Daniel -MSFT-

Bitte nicht alte Threads kapern.

Die Grafik ist nicht lesbar. Kannst Du du Fehlermeldung bitte einmal notieren und hier in Textform Posten? Wie hast Du Office 2010 erworben? Kam das mit dem

Aller Wahrscheinlichkeit nach ist der Netzwerklink nicht ganz oben, wenn Netlogon auf den Server zugreifen will. Das kann an DHCP-Relayagenten liegen oder auch an der Switchfirmware. Bezeichnend ist ja, dass es in dem einen Fall der kaskadietrnden Switches funktioniert. Ich würde mit dem Parameter ExpectedDialUpDelay in der Registry den Zeitraum für Netlogon verlängern, bis es passt: http://blogs.technet.com/b/instan/archive/2008/09/18/netlogon-5719-and-the-disappearing-domain.aspx Der Hotfix, auf den Norbert verweist, kann auch helfen, da es ja nur bei Windows 7 auftritt und nicht bei Windows 8: http://support.microsoft.com/kb/938449/ und http://support.microsoft.com/kb/2459530

Schau mal in http://www.mcseboard.de/topic/196883-flash-unter-rdp-auf-windows-2012-terminalservices-esxi-51/ und http://www.mcseboard.de/topic/197861-erfahrung-virtualisierung-mit-thinclients-multimedia/ rein.

Es gibt doch bestimmt mehr Ressourcen pro Standort, die ähnliche Berechtigungen brauchen. Spontan fallen mir da ein Verteiler zwecks lokaler Information, Drucker, Dateiablage, etc. Wenn Du eine Gruppe "Standort 1" und "Standort 2" hast, dann brauchst Du nur noch Gruppen wie "Kalender lesen", "Kalender schreiben", "Drucker nutzen", "Freigabe lesen", "Freigabe ändern", etc. Danach pflegst Du Berechtigungen nur noch über Gruppenzugehörigkeiten. Lies mal http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Wie gesagt, nichts gegen Deine "Lösung" und das Teilen das Skripts. Finde ich Klasse. Ich habe nur noch keine begründete Ausnahme von der Regel gesehen ausser "Bequemlichkeit". Quick & Dirty fällt einem früher oder später auf die Füsse

Ganz ehrlich? Das ist eine Lösung der Kategorie "Man nimmt eine tiefgefrorene Banane, um einen Nagel in die Wand zu schlagen". Dein Problem liegt ganz woanders: Vergib die Berechtigungen NIE an Benutzer, sondern IMMER an Gruppen. Schachtel die Gruppen, so dass Berechtigung (Lesen, Schreiben, Ändern, Löschen, was Du halt unterscheiden willst) getrennt ist von Funktion (Verwaltung, Einkauf, Produktion, ...). Dann musst Du nur noch die Anwender in Gruppen packen und hast damit auch eine Dokumentation, wer worauf zugreifen darf.

Vergib die Berechtigungen NIE an Benutzer, sondern IMMER an Gruppen. Schachtel die Gruppen, so dass Berechtigung (Lesen, Schreiben, Ändern, Löschen, was Du halt unterscheiden willst) getrennt ist von Funktion (Verwaltung, Einkauf, Produktion, ...). Dann musst Du nur noch die Anwender in Gruppen packen und hast damit auch eine Dokumentation, wer worauf zugreifen darf.

Hi Andrew, wenn heute bei Deinem Kunden die Internetleitung wegen eines Baggers tot ist, dann hat er Zugriff auf alle lokal gespeicherten Daten. Es kommen keine neuen Mails rein. Zugriff auf neue Mails geht nur durch Umkonfiguration von Clients und Nutzung einer separaten Internetverbindung über eine alternative Zugangstechnologie, z.B. drahtlos. Bei Nutzung von Exchange Online hast Du die gleiche Situation minus die Umkonfiguriererei. Die Daten sind genauso offline verfügbar wie die Office-Programme, denn diese sind ja genauso lokal installiert. Office 365 heisst nicht, dass (fast) alles nur online funktioniert. Das kennst Du vielleicht von Google Apps so. Das ist ein weit verbreiteter Irrtum

Genau. Deswegen auch Portfast. Da sind wir ja einer Meinung.

