VSS-Sicherung schlägt fehl, wenn LCR oder SCR aktiviert

 Um einen Exchange 2007 SP2 (auf einem Small Business Server 2008)eines Kunden abzusichern, haben wir neben der standardmäßigen Sicherung durch die Windows Server-Sicherung zusätzlich noch die Local Continuous Replication (LCR) aktiviert. Bei der Kontrolle der Serversichtung ist dann folgender Fehler aufgetreten:

Fehler bei Windows-Server-Sicherung

Im EvenLog an der Fehler-ID 565 zu erkennen:

 Fehler im EventLog

Hintergrund der Meldung ist, wenn die Windows Server-Sicherung eine Sicherung mit LCR anstößt, wird der VSS-Writer für den Replication Service ausgeführt, anstelle des VSS-Writer für den Information Store. Die Windows Server-Sicherung wurde nicht für eine solche Sicherung konzipiert und somit schlägt der Teil der Exchangesicherung fehl.

Um ein Backup des Exchange-Servers mit LCR zu ermöglichen, muss in der Registry des Server folgendes eingetragen werden:

1.       Öffnen des Reg-Editors mit dem Pfad HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\Replay\Parameters

2.       Hinzufügen eines neuen DWORD-Werts namens EnableVSSWriter und auf den Wert 0 setzen.

3.       Neustart des Dienstes Microsoft Exchange Replication Service

Um zu überprüfen, ob die Änderungen erfolgreich waren, kann man nach einer Sicherung im Wiederherstellungsassistenten den Exchange zur Wiederherstellungen auswählen.

Weitere Informationen findet man im Technet-Forum bei Microsoft:

VSS backup using Windows Server Backup on Exchange Server 2007 SP2 fails when LCR or SCR is enabled http://blogs.technet.com/b/dhardin/archive/2009/10/21/vss-backup-using-windows-server-backup-on-exchange-server-2007-sp2-fails-when-lcr-or-scr-is-enabled.aspx

Using Windows Server Backup to Back Up and Restore Exchange Data

http://technet.microsoft.com/en-us/library/ee221172.aspx

Passwortänderung per OWA 2007/2010

Wir sind nun des Öfteren über das Problem gestolpert, dass man in OWA sein Passwort nicht wie gewünscht ändern kann. Hier eine Zusammenfassung der möglichen Situationen in OWA 200/2010:

Passwortänderung per OWA 2007

Passwortänderung per OWA 2010

A. Passwort bei der nächsten Anmeldung ändern ist aktiviert:
    –> Benutzer kann sich in OWA nicht anmelden

B. Benutzer will Passwort ändern in OWA, Einstellung bei Konto „Passwort bei der nächsten Anmeldung ändern“ ist deaktiviert
    –> Benutzer kann sich anmelden aber Kennwort nicht ändern

Daher hier ein Workarround:

  1. Passwort bei der nächsten Anmeldung ändern“ ausschalten
  2. Benutzer meldet sich und informiert Administrator dass er angemeldet ist
  3. Administrator setzt Option „Passwort bei der nächsten Anmeldung ändern
  4. Benutzer ändern sein Passwort erfolgreich

Hinweis:
Das IIS-Virtual Directory „IISADMPWD“ ist ab OWA 2007 nicht mehr notwendig und vorgesehen. Ausnahme ist eine gemischte Umgebung mit OWA 2003

IIS auf Exchange Servern neu installieren

Aus welchen Gründen auch immer, ist es zuweilen notwendig den Internet Information Server (IIS) neu zu installieren. Auf einem System mit installiertem Exchange Server ist das wahrlich kein einfaches Re-install, denn Exchange setzt direkt auf dem IIS auf und muss somit auch neu installiert, oder zumindest neu konfiguriert werden. In diesem Workshop spielen wir für die aktuell meist verwendeten Exchange Versionen 2003 und 2007 durch, wie in diesem Fall vorzugehen ist. In den u.a. Quellangaben finden Sie die zugehörigen Quellen, in denen dies noch ausführlicher beschrieben ist.Natürlich sollte vor allen Arbeiten eine vollständige Sicherung gemacht werden, bevor Hand angelegt wird. Hier in Stichpunkten die Vorgehensweise:

Reinstall IIS auf Exchange 2003 Server(Quelle: http://support.microsoft.com/kb/320202)

