Exchange 2010 Federation und Kalender Sharing – Änderungen seit dem SP1

Hi,

ein Kunde wollte mit uns eine Federation einrichten um Kalender Informationen der Benutzer untereinander einfach freizugeben, ohne Domain Trusts einrichten zu müssen. Zusätzlich muss die Methode natürich auch sicher sein.

Dafür bietet Microsoft seit Exchange 2010 die Möglichkeit der Exchange Federation für das Kalender Sharing an. Einen Überblick gibt der Artikel der UC Amigos zu Federation, allerdings noch auf Ex2010 RTM Stand.

Dabei ist mir aufgefallen, dass es von der Exchange 2010 RTM Version zum SP1 Änderungen gegeben haben muss, im Bezug auf die Erstellung des TXT Records im DNS.

Wichtig ist ein gültiges SSL-Zertifikat einer Zertifizierungsstelle, die auf der Liste der aktzeptierten Trusted Root Certification Authorities für Federation steht. Man sollte also schon beim Planen einer Exchange 2010 Installation überlegen, wo man sein Exchange SSL Zertifikat kauft.

Aber nun zur Einrichtung der Federation, zuerst lassen wir uns per PowerShell die installieren Zertifikate anzeigen, da unser Kunden schon ein SSL-Zertifikat der richtigen CA gakauft hat.

Get-ExchangeCertificate -DomainName mail.externaldomain.de

hier kopieren wir uns den Certificate Thumbprint

Dann richten wir ein neuen Federation Trust ein
New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 059A0432EAE4F9661EFCF47E057ABC59036A1401

Anmerkung: Falls man wie in unserem Fall eine Fehlermeldung mit Error 407 erhält:

The remote server returned an error: (407) Proxy Authentication Required.

Hier muss der Proxy per netsh gesetzt werden, am besten aus dem IE die Proxy Einstellungen importieren, sofern dieses dort manuell eingetragen sind (kein Autodiscover per WPAD):
Proxy überprüfen: netsh winhttp show proxy

Proxy Einstellungen importieren: netsh winhttp import proxy source=ie

Manuelles setzten der Einstellungen per netsh im TechNet beschrieben.

Jetzt müssen wir statt der APPID einen Proof erzeugen und diesen Proof in den TXT Record im DNS der Domäne eintragen:
Get-FederationDomainProof -DomainName companyabc.com

Den Proof müssen wir jetzt im öffentlichen DNS Server eintragen:
  

Jetzt können wir den bereits zuerst eingerichteten Federation Trust bearbeiten und die zu nutzende Domain und eMail-Adresse des Verantwortlichen eintragen

Jetzt noch Organizational Relationsship einrichten mit der Firma, mit der ich Kalender Daten austauschen möchte:

Weiterhin kann ich auch die DefaultSharingPolicy anpassen oder einen Neue Sharing Policy erstellen und den entsprechenden Postfächern zuweisen.

Na dann, Viel Spass beim selber Testen!
CU

Opera 11.61

Hi,

Opera hat die Version 11.61 fertiggestellt (Changelog) und zum Download auf der Homepage bereitgestellt. In der bereitgestellten Version wurden Abstürze und Fehler in der Mailfunktion, ebenso aber auch Sicherheitsprobleme behoben.

Na dann, Viel Spass beim selber Testen!
CU

Windows Server 2008 R2 Schannel Event ID 36869 auf SCCM 2007 R3 Server

Hi,

zum Abschluss der Woche habe ich mit einem Kollegen, noch einen Kunden SCCM 2007 R3 Server in den Fingern habt. Der Kollege hat mich hinzugezogen weil im Event log immer alle paar Minuten folgende Meldung auftauchte:

Event Type: Error
Event Source: Schannel
Event Category: None
Event ID: 36869
Date: 12/18/2000
Time: 9:12:46 AM
User: N/A
Computer: <ServerName>
Description: The SSL server credential’s certificate does not have a private key information property attached to it. This most often occurs when a certificate is backed up incorrectly and then later restored. This message can also indicate a certificate enrollment failure.

Der SCCM Server hatte aber keine Probleme und alle Funktionen des SCCM liefen.

Der Grund des Problems war dann auch wie im KB Artikel von Microsoft beschrieben:

This problem occurs because the Web site has been bound to a certificate that does not have a matching private key

Im Zertifikatsspeichers des Server war ein Zertifikat (SCCM PXE), ohne Privat Key gespeichert. Das Zertifikat wurde aber vom Kunden, wie im TechNet beschrieben über den PXE Distibution Point des SCCM importiert, sogar auch als PFX Datei mit Private Key!

LÖSUNG:

1. Das Zertifikat ohne Private Key aus dem Zertifikatsspeicher des SCCM Server entfernen
2. eine neue Zertifikatsvorlage für SCCM PXE muss erstellt werden, wie hier beschrieben: How To Create a Certificate for a PXE Service Point in SCCM 2007
3. Ein neues Zertifikat auf dem SCCM Server manuell von der Enterprise CA der internen Zertifizierungsstelle anfordern
4. Das Zertifikat in den Zertifikatsspeichers des SCCM Server installieren (Computer Store)
5. Export des Zertifikats MIT Private Key in eine PFX Datei
6. das Zertifikat auch in der PXE Rolle des SCCM (ConfigMgr PXE Service Point) importieren.

 

Na dann Viel Spass beim selber Testen!
CU

Alice Outlook Exchange migriert zu O2

Hi,

Telefonica O2 hat ja Hansenet aus Hamburg gekauft und somit auch die Produkte um Alice DSL übernommen.