Du brauchst für jeden Entwickler/Tester eine eigenständige MSDN-Lizenz. Je nachdem, welche Produkte zum Testen genommen werden, braucht es auch die passende MSDN-Lizenzierung. Anbei mal das Whitepaper Visual Studio 2013 and MSDN Licensing Whitepaper - August-2014.pdf zur Lizenzierung. Ab Seite 13 gibt es da sehr schöne Erklärungen samt Beispielen. Hier mal Auszüge davon:

Wenn Du in Outlook den Spamfilter aktivierst, dann aktiviert der auch den auf dem Server. Alternativ kann man via OWA im Postfach den serverseitigen Filter ein- und ausschalten.

Hallo kkkap, vorab erst einmal ein herzliches Willkommen hier im Forum und der Hinweis, dass hier "Du" meist gebräuchlicher als das "Sie" ist. Eine entsprechende Internetsuche würde Dich zum Beispiel zu Sicherheitsregeln für die Windows-Firewall und für IPsec-basierte Verbindungen unter Windows Vista und Windows Server 2008 und Reihenfolge der Regelauswertung bei der Windows-Firewall mit erweiterter Sicherheit führen. Have fun! Daniel

Mal zurück zum Topic. Ich hatte vor ca. 10 Jahren mit Greylisting gearbeitet. Auf der einen Seite ist es extrem effizient (solange es nicht die Mehrheit benutzt), auf der anderen Seite gibt es drastische Akzeptanzprobleme, wenn Du keine vernünftige Konfiguration und Kombination verschiedener Techniken nutzt. Du kannst nämlich nicht steuern, ob und wann die Gegenseite die Mail erneut sendet. Nicht jeder einliefernde Mailserver arbeitet RFC-konform. Wenn dann auf einmal Mails nicht ankommen, weil die Gegenseite nicht die Sendung wiederholt, dann steigen Dir die Anwender ganz schnell aufs Dach. Deine Begründung, die Gegenseite würde sich nicht an RFC soundso halten, interessiert im Zweifel keinen, wenn deswegen ein Auftrag verloren geht. Oder wenn ein potentieller Neukunde am Telefon sagt, dass er seine Bestellung per Mail losschickt und aufgrund des Erstkontakts genau diese Mail vier Stunden oder mehr Laufzeit hat. BTW: Dig ist kein "Linux-Tool", das gibt es auch für Windows. Es gibt mit nslookup sogar ein Boardmittel, das schon mitgeliefert wird: C:\>nslookup -q=TXT outlook.com Server: <DNS-Server> Address: <IP-Adresse> Nicht autorisierende Antwort: outlook.com text = "v=spf1 include:spf-a.outlook.com include:spf-b.outlook.com ip4:157.55.9.128/25 ptr:protection.outlook.com ptr:messaging.microsoft.com ptr:o365filtering.com include:spf-a.hotmail.com include:_spf-ssg-b.microsoft.com include:_spf-ssg-c.microsoft.com ~all" Da sind noch eine Menge weiterer Server mit eingebunden. Deswegen solltest Du Greylisting mit SPF kombinieren. Der Tipp "Skip Greylisting if the Sender explicitly passes the SPF Test" ist Gold wert. Zusätzlich kann man noch DKIM mit einbinden, bevor man Greylisting nutzt. Und natürlich eine DNS-Whitelist für legitimer Sender hinzufügen, die man nicht Greylisting unterwirft. Und so weiter und so fort.

