Remove-ADPermission -User
„NT-Autorität\Anonymous-Anmeldung“ -ExtendedRights
„Ms-Exch-SMTP-Accept-Any-Recipient“

Externe-Weiterleitung

1.
Es ist möglich, eine Weiterleitung an eine externe SMTP-Adresse ohne einen Kontakt zu machen, das geht aber nur über die Shell:

set-mailbox ALIAS -ForwardingSmtpAddress STMPADRESSE@DOMAIN.TLD
Wenn
man dazu den Schalter „-DeliverToMailboxAndForward“ auf $true setzt,
wird die Mail auch im Orginal-Postfach abgelegt, sonst nur
weitergeleitet.

Seit einem Neustart kommt im Exchange 2010 Manager „Ihre Berechtigungen reichen zum Anzeigen dieser Daten nicht aus“

Exchange Verwaltundskonsole schließen.

Geht auf Start -> Ausführen
dann den Befehl „control keymgr.dll“ eingeben

Sichert den Tresor für alles Fälle und nach dem Backup alle Einträge löschen.

Die Exchange Verwaltungskonsole wieder öffen. Jetzt wird ein
Benutzername und ein Passwort abgefragt. Hier wieden den Admin rein
schreiben und sich freuen das es wieder funktioniert 😉

Bei mir is alles wieder OK und ich hoff ich hab geholfen

Exchange Zertifikat erneuern – Anleitung zum verlängern eines abgelaufenen Zertifikats

http://itler.net/exchange-zertifikat-erneuern-anleitung-zum-verlaengern-eines-abgelaufenen-zertifikats/

Dieses kleine HowTo ist für alle gängigen Exchange Server Varianten
(2007, 2010 und 2013) gültig. Die Verlängerung des Exchange Zertifikats
erledigen wir über die Exchange Verwaltungsshell (Management Shell), in
welcher wir nun folgende Befehle anwenden müssen:

Schritt 1: Alle aktuellen Zertifikate anzeigen lassen
Auf
einem Exchange Server können mehrere Zertifikate zum Einsatz kommen,
damit mir schnell heraus finden können, welches Zertifikat wir
verlängern müssen, lassen wir uns alle derzeit hinterlegten Zertifikate
anzeigen.

get-exchangecertificate | fl thu*,notafter,services,certificatedomains

Ist dieser Befehl abgesetzt, bekommt man eine komfortable Auflistung
aller Zertifikate inklusive des Thumbprints. Diesen Thumbprint benötigen
wir nun im nächsten Schritt um genau dieses Zertifikat zu verlängern
bzw. ein neues Exchange Zertifikat zu erstellen.

Schritt 2: Neues Exchange Zertifikate erstellen
Bei erstellen des neuen Zertifikats wird nun der Thumbprint des alten Zertifikats benötigt.

get-exchangecertificate -thumbprint „Thumbprint des alten Zertifikats“ | new-exchangecertificate

Wird dieser Befehl abgesetzt, kommt es zu einer Rückfrage vom System,
bei dem gefragt wird, ob man das Zertifikat auch überschreiben möchte.
Dies muss man natürlich mit „Ja“ bestätigen.

Lässt man sich nun nochmals alle verfügbaren Zertifikate mit dem Befehl

get-exchangecertificate | fl thu*,notafter,services,certificatedomains

auflisten, so stellt man wahrscheinlich sehr schnell fest. Im alten
Zertifikat ist der IIS Service integriert, welcher im gerade generierten
Zertifikat fehlt! Daher schalten wir bei der Aktivierung des
Zertifikats diesen Service noch mit drauf!

Schritt 3: Neues Exchange Zertifikat aktivieren und IIS Dienst freischalten
Damit
wir das neue Zertifikat aktivieren können, benötigen wir den Thumbprint
des gerade erstellten Zertifikates. Diesen sollte man in der gerade
ausgegebenen Übersicht sehen. Hat man diesen kopiert, wird dieser in
folgende Befehlszeile eingefügt:

enable-exchangecertificate -thumbprint „Tumbprint des neuen Zertifikats“ -services IIS

So, im Prinzip wäre man nun schon fertig!
Wer möchte kann sich jetzt nochmals die Übersicht ausgeben lassen um alle Daten quer zu checken:

get-exchangecertificate | fl thu*,notafter,services,certificatedomains

Jetzt legen wir aber noch einen Schritt oben drauf …

Schritt 4: Altes Zertifikat löschen
Das Löschen
erledigen wir ebenfalls über einen kurzen Befehl in der Exchange
Konsole. Hier benötigen wir wieder den Thumbprint des alten abgelaufenen
Zertifikats.

Remove-ExchangeCertificate –Thumbprint „Thumbprint des abgelaufenen Zertifikates“

Fertig! Alle Schritte sind nun abgearbeitet und ihr habt wieder ein Jahr Eure Ruhe!

CSR – Certificate Signing Request

http://www.msxfaq.de/signcrypt/csr.htm

Ein CSR ist die Vorstufe eines Zertifikats und ein Zertifikat ist
eine kryptografisch gesicherte Datei, die die Identität eines Systems
belegt und anhand des ebenfalls hinterlegten Schlüssel eine Signierung und Verschlüsselung der Daten erlaubt.

Wichtig:
Das Zertifikat selbst ist von Natur aus „öffentlich“ und enthält
natürlich keine privaten Schlüssel.

Der CSR enthält nicht mehr sondern eher weniger Informationen als das
später ausgestellte Zertifikat. Der CSR enthält natürlich alle
Informationen, die für die Ausstellung des Zertifikats erforderlich sind
wie:

  • Hostname
  • Antragsteller
  • Zertifikatvorlage bzw. Typ
  • PublicKey
  • eventuell noch andere Felder

Das es ja sehr viele Betriebssysteme und Plattformen mit
unterschiedlichen Codierungsverfahren (Es gibt mehr als ASCII, ANSI,
UNICODE) gibt, werden die Anfragen meist als „ASCII Text“ mit BASE64
codiert erstellt

Autodiscover bei Outlook abschalten

http://blog.purrucker.de/2011/11/17/autodiscover-bei-outlook-abschalten/

Die Autodiscover Funktion von Outlook ist eine nützliche Sache, die
einen bei gemischten Umgebungen mit mehre Firewalls, DNS- und
Exchangeservern in die Verzweiflung treiben kann. Vielleicht hat
Microsoft deshalb ja sogar einen Song über Autodicover auf der
Technet-Webseite veröffentlicht


http://gallery.technet.microsoft.com/The-Autodiscover-Song-a68b9f7c

Leider läuft ab Outlook 2007 ohne autodiscover einiges nicht mehr
(z.B. Free and Busy Informationen, der Abwesenheitsassist, das Offline
Address Book usw). Dies lässt sich allerdings umgehen, indem man für den
Client das Autodiscover abzuschalten. Im folgenden ein paar
Registry-Einträge einem dies ermöglichen:

HKCU\Software\Microsoft\Office\12.0\Outlook\AutoDiscover
DWORD: DisableAutoStartup
Set to 1

HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\AutoDiscover
DWORD: ZeroConfigExchange
Set to 1

2. Free Busy:
Outlook 2007 zwingen den Public Folder Free/Busy zu nutzen:
Key: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Options\Calendar
DWORD: UseLegacyFB
Wert:
0 (oder nicht vorhanden) = default Einstellung – Autodiscover nutzen
1 = public folder free/busy nutzen