RobertWi

Moin, normalerweise sendet Exchange "opportunistisch", also immer dann verschlüsselt, wenn der Gegenüber mitmacht. Einstellen kannst Du das in den Eigenschaften des Sende-Connectors, aber nur via Shell: Klick (RequireTLS). Denk aber daran, dass dann Mails an Server, die nciht verschlüsseln können oder wollen unzustellbar zurückgehen. Und das sind mehr, als man denkt.

Moin, Ist da in Deinen Zahlen ein Fehler oder warum hat der Connector einen höheren Wert? Ich sage meinen Kunden zum Merken immer eines: "Bei Mails aus dem Internet gilt grundsätzlich die restriktivste Einstellung." Mehr geht nur intern (bzw. zwischen Authentifizierten Usern). Stell Dir das wie eine sequentielle Abwicklung vor: 1. Prüfung: Connector (für Internet rein) 2. Prüfung: Organisation (für alle Benutzer) 3. Prüfung: User (evt. Ausnahme von 2.) Du obliegst dem Fehler, die Prüfung in 3. ist eine Ausnahme von allem. Ist sie aber im Prinzip nicht. Sie ist nur eine Ausnahme von 2 und auch nur bei authentifizierten Benutzern.

Dann liegen die Mails im HT in der Queue und gehen von dort unzustellbar zurück. Wie auch immer: Mailempfang über längere Zeit blocken, führt irgendwann zu einem Rückläufer.

VW hat aber nicht den Empfang abgestellt, sondern den Zugriff. Sie haben die EAS, bzw. die Blackberry Server für normale Mitarbeiter deaktiviert. Sie bekommen weiterhin Mails und die Manager haben auch noch Zugriff. Das kannst Du auch, z.B. per Script, in dem man den Active Sync Zugriff abschaltet. Den Mailempfnag abzuschalten ist keine gute Idee, weil dann niemand mehr neue Mails bekommt und die Mails unzustellbar zurückgehen.

Das glaube ich gerne und wird öfter so sein. Meine Suche hier war übrigens "exchange message size limit" (ich suche und lese die Artikel danke bescheidener automatische Übersetzung mit lustigen Fehlern grundsätzlich nur noch in englisch).

Moin, die Änderungen im Postfach werden bis zu 2 Stunden gecacht. Hilft Dir allerdings auch nur begrenzt, weil diese Einstellung nur intern wirkt. Das, was von außen rein kommt, geht zuerst durch den Empfangs-Connector. Und wenn da weniger eingestellt ist, landet es erst gar nicht im Postfach (Connector und Organisations Limits -> der restriktivere Wert von beiden wirkt). Schau mal hier: Klick Abschnitt: "Order of precedence for message size limits"

Denk daran, dass Domänen-Änderungen nicht erlaubt sind, wenn Exchange installiert ist. Also baust Du die Testumgebung neu auf und musst sehn, dass Du wirklich alles dort nach vollziehst. Gerade bei Exchange kann man das aber quasi nicht 1:1 nachvollziehen. Da sind zu viele Einstellungen an zu vielen verschiedenen Stellen wichtig (eine IIS-Einstellung übersehen und der Test sagt nichts mehr über das Produktivsystem aus). Daher kann ich bei Exchange den Wunsch eines Clones schon nachvollziehen. Wie Dir die anderen aber sagen, muss man dabei sehr gewissenhaft arbeiten. Wieso schließt Du aus der Aussage, dass jemand mit theoretischen Prozessen auf dem Papier überfordert ist, dass er ohne nachzudenken ändert und nichts dokumentiert? Ich habe bei mir auch keine 100% ITIL Umsetzung, trotzdem wird jede Änderung gewichtet, bei Bedarf besprochen und dokumentiert. Und das dann vermutlich besser, schneller und effektiver, als es bei einer ITIL Umsetzung der Fall wäre.

Korrekt. Und wenn sie "der eine" nicht interessiert, von dem sie eine Fehlermeldung bekommen, wird er sie erst recht nicht interessieren, wenn sie dann auch noch die Mail zerstückeln müssen, oder? Du musst Deiner GL also klar machen, dass ihr das Problem nur dadurch lösen könnt, in dem ihr dafür sorgt, dass die Mail NICHT abgelehnt wird und zurückgeht.