Könnte es sein, dass Du den Notes Migrator for Exchange nutzt? Dann wäre https://support.software.dell.com/kb/90238 für Dich relevant: TitleERROR: [4970-24-52-8004011D] Unable to open mailbox for user 'UserA@domain.com' Description There can be variations of this error found in the Notes Migrator for Exchange log file. Variation 1: 16:04:05 ERROR: [4970-24-52-8004011D] Unable to open mailbox for user 'UserA@domain.com' 16:04:05 OpenMsgStore: 16:04:05 MAPI error 8004011D 16:04:05 Error: You do not have permission to log on. 16:04:05 Component: Microsoft Exchange Information Store 16:04:05 Low level error: 000003F2 16:04:05 Context: 00000519 16:04:05 DEBUG: PstTgt::OpenMsgStore returns 0 16:04:05 DEBUG: GWSrc::CleanupddrBookList - deleting file C:\DOCUME~1\profilename\LOCALS~1\Temp\2\\dumpabks-1.abk Variation 2: 17:27:26 ERROR: [4970-24-52-8004011D]Unable to open mailbox for user 'UserA@domain.com' 17:27:26 OpenMsgStore: 17:27:26 MAPI error 8004011D 17:27:26 Error: Your server administrator has limited the number of items you can open simultaneously. Try closing messages you have opened or removing attachments and images from unsent messages you are composing. 17:27:26 Component: Microsoft Exchange Information Store 17:27:26 Low level error: 000004DE 17:27:26 Context: 0000054A Cause Cause 1: The Exchange account does not have permissions to the mailstore - it is likely a separate mailstore, which is why the mail is successfully migrated to the mailbox but not the server-based archive mailbox. Cause 2: In Exchange 2010 and later, there are limits regarding the numnber of MAPI sessions a single user can have open. The limit is set at 32 by default. In this case, an Event ID 9646 should be logged on the Exchange mailbox server (Exchange 2013) or CAS server (Exchange 2010) that NME is configured to connect to. Resolution Resolution 1: 1. Launch an Exchange Management Shell. 2. Type (in one continuous line where <migadmin> is your Receive As migration account): get-mailboxdatabase | add-adpermission -user <migadmin> -extendedrights Receive-As 3. Then retry migration. Resolution 2: The following two Microsoft knowledge base articles describe the issue and possible solutions: Refer to Microsoft KB Article ID: 2742012 – “An event ID 9646 occurs when a service account opens many MAPI sessions on an Exchange Server” Refer to Microsoft Technet Article – “Exchange Store Limits” Dell Software does not provide support for problems that arise from improper modification of the registry. The Windows registry contains information critical to your computer and applications. Make sure you back up the registry before modifying it. For more information on the Windows Registry Editor and how to back up and restore it, refer to Microsoft Article ID 256986 “Description of the Microsoft Windows registry” at Microsoft Support. Additional Information: Also see Notes Migrator for Exchange solutions: SOL13056 - ERROR: [4970-105-47-80004005] Unable to open mailbox for user SOL85508 - ERROR: [4970-108-48-00000000] Unable to open mailbox for user 'username@domain.com' SOL73418 - ERROR: [4970-108-47-80004005] Unable to open mailbox for user 'user@domain.com' when migrating some users SOL56105 - When running mailbox migration get MAPI error "Unable to open mailbox...", but after opeing the mailbox using Outlook a subsequent migration completes successfully. SOL13327 - ERROR: [4970-24-50-00000000] Unable to open mailbox for user 'User@company.com' SOL12457 - Error: "Unable to open mailbox for user <USER@domain>"

Es ist entweder A + C oder B + D. Da ich aber auch nicht möchte, daß Dich meine Antwort voreinnimmt, möchte ich die Lösung nicht weiter erläutern. Der Sinn und Zweck ist doch eigentlich zu lernen. Versuch doch mal eine Suchmaschine zu nutzen, um die Antwort zu finden oder lies die Dokumentation auf http://technet.microsoft.com ;-)

Liegen die Server denn im Wirkungsbereich der GPOß Wird in der GPO eventuell per WMI oder Sicherheit gefiltert?

Wenn Du es auf dem Client ausführst, musst Du noch mit dem Parameter -ComputerName den Servername übergeben. Sonst sucht er auf dem lokalen Computer. PS C:\> Show-DnsServerCache –ComputerName "Win12S-05.DNSServer-01.Contoso.com" http://technet.microsoft.com/de-de/library/jj649915.aspx

Den Satz verstehe ich nicht ganz. Ihr wollt das noch testen, wisst aber vorher schon, dass es nicht helfen wird? Ich glaube, dabei ging es darum, dass das Netzwerkinterface heruntergefahren wird, wenn kein Netzwerkkabel angesteckt ist: http://support.microsoft.com/kb/239924

Nutzt ihr die aktuellsten Intel-Treiber für die Netzwerkkarten? Habt ihr mal das Patchkabel getauscht? Durch so einen blöden Fehler hatte ich letztens zu Hause versehentlich nur 100 MBit am Server.

Ich würde vor allem die Aufbewahrungszeit des serverseitigen Papierkorbs deutlich verlängern. Damit lassen sich die meisten "Ups. Ich habe versehentlich eine wichtige Mail gelöscht und den Papierkorb entleert"-Dramen noch einfacher lösen.

Einen Virenscaner zu deaktivieren, hilft meistens nicht, da der Filtertreiber weiterhin geladen ist. Du musst wenn, dann den Virenscanner komplett deinstallieren. Dann bekommst Du einen aussagefähigen Test. Ist denn der GDATA-Scanner für den SBS freigegeben? Poste mal ein ipconfig /all vom Server hier als Text.

