Christoph35

Hi, Dirk_privat hat recht, der Exchange gehört ins LAN. Falls Du etwa vorhast, mit einer Exch. FrontEnd/BackEnd-Konfig. zu arbeiten und den Exch. FE in die DMZ stellen willst, ist dieser Artikel was für Dich: http://www.isaserver.org/articles/2004dmzfebe.html Aber man kann auch den Front-End-Exchange ins LAN stellen, was ich auch für sicherer halte. Christoph

Hi, habe den Test Anfang April gemacht (in Englisch). Es gibt 50 Fragen, für die Du rund 2.5 Stunden Zeit hast. Simulationen hatte ich keine. Du solltest Dich gut auskennen mit den ISA Clients (Firewall, SecureNat und Web Proxy), mit Firewall-Regeln und mit VPN. Es könnte auch nicht schaden, wenn Du mal versuchst, Exchange über RPC/HTTP erfolgreich zu veröffentlichen. Die Enterprise Edition vom ISA sollte Dir auch nicht ganz fremd sein. /edit: Ach ja, und den Stoff für die 291 solltest Du auch noch einigermaßen draufhaben. Gruß Christoph

Absolut richtig, ich habe mir auf meiner Arbeitsstation sogar den Luxus von 3 GB Ram gegönnt. 8 VMs und es macht immer noch Spass :D

Hallo, zusammen! VMWare im MOC-Kurs? :shock: :D Ich denke eher, dass das Virtual PC war ;) Im Ernst: Ich hab mich auf die ISA Server Prüfung im Selbststudium vorbereitet und habe dafür auch VMWare eingesetzt. Geht ganz gut, wenn man entsprechend leistungsfähige Hardware hat. Zum eigentlichen Thread-Thema: ich möchte mich meinen Vorrednern anschließen, und raten, die Spezialisierung nach Interessens- und Bedarfslage zu machen. Ich habe den MCSE+M als erste Spezialisierung gemacht, weil eine Exchange Migration anstand, und ich somit die Chance bekam, den Stoff auch praktisch umzusetzen. Den MCSE+S habe ich mehr aus persönlichem Interesse vor kurzem zusätzlich gemacht. Christoph

In der Tat, du musst jedes neue Zertifikat bzw. Welcome Kit erneut anfordern, die Lieferzeit ist jedesmal so ca. 4 Wochen. Christoph

Geh mal in den IIS Manager, suche die Default-Website und klicke in den Eigenschaften auf Directory Security, dann bei "Authentication and access control" auf "Edit" und gib unten als "Default Domain" den NetBIOS Namen deiner Domain an. Dann solltest Du dich wieder mit dem Usernamen anmelden können. Ggf. musst du das auch bei den Virtuellen Verzeichnissen machen. Christoph

Ok, denk nur dran, dass der Name des SSL Zertifikats für RPC/HTTPS exakt mit dem (veröffentlichten) FQDN des ExchangeServers übereinstimmen muss, sonst bekommt der Client, also Outlook, keine Verbindung. Schließlich gibts da keinen Dialog wie beim IE. Christoph

Nach außen nur 443. Zitat aus dem von mir verlinken Artikel: Was hast Du genau vor? Christoph

Danke, ich arbeite fast ausschließlich mit englischen Servern, daher habe ich die dt. Bezeichnungen nicht immer parat ;) Christoph

Hi, Du brauchst -Exchange 2003 -Outlook 2003 -Windows 2003 DCs -XP ab SP1 mit Fix 331320 oder XP SP2 -Front-End/Back-End ist empfehlenswert, aber es geht auch mit nur einem Exch.-Server (habe beides mal getestet). -Diesen Artikel zur Konfiguration, wenn Du es mit einem Server abfackeln willst. Christoph

Hi, du musst zunächst mal per GPO das Auditing für Objektzugriffe aktivieren und im zweiten Schritt für jeden Ordner oder jede Datei, die auditiert werden sollen, festlegen, welche Zugriffe geloggt werden sollen. Siehe auch hier: http://technet2.microsoft.com/WindowsServer/en/Library/50fdb7bc-7dae-4dcd-8591-382aeff2ea791033.mspx?mfr=true Die SACL, in der festgelegt wird, welche Zugriffe geloggt werden, änderst du über die erweiterten Sicherheitseinstellungen der Ordner bzw. Dateien. Christoph

Hi, der Webserver muss für die Weiterleitung von Credentials des Users an den SQL-Server konfiguriert werden. Im Computerkonto des Webservers gibts dafür ein Kontrollkästchen "Trusted for delegation" (oder so ähnlich). Für weitere Info, schau mal in diesen Artikel: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerbdel.mspx /edit: by the way: willkommen an Board :) Christoph

War bei mir auch so, habe die 298 am freitag gemacht, im Transkript stand das schon am Samstag, aber der MCSE+S stand dann erst Montag morgen drin. Denk dran, dass Du das Zertifikat auf der MCP Membersite anfordern musst (Welcome Kit), das wird nicht automatisch verschickt. Nachdem Du es angefordert hast, musst du 3-4 Wochen warten, bis es geliefert wird. Christoph

Was da steht ;). Im ESM deaktivieren, und die FormsBasedAuthentication auf dem ISA im Listener einstellen. Beides zusammen geht nicht. Und intern brauchst du doch keine FBA, oder ?! Christoph