Definitiv. Ich durfte letzte Woche mal einem erfahrenen Netzwerker über die Schulter schauen, wie der einen "Netzwerkcrash" nach einem gesteckten Loop analysiert hat. Der hat dafür nur Wireshark unter Linux benutzt (und zum Beweisen einen Zweizeiler in der Shell). Die Benutzung des Tools war kein Problem, aber die Auswertung der in 2 Sekunden bis zum Abschalten des Netzwerkes gesammelten Informationen hätte jeden Sysadmin hoffnungslos überfordert. IMHO kann man das gar nicht "lernen", dass war einfach nur Erfahrung.

Du kannst den Typ einfach via Shell mit "Set-Mailbox" ändern. Option und Wert müsstest Du mal im Technet nachschalgen. Aus dem Kopf "-Recipienttype Usermailbox".

Gar nichts, habe ich bei mir auch machen müssen, weil die Anwender Leseberechtigung für den Kalender haben wollten. Da blieb keine andere Lösung. Du hast halt keine "komfortable" Buchungsautomaikt mehr.

Zumindest bei 2010 hat sich das bis heute nicht verändert. Allerdings meine ich da nur die Kalenderberechtigungen, die man in Outlook (oder "Mailboxfolderpermisson" in der EMS) vergibt. Postfachberechtigungen, da gibt es ja nur "Vollzugriff", sind davon nicht unbedingt betroffen. Mit denen arbeite ich aber kaum, da es hierfür reicht, den Stellvertreter auf dem Ressourecen-Postfach einzurichten.

Moin, also ich persönlich empfinde in einer Zeit, in der sogar LTE mittlerweile 100 mb/sec erreicht, 10 MB für Mails (was effektiv nur 7 sind, weil 10 ein Bruttowert vor Content Conversion ist) als zu gering. Aber jeder wie er will. Und ganz ehrlich: Stell Dir Deinen Wunsch mal in der Praxis vor: Mail kommt an und geht unzustellbar zurück. Der Absender probiert es nicht noch mal, wie Du schreibst. Dafür wird er einen Grund haben, vermutlich weil im egal ist, ob ihr die Mail bekommen habt. Dein Mitarbeiter sieht, das ihm "hans-mueller@irgendeinedomaine.xxx" eine zu große Mail gesendet hat. Er kennt weder Inhalt, noch Absender, noch Betreff. Also schreibt oder ruft er den Absender an und erklärt ihm, dass dieser seine Mail bitte stückeln muss, damit er sie verschicken kann. Oben haben wir aber schon festgestellt, dass der Absender gar keine Lust hat, die Mail ein zweites Mal zu schicken. Wieviel Lust wird er haben, seine Mail nun zu stückeln? Ergebnis: Nichts wird sich ändern. Wenn ihr die Mail haben wollt, erhöht die Empfangsgrößen (ihr müsst ja nicht die Sendegrößen erhöhen). Eine bessere Lösung sehe ich da nicht. Zur Frage: Info an den Empfänger gibt es nicht, da die Mail im korrekten Fall Exchange gar nicht erreicht. Es wird bereits die Annahme der Mail verweigert, wenn der sendende Server eine "SIZE" größer 10 MB im Verbindungsaufbau signalisiert. Daher kennt Exchange außer Absender und Empfänger nichts, auch keinen Betreff der Mail. Du kannst aber dem Admin eine "Kopie" des NDR schicken lassen: http://msundis.wordpress.com/2010/04/21/configure-postmaster-microsoft-exchange-recipient-and-ndr-forwarding-in-exchange-server-2007-and-2010/

Moin, welchen Problem willst Du denn damit beheben? Berechnet Dein Exchange nachts Primzahlen und soll nicht durch Mails gestört werden? Nein, da gibt es keine einfache Möglichkeit. Das ist auch ein wenig problematisch, denn im Standard werden Mails 48 Stunden in der Warteschlange gehalten. Mails an Dich würden dann unzustellbar zurückkommen, wenn ich die am Freitag Abend nach 18:30 Uhr schreibe. Heutzutage ist das aber ziemlich lang, so dass ich die Zeit meistens auf 12 bis 24 Stunden runterdrehe, damit die Leute schneller erfahren, wenn ihr Mail nicht rausgegangen ist.