Es gibt durchaus Thinclients mit EasyPrint-Support. Darauf kann man genauso wie auf Unterstützung von RemoteFX bei der Anschaffung achten. Was die Druckprobleme angeht, waren das zufällig Windows XP-Clients? Es gab für das .Net Framework einige Updates, die Probleme beim Rendering lösten: 946411 FIX: When you print an XPS file on a Windows XP Service Pack 2 or Service Pack 3-based computer, the characters in the XPS file print incorrectly http://support.microsoft.com/?id=946411 954744 FIX: Some pages are printed in the incorrect orientation when you use Terminal Services Easy Print to print a document that contains both portrait-oriented pages and landscape-oriented pages http://support.microsoft.com/?id=954744 959554 Only the header and footer information in an XPS document are printed when you print the document on a computer that is running Windows XP, Windows Vista SP1, or Windows Server 2008 http://support.microsoft.com/kb/959554 968605 Terminal Server Easy Print not printing http://support.microsoft.com/?id=968605 983237 Some characters are rotated incorrectly in the print output when you use Microsoft XPS Document Writer to print a document in Windows Vista or in Windows Server 2008 http://support.microsoft.com/kb/983237 Siehe dazu auch http://blogs.msdn.com/b/rds/archive/2009/09/28/using-remote-desktop-easy-print-in-windows-7-and-windows-server-2008-r2.aspx und http://social.technet.microsoft.com/forums/windowsserver/en-US/b2e902ed-08f8-4c58-b4c5-0fa30a609861/2008-r2-easy-print-lots-of-issues-looking-for-checklist Easy Print ist vor allem als Lösung interessant für die unterschiedlichsten, an die Clients angeschlossenen, lokalen Drucker. Man kann als Standard vorgeben, dass Easy Print für alle Drucker genutzt wird, für die auf dem Terminal Server keine Treiber installiert sind und nutzt dann für den Fall des Ausenstellen-PCs, der in die Zentrale drucken soll, als Ausnahme einen auf dem Terminal Server eingerichteten Drucker. Es kann aber auch sein, dass der doppelte Netzwerkverkehr in diesem Szenario tolerierbar ist, weil er mit niedrigerer Priorisierung läuft, weil es die Verwaltbarkeit und die Stabilität der Terminal Server-Umgebung erhöht. Das kommt immer auf eine genaue Betrachtung des Einzelfalls an. Das wichtigste ist, dass man sich hier überhaupt über das Thema eingehend Gedanken macht. Have fun! Danie