  • Alle Postfachspeicher- und Öffentlichen Informationsspeicher-Datenbanken dismounten
  • Alle Exchange Services stoppen
  • Die MDBDATA-Verzeichnisse für alle Datenbanken umbenennen als Sicherung der aktuellen Datenbanken. Damit stehen im ungünstigsten Fall auf jeden Fall sauber geschlossene (clean shutdown) Datenbanken für einen Disaster Recovery zur Verfügung
  • Über Systemsteuerung – Software – Windows-Komponenten den IIS komplett entfernen
  • Den IIS mit allen notwendigen Teilkomponenten wie NNTP, SMTP, ASP neu installieren
  • Den aktuellen Windows Server 2003 Servicepack sowie Hotfixes und Updates einspielen. (z.B. über WSUS fehlende Packs nachinstallieren lassen)
  • Exchange Server neu installieren (Reinstall-Option)
  • Exchange Servicepacks und Hotfixes wieder einspielen
  • MDBDATA wieder umbenennen und somit Originaldatenbanken am Originalort wieder herstellen

Reinstall IIS auf Exchange 2003 Server Cluster
Bei einem Exchange 2003 Cluster verhält es sich naturgemäß ein wenig anders. Hier macht es in meinen Augen absolut Sinn, den „beschädigten“ Cluster-Node komplett aus dem Cluster zu nehmen und vollständig neu hochzuziehen. Ich persönlich würde diese Vorgehensweise einer „Reparatur-Installation“ immer vorziehen.

Reinstall IIS auf Exchange 2007(Quelle: http://support.microsoft.com/kb/320202)

  • Datenbanken dismounten und Datenbankverzeichnisse umbenennen
  • Exchange Dienste stoppen
  • Den IIS komplett entfernen
  • Den IIS mit allen notwendigen Komponenten neu installieren
  • Servicepacks und Updates einspielen
  • Sofern der Exchange Server die Client Access Rolle hält, muss diese nun über das Exchange Server Setup entfernt und wieder neu installiert werden.

Dies kann auch über die Kommandozeile mit „exsetup.exe /mode:uninstall /roles:ca“ und „exsetup.exe /mode:install /roles:ca“ erfolgen.Handelt es sich beim betroffenen Server gleichtzeitig um einen Server mit der Postfach-Rolle, müssen abschließend die Virtuellen Verzeichnisse im IIS neu angelegt werden um die Verbindung zwischen Client Access und den Postfächern wieder herzustellen.Hierzu sind in der Verwaltungsshell die entsprechenden Kommandos nacheinander auszuführen:

  • get-owavirtualdirectory -server Servername -DomainController DC-Name | ? {$_.OwaVersion -eq „Exchange2003or2000“} | remove-owavirtualdirectory -DomainController DC-Name
  • new-OwaVirtualDirectory -OwaVersion „Exchange2003or2000“ -VirtualDirectoryType „Mailboxes“ -DomainController DC-Name
  • new-OwaVirtualDirectory -OwaVersion „Exchange2003or2000“ -VirtualDirectoryType „Exadmin“ -DomainController DC-Name
  • new-OwaVirtualDirectory -OwaVersion „Exchange2003or2000“ -VirtualDirectoryType „PublicFolders“ -DomainController DC-Name
  • new-OwaVirtualDirectory -OwaVersion „Exchange2003or2000“ -VirtualDirectoryType „exchweb“ -DomainController DC-Name

Hinweise

Ersetzen Sie Servername durch den Namen des Exchange 2007-Servers, sowie DC-Name durch den Namen des Domänencontrollers.

Reinstall IIS auf Exchange 2010.Für einen eventuellen Reinstall des IIS auf Exchange 2010 habe ich noch keine gültigen Aussagen gefunden bzw. gehört. Ich nehme stark an, dass dies genauso abläuft, wie beim Exchange 2007, kann dies aber offiziell noch nicht bestätigen.In einer Testumgebung hat es so funktioniert.In der Praxis würde ich wohl eher dazu neigen, das gesamte System bei einem IIS-Fehler neu aufzusetzen, zumal ich mit einer DAG (Database Availability Group) die Postfächer vorübergehend auf einen anderen Exchange Server verlagern kann.