Moin, ja, das dauert bis zu zwei Stunden. Um das zu beschleunigen, muss man die Systemaufsicht und den Informationsspeicherdienst neustarten. Ist halt unglücklich, weil hierdurch alle Benutzer getrennt werden. Wenn es gut läuft, merkt das niemand, aber pauschal kann man hier nichts vorher sagen. Alternativ kann man auch den passenden Regkey ändern, damit zukünftig diese Änderungen schneller umgesetzt werden. Das erzeugt aber höhere Last im Exchange und im AD:

Doch, denn damit hast Du vermutlich deinen existierenden Öffentlichen Ordner zerstört. Wie im anderen Post geschrieben: Hole Dir Hilfe ins Haus, bevor noch mehr kaputtgeht.

Zumindest das hast Du richtig erkannt. Das war ein großer Fehler. Damit hast Du vermutlich auch das Public Folder Hierarchy Objekt gelöscht, in dem Exchange die Ordner Struktur ablegt. Man darf (und muss) nur den "CN=Servers" Ordner und der alten Admin Gruppe löschen, aber auf keinen Fall die ganze Gruppe. Ich denke, die Rettungsmaßnahmen übersteigen die Möglichkeiten eines Forums. Da kann alles sein von "kleine Korrektur", über "komplettes AD Recovern (nicht schön auf einem SBS) bis hin zu "Wegwerfen und Komplett neu machen". Du solltest Dir dafür jemanden ins Haus holen. Sonst ist die Gefahr, dass noch mehr kaputt geht, sehr hoch.

Die Eintrag wird gemacht, wenn Du Vollzugriff vergibst und sie wird wieder entfernt, wenn Du Vollzugriff entziehst. Das dauert dann ungefähr die AD-Replikation. Manchmal bekommt Exchange aber das Löschen der Einstellungen selbst nicht hin oder man will Vollzugriff ohne Automapping. Dann muss man den Eintrag von Hand entfernen.

Bist Du sicher, dass Du in das richtig AD-Objekt schaust -> das von user 2 und user 3!

http://lmgtfy.com/?q=exchange+automapping+deaktivieren 1. Treffer. ;)

Moin, wie hattest Du die eingebunden und entfernt? Hast Du noch Vollzugriff auf die Postfächer? Ist der Automapping Eintrag eventuell als Leiche übrig geblieben?

Moin, einmal in der EMS folgenden Befehl ausführen: Get-Mailboxdatabase | Clean-Mailboxdatabase Danach einfach abwarten, dass Ding verschwindet dann wie jedes andere getrennte Postfach nach der Aufbewahrungszeit von alleine.

Du musst natürlich auch noch die diversen URLs bei den virtuellen Verzeichnissen korrekt einstellen.

Ich denke, die Clients sind nicht in der Domäne? Dann wird das mit den GPO etwas komplizierter. Self-Signed Zertifikate sollten nicht benutzt werden. Diese sind nicht vollständig supported, können bei jedem Updates nicht mehr funktionieren und die Smartphones wollen die je nach Gerät überhaupt nicht. Das hat Dir ja Norbert schon geschrieben, beui SplitDNS ist es interne via extern der gleiche Name. Und nochmal zur Wiederholung: Ignoriere den Vorschlag des Assistenten!

Dann sorge zuerst dafür, dass die Clients keinen Zertifikatsfehler bringen. Outlook reagiert empfindlich auf Störungen im SSL und bei Problemen mit dem Zertifikat geht irgendwas nicht. Zum Testen kannst Du das Stammzertifikat der CA beim Client importieren aber langfristig wird es wohl auf ein externes Zertifikat hinauslaufen, dem die Clients von sich aus vertrauen. Dann kommt hier der "interne" Name rein. Wenn Du wie empfohlen SplitDNS benutzt, da ist der Name in beiden Feldern identisch. VPN nur für Outlook ist überflüssig, das bringt außer mehr Komplizität kaum mehr Sicherheit. Aber wenn die Clients noch andere Dinge im Netz machen sollen, kann natürlich auch Outlook via VPN laufen. Das ist vollkommen egal. Im Zertifikat stehen nur Namen, keine differenzierten Funktionen (bzw. steht da eine Funktion, die man für alles braucht - SSL). Zumal beim guten Design eh nur maximal 2 Namen drin stehen. Ich persönlich ignoriere diese "Assistenten" und seine Vorschläge daher meist und trage die erforderlichen Namen direkt von Hand ein.