Hi Andrew, vielen Dank für die sehr umfassende Antwort. Das sind dann CHF 2.566 für Active/Passiv und CHF 3.554 für Active/Active für eine Laufzeit von drei Jahre. In Deutschland höre ich von Partnern, dass derartige Preispunkte bei Kunden <10 Mitarbeiter selten akzeptiert werden. Da liegt wohl ein kultureller Unterschied zwischen unseren Länden vor. Das klingt absolut sinnvoll. Natürlich hilft es nicht, wenn der Bagger die Leitung durchtrennt, aber gegen Störungen beim Anbieter kann das helfen. In Deutschland sehe ich recht oft Microsoft Security Essentials bei kleinen Kunden im Einsatz. Für Kleinunternehmen bis 10 Geräte ist die Nutzung ja kostenfrei. Mit Exchange Online meinte ich das Office 365 von Microsoft. Dort sprechen wir von CHF 3.80 pro Benutzer und Monat für ein 50 GB großes Postfach mit 99,9% SLA. Im letzten Quartal wurden 99,99% geliefert, was einer maximalen Ausfallzeit von 8.6 Sekunden pro Tag entspricht. Wenn Du mal zum Vergleich bei einer lokalen Lösung von einem Reboot pro Patch-Tuesday ausgehst, dann muss Dein Server in unter 2 Minuten 10 Sekunden herunter- und wieder hochfahren und ansonsten störungsfrei durchlaufen, um das zu toppen. Ein Kommentar hier zum Thema Stromverbrauch erlaubt auch interessante Rechenbeispiele. Strom ist in der Schweiz billiger als in Deutschland. So rechnet gemäss Medienmitteilung die Eidgenössische Elektrizitätskommission (ElCom) mit durchschnittlich 20,7 Rappen pro Kilowattstunde (kWh). Für die CHF 364.80, die 8 Exchange Online-Postfächer pro Jahr kosten, könnte man also ~1.762 kWh pro Jahr kaufen. Wenn man das auf den Monat umrechnet, dann kann man damit IT mit ~147 Wh 24x7x365 betreiben. Sicher verbraucht das IT-Equipment deutlich mehr Strom. Wenn man mal den durchschnittlichen Stromverbrauch pro m² Serverraum und Jahr mit 2.000 kWh/m²a ansetzt und für eine kleine Firma von einer kleinen Kammer mit 3 m² ausgeht, dann sind das 6.000 kWh pro Jahr. Wenn man nun bei der Nutzung von Exchange Online die IT nicht mehr 24x7x365 betreiben muss, sondern zum Beispiel auf 10x5x365 gehen kann, entspricht die Reduktion des Stromverbrauchs von grob gerechnet ~70% im Jahr einem Betrag von CHF 869.40. Das entspricht den Jahreskosten von 19 Exchange Online-Postfächern. Ich habe einem Kunden auch mal ausgerechnet, wie schnell sich die Migration auf eine neuere Windows-Version gerechnet hat, weil die gleiche Hardware durch das neuere Betriebssystem generell im laufenden Betrieb weniger Strom verbrauchte und nun mit Energierichtlinien die PCs und Monitore viel energiesparender betrieben werden konnten. Dem klappte daraufhin der Unterkiefer herunter. Die Auswirkungen von Green IT erlauben interessante Gedankenspiele. Rechnen wir mal weiter: Für CHF 4.70 bekommst Du Exchange Online, SharePoint Online und Lync Online zusammen. Für CHF 11.70 gibt es Exchange Online, SharePoint Online, Lync Online und das Office-Paket mit Word, PowerPoint, Excel, Outlook, Publisher und OneNote in allen verfügbaren Sprachen (in der mehrsprachigen Schweiz durchaus interessant) zum Installieren auf bis zu fünf Windows PCs oder Macs (Office für Mac ist auch dabei), bis zu fünf Windows Tablets oder iPads (Office für iPad ist mit dabei) und bis zu fünf SmartPhones (iPhone, Android, etc.) pro Benutzer. Gerade für kleine Unternehmen kann man das sehr gut durchrechnen und zum Beispiel mit einem Windows Foundation oder Essentials Server lokal ergänzen. Als Partner würde ich hier eine Managed Solution zusammenbauen, die den Kunden einen simplen Betrag pro Benutzer für die gesamte Lösung inkl. Office als Service pro Monat anbietet. Damit kann man dann die Hardware, die Software und die Wartung abdecken. Der Partner hat eine konstante monatliche Einnahmequelle und der Endkunde eine immer aktuelle IT auf einem hochverfügbaren Niveau, das er sich in der Art vermutlich nie leisten können würde. Allein wenn ich Deine simplifizierende Rechnung nehme und nur die Lizenzkosten und 4h Ersteinrichtung auf der einen Seite (CHF 2.810) den monatlichen Kosten für den kompletten Service von 8 Postfächer (CHF 30.40) gegenüberstelle, dann sind wir schon bei 92 Monaten, mithin mehr als 7,5 Jahre. Bei Office 365 bist Du dagegen auf der neuesten Version, Antivirus- und Antispam-Filterung ist inklusive, die Lösung ist hochverfügbar, etc. Ganz nüchtern betrachtet geht der Trend hin zu solchen Servicemodellen. Bei der Firewall hast Du Dich ja zum Beispiel auch für einen 36 Monatsservice entschieden :-) Have fun! Daniel

Schau mal hier rein: http://office.microsoft.com/en-us/exchange/microsoft-exchange-licensing-faq-answers-about-licensing-exchange-FX103934581.aspx I currently use Mailbox Manager in Exchange Server 2003 or Managed Folders in Exchange Server 2007. How do I license similar functionality in Exchange Server 2013? These features evolved into “Retention Policies” in Exchange Server 2013 and now include the additional flexibility of applying policies to individual emails, in addition to folders. An explanation of how these features have evolved across versions: ##Exchange Server 2003: Standard CAL included Mailbox Manager. ##Exchange Server 2007: Standard CAL included managed default folders and Enterprise CAL included managed custom folders. ##Exchange Server 2010: Standard CAL included enhanced features for managed default folders and Enterprise CAL included enhanced features for managed custom folders. ##Exchange Server 2013: Both Standard CAL and Enterprise CAL now include retention policies. ##Exchange Online: Standard CAL includes default retention policies and Enterprise CAL includes custom retention policies Für Exchange Server 2013 gilt: Personal tags are a premium feature. Mailboxes with policies that contain these tags (or as a result of users adding the tags to their mailbox) require an Exchange Enterprise client access license (CAL). http://technet.microsoft.com/en-us/library/dd297955.aspx