Migration zu Exchange 2010

Hab gerade von Bernd Kruczek den Hinweis bekommen, dass er einen ausführlichen Artikel zum Thema Migration zu Exchange 2010 für die Computerwoche geschrieben hat. Ich hab mir diesen eben angesehen, sieht sehr gut aus –> daher ein „must read“ von Dr. Exchange

Computerwocheartikel Migration Exchange Server 2010

SPAMfighter Exchange Module (SEM) im Test

SPAMfighter Exchange Module (SEM) ist ein benutzerfreundliches Anti-Spam-Produkt für Microsoft Exchange Server 2000, 2003, 2007 und 2010 in kleineren und mittelgroßen Unternehmen.

 semscreen1_big.jpg

SEM wird von über 7 Millionen SPAMfightern aus 228 Ländern unterstützt. Wenn genügend SPAMfighter die gleiche Spammail melden, wird diese sofort bei allen SPAMfighter- und SEM-Benutzern aussortiert. Das bedeutet sofortigen Spamschutz ohne Konfiguration oder Wartung. PAMfighter Antispam Modul integriert sich perfekt im Microsoft Exchange Server, erlaubt eine einfache Installation/Verwaltung und benötigt keine extra Clientsoftware. Die Your-Admin hat SEM seit einiger Zeit mit sehr zufriedenstellendem Ergebnis im Einsatz.Der Hersteller stellt uns für unsere Blog-User noch folgende kostenfreie Lizenzen zur Verfügung. Die nächsten beiden Kontakte erhalten folgende Lizenzen:

  • Der 1. Maileingang:   100 User Lizenz
  • Der 2. Maileingang:       5 User Lizenz

Sollten Sie an einer kostenlosen Lizenz interessiert sein, eine Mail an info(at)your-admin.com genügt. Weitere Information zum SPAMfighter: http://www.spamfighter.com/Lang_DE/Product_SEM.asp

Hinweis:
Die Aktion ist mittlerweile ausgelaufen :-(((

Aktuelle Security-Updates für Exchange Server

Microsoft hat im aktuellen Security Bulletin eine Reihe von Sicherheitspatches veröffentlicht:

  • Security Update for Exchange 2000 Server (KB976703)
  • Security Update for Exchange Server 2003 Service Pack 2 (KB976702)
  • Update Rollup 10 for Exchange Server 2007 Service Pack 1 (KB981407)
  • Update Rollup 4 for Exchange Server 2007 Service Pack 2 (KB981383)
  • Update Rollup 3 for Exchange Server 2010 (KB981401)

Postfächer verschieben mit Exchange 2003, 2007 & 2010

Im Zusammenhang mit mailbox-moves stellen sich eine Menge Fragen, insbesondere auch was die Nutzung der entsprechenden Tools der verschiedenen Exchange Versionen für diesen Zweck betrifft. Hier nun eine kleine Zusammenstellung – welche ich aus dem Blog (How Exchange Works) übernommen habe – der Punkte, die dabei zu beachten sind:

Exchange 2003 –> 2010

  • Es muss das cmdlet „move request” aus der Exchange 2010 Shell verwendet werden
  • Exchange 2003 System Manager kann NICHT genutzt werden
  • Der Move findet offline statt, d.h. der User kann nicht arbeiten während des Moves.
  • Kein Move von Exchange 2003 SP1 oder früher möglich, erst ab SP2 aufwärts

Exchange 2007 –> 2010

  • 2010 Console oder cmdlets können verwendet werden
  • “Move-mailbox” cmdlet aus der 2007 Shell kann nicht verwendet werden
  • Der Mailbox move ist online, der User kann also während des Movens arbeiten
  • Kein Move von Exchange 2007 SP1 oder früher möglich

Exchange 2010 –> 2003

  • Es muss das cmdlet „move request” aus der Exchange 2010 Shell verwendet werden.
  • Exchange 2003 System Manager kann NICHT genutzt werden
  • Der Move findet offline statt, d.h. der User kann nicht arbeiten während des Moves.
  • Falls die Mailbox auf 2010 eine Archiv-Mailbox angehängt hat, sollte diese zuvor deaktiviert werden.

Exchange 2010 –> 2007

  • Es muss das cmdlet „move request” aus der Exchange 2010 Shell verwendet werden.
  • „Move-mailbox” cmdlet aus Exchange 2007 shell kann nicht verwendet werden.
  • Der Move findet offline statt, d.h. der User kann nicht arbeiten während des Moves.
  • Kein Move zu Exchange 2007 SP1 oder früher möglich
  • Falls die Mailbox auf 2010 eine Archiv-Mailbox angehängt hat, sollte diese zuvor deaktiviert werden.