Hi, ich habe am Freitag die 298 gemacht und damit den MCSE+S geschafft, die Prüfung wurde schon am Samstag im Transcript gelistet, der MCSE+S aber erst heute morgen. Sollte also bei dir heute auch drin stehen. Ansonsten: Glückwunsch zum MCSE und zum Bestehen der 297. :jau: Hatte in dem Test damals genau die gleiche Punktzahl :D Christoph

Hi! Info siehe http://www.mcseboard.de/showthread.php?t=88944 und einige andere in diesem Board. Du bekommst mehrere Szenarios nacheinander, die du durchlesen kannst. Dann musst du Fragen dazu beantworten. Sobald du mit allen Fragen durch bist, hast Du die Chance, deine Antworten noch mal zu checken. Danach gehts dann zum nächsten Szenario. Einen Weg zurück zu einem bearbeiteten Szenario gibts nicht. Nach dem letzten Szenario kommt dann die Auswertung, ob der Test bestanden ist, oder nicht. Aber die 298 ist easy going! Christoph

Glückwunsch zum Bestehen, Punktlandung ist auch bestanden. Und die 294 kann eine ganz schön harte Nuss sein. Ich hab sie erst im 2. Anlauf geschafft. Christoph

Ja, stimmt; das sind dann die Fragen, die sich mit dem Bereich der unterstützenden Netzwerk-infrastruktur beschäftigen ;). Allerdings: Für einen, der die von dir erwähnten Bereiche noch nicht gemacht hat(te), ist die Prüfung echt hart. Ich habe die ISA erst nach der Exchange gemacht, war aber froh, dass ich mich in Vorbereitung auf die 284 auch schon etwas mit Firewalls beschätftigt hatte. Christoph

Herzlichen Glückwunsch zum Bestehen! Ich stimme aber nicht mit dir darin überein, dass die leicht wäre. Ich halte sie eher für eine der schweren Prüfungen im 2003er Track. Ich habe sie im Aug. 05 mit 880 Punkten bestanden. Christoph

In der Server veröffentlichungsregel musst Du den Public Name dem Namen des zertifikats anpassen. Und im externen DNS muss dieser Name auf die externe IP des ISA verweisen. Ich habe einen engl. ISA, deshalb hier in englisch: auf dem Tab-Reiter "Public Name" in der Drop-Down-Liste "This rule applies to" "Requests for the following website" auswählen, ggf. "add" oder "Edit" klicken, und den Namen eingeben, auf den das Zert. ausgestellt ist. Unter "Paths" müssen "Exchange", "Exchweb" und "Public" gelistet sein, für FBA auch noch "CookieAuth.dll". Christoph

Soweit ok... Wozu? Das ist nicht nötig und im Falle des ISA in einer Prod.-Umgebung eher der Security abträglich... 1. Du lässt im IIS-Manager auf dem Exchange ein Server-Zertifikat erstellen (Namen des Zerts beachten, muß gleich dem zu veröffentlichenden Namen sein! Siehe auch deinen anderen Thread zum Thema) 2. Konfiguriere die Webseite so, dass SSL und 128 Bit Verschlüsselung erforderlich ist. Schalte anonyme Anmeldung ab und aktiviere Standardanmeldung. Die Warnmeldung kannst Du ignorieren, weil ja SSL verwendet wird. Ggf. kannst Du noch eine Standard-Domain angeben, dann braucht der User sich nicht mit "Domain\username" anmelden, sondern es reicht der Username. 3. Konfiguriere auch die virt. Verzeichnisse Exchange, ExchWeb und Public analog zu 2. 4. Exportiere das Zertifikat, mit dem ganzen Pfad und dem privaten Schlüssel. 5. Importiere das Zertifikat auf dem ISA Server in den Zertifikatsspeicher für den Computer, nicht für den User!) und verschiebe das Zertifikat der Root-CA, falls nötig, in den Speicher der vertrauenswürdigen Stammzert.-Stellen und die Zertifikate der Zwischenzert.-Stellen in den Speicher für Zwischenzertifizierungsstellen. 6. Jetzt kannst du die benötigten Mailserver-Veröffentlichungsregeln und Listener erstellen und mit dem richtigen Zert. versehen. Hoffe, dir damit geholfen zu haben, bei Problemen bitte hier posten. Christoph

Mag sein, aber das Zertifikat wäre für externe User nicht vertrauenswürdig gewesen, weil die eure dafür zu installierende Root-CA nicht kennen und damit das Zertifikat nicht zu einer vertrauenswürdigen Root-CA verifiziert werden kann. Christoph

Der Schritt ist an sich ziemlich schmerzfrei. Ihr solltet eben vorher überlegen, ob ihr noch 2000er DCs braucht, denn ein zurück gibts ja nicht mehr. Falls ihr Domain(s) und Forest im W2K3 Modus habt, gibt es ein paar Vorteile, unter anderem verringert sich der Replikationsverkehr. Mehr Info unter http://support.microsoft.com/kb/322692#E01D0ACAAA Christoph

Ich meine, das funktioniert erst mit dem Win 2003 Level richtig. Falls ihr keine 2000er DCs mehr habt und keine mehr einsetzen wollt, solltet ihr Domain und Forest hochstufen. Christoph

In welchem Domain-Functional Level läuft eure Domain? Christoph