Ergo:
Man sollte stets die Tools aus Exchange 2010 verwenden, dann ist man auf der sicheren Seite!

Outlook Erweiterte Suche um Abfrage-Generator erweitert // AND-Verknüpfung bei Suche

Mit Microsoft Outlook können in der Erweiterten Suche mehrere Suchbegriffe eingegeben werden, die jedoch nur mit einem „OR“ (logisches ‚ODER‘) verknüpft werden. Dies führt oft nicht zum gewünschten Ergebnis, daher wäre eine AND-Verknüpfung  durchaus sinnvoll.

Dies zu realisieren ist über einen Reg-Key möglich:

Hier erstellt man im Pfad HKEY_CURRENT_USER\Software\Microsoft\Office\[Office-Version]\Outlook
den Schlüssel QueryBuilder.

Nun zeigt die Erweiterte Suche den Reiter Abfrage-Generator. Darin ist nun auch eine AND-verknüpfte Suche möglich.

Erweiterte Suche mit Abfragegenerator für Outlook

Relaying über Exchange Server 2007 erlauben

Neue Server, neue Vorgehensweisen!

Viele Administratoren kennen die Anforderung, dass „Nicht-Exchange-SMTP-Server“ über den Exchange Server Ihre E-Mails nach Extern versenden wollen, da es diesen Systemen oft nicht erlaubt ist, direkten Zugriff ins Internet zu erhalten.

In Exchange 2003 musste man dabei „lediglich“ die betreffende IP-Adresse beim SMTP-Server (Bild 1) eintragen, damit das „Relayen“ erlaubt wurde.

 it-administrator-01-2009-bild1.GIF

Ansonsten nimmt ein Exchange Server nur E-Mails an Empfänger an, für die er auch zuständig ist. Dies hat sich auch bei Exchange 2007 nicht geändert, denn die Funktion der Empfängerrichtlinien aus Exchange 200x ist in die Funktion „Akzeptierte Domänen“ übergegangen. Damit wird dem Exchange 2007 Server mitgeteilt, welche Domänen er anzunehmen hat bzw. darf.

Seit Exchange 2007 ist die ganze Angelegenheit des externen Relaying nicht mehr ganz so trivial wie in Exchagne 2000x. Die virtuellen SMTP Server wurden vollständig durch den Exchange Transport Service ersetzt und Sende- und Empfangsconnectoren übernehmen nun die Arbeit des früheren SMTP-Dienstes.

Wie in früheren Versionen erlaubt ein Exchange 2007 Server Relaying, wenn man sich erfolgreich authentifiziert. Oft ist dies aber nicht gewollt bzw. umständlich einzurichten und zu pflegen.

Um nun ohne Anmeldung über einen 2007er zu relayen, bedient man sich am geschicktesten eines Empfangs-Connectors der auf einer zusätzlichen IP-Adresse basiert und entsprechend konfiguriert werden kann.

Über die Verwaltungshell erstellen wir unter Serverkonfiguration – Hub-Transport einen neuen SMTP-Empfangsconnector mit folgenden Angaben:

Name:                Relaying nach Extern
Verwendung:    benutzerdefiniert
Lokale IP:          Hier geben Sie auf dem Exchange Server zusätzlich definierte IP an
FQDN:               Einen DNS-Eintrag definieren, wie z.B. mailrelay.your-admin.intern
RemoteIP:        Entspricht der(n) IP-Adresse(n) des(r) Sender(s) (Relayer)

Hinweis:
Alternativ könnte auch mit einem anderen TCP-Port auf derselben IP-Adresse gearbeitet werden, wenn das Sendesystem dies unterstützt.

Nachdem der Empfangsconnector erstellt worden ist, sollten sämtliche Sicherheitsmechanismen wie TLS, Standardauthentifizierung etc. abgeschaltet (Bild 2) und als Berechtigungsgruppen lediglich „Anonyme Benutzer“ aktiviert sein. (Bild 3)

it-administrator-01-2009-bild2.GIF

 it-administrator-01-2009-bild3.GIF

Nun nimmt der Connector zwar Mails von anonymen Sender an, aber er erlaubt noch nicht das Weiterleiten nach Extern. Dazu muss nun noch in der Exchange Verwaltungsshell folgender Befehl eingegeben werden:

Get-ReceiveConnector “Relaying nach Extern”| Add-ADPermission -User Anonymous-Anmeldung” -ExtendedRights ms-Exch-SMTP-Accept-Any-Recipient”