In meinem Alice Comfort Anschluss ist auch ein Outlook Web Access/Exchange Konto enthalten. Leider noch ein Exchange Server 2003 und kein RPC-over-HTTPS, sondern nur IMAP Zugriff per Outlook möglich. Alles weiter muss dann über das Outlook Web Access erledigt werden.

Nun wurde in diesen Tagen die Migration von Alice zu O2 vollzogen und weder mein Outlook, noch mein Windows Phone 7 konnte sich mit dem Exchange Server verbinden. Es wurde immer ein falsches SSL-Zertifikat angemeckert.

Auflösung brachte dann die Suche im Hansenet-User-Forum und diesem Thread. Dort erhält man unter dem link https://webmail.alice.de zu griff auf sein OWA (Umleitung auf https://dsl.o2online.de/selfcare/content/segment/kundencenter/onlinespeicher/webmail/).

In der Hilfe für Push-Mail ist dann auch beschrieben, dass der Server geändert wurde (NICHT die Hilfe für Smartphone, dort ist noch der alte Servername drin!), die neuen Einstellungen sind:

Serveradresse/-Name: „mailstore.dsl.o2online.de“ -> hier war alt: „maistore.alice-dsl.de“
Verschlüsselung (SSL): aktiviert
Benutzername: Ihre vollständige E-Mail-Adresse, z. B. kurt.kunde@alice-dsl.net oder kurt.kunde@alice.de
Kennwort: Ihr E-Mail-Passwort
Domäne: hsn.alice-dsl.net

Na dann, Viel Spass beim selber Testen!
CU

Forefront TMG/UAG DirectAccess und Fun mit Vodafone UMTS

Hi,

ich habe in den letzten Tagen eine interessante Geschichte mit einem unserer Windows 7 Clients, Forefront TMG/UAG DirectAccess und Vodafone UMTS erlebt.
Marc Grote hat ja glücklicherweise schon in seinen Artikeln (DA Fun Vodafone und DA Fun T-Mobile) rausgefunden, dass Direct Access nur über den APN „volume.d2gprs.de“ funktioniert.

Das haben wir auf unseren Windows 7 Clients eingetragen.
Auf einem unserer Windows 7 Clients hat sich folgendes ereignet. Der Client arbeitet bei Kunden in Hamburg (City Süd) und stellt dort über UMTS eine Internetverbindung her.
Wenn nun Direct Access die Tunnel aufbauen will scheitert der Verbindungsaufbau mit „0×80092013“, also dem Fehler, dass die CRL nicht abgerufen werden kann.
Ein CERTUTIL -URL http://crl.domain.de/crld/CA.crl gibt auch einen Fehler

Macht man den IE (9) auf und gibt manuell die URL der CRl ein bekommt man die CRL zu fassen und kann sie erreichen/runterladen

Jetzt kommt´s:
Geht der Client über sein LG-E900 Windows Phone 7, was zum Glück schon Mango (7.5) + neustes Update drauf hat und somit Internet Connection Sharing machen kann, funktioniert Direct Acces und der Abruf der CRL!

Gleich Netz, alles Vodafone!

Mal sehen, was genau die Ursache ist, aber dieser ZDnet Artikel (http://www.zdnet.de/magazin/41515603/internet-per-umts-so-faelschen-deutsche-provider-webinhalte.htm) macht mich schon stutzig …

Na dann, Viel Spas beim selber Testen!
CU

Exchange 2010 SP2 Installation

Hi,

nach dem Release des Exchange Server 2010 SP2 stand die Installation an.

Download: Download: Microsoft Exchange Server 2010 Service Pack 2 (SP2)

Wichtig: Ich habe bei meiner Installation wieder einmal festgestellt, dass die Setup-Datei, sowohl setup.exe als auch setup.com am besten aus einer administrativen cmd gestartet werden sollte, da sonst das Setup mit einer Fehlermeldung abbrechen kann).

Ansonsten geht es erstmal an die Vorbereitungen:

1. Checken ob auf dem EX-CAS das “IIS 6 WMI Compatibility” Feature der Webserver Rolle installiert ist (für die CAS Rolle)

Schema Update -Jetzt kann man das Schema-Update ausführen (man muss Org-Admin in der Domäne/Forest sein!):

1. setup.com /ps oder setup.com /prepareSchema ausführen
2. setup.com /PrepareAD /OrganizationName:“Unternehmensname der ExchangeOrg“ ->  Kann man per ADSIedit rausfinden oder man schaut einfach in seine Doku
3. setup.com /prepareDomain

Jetzt könnte man aus der Admin-CMD das Exchange 2010 SP2 setup.exe starten, wie gesagt, man könnte.

Wer einen Unified-Messaging Server betreibt, sollte JETZT alle UM-LanguagePacks deinstallieren, bis auch Standard UM-LanguagePack en-US! Ansonsten erhält man im Setup einen Fehler im PreCheck mit dem netten Hinweis dies doch bitte vor dem Setup zu tun
Zudem hat das deutsche UM-Language Pack einen Bug und spricht z.b. bei der Voicemail Konfig, Schwedisch oder Dänisch (http://social.technet.microsoft.com/Forums/de-DE/exchange_serverde/thread/ceb275e3-9737-4f72-8573-5dbc46790c50), also muss das UM Pack sowieso ausgetauscht werden!

Also dann:
setup.com /RemoveUmLanguagePack:DE-de

disable Unified Messaging mit:
Disable-UMServer -Identity EX-UM -Immediate $true

Exchange Server aus einem dial plan entfernen mit:
Set-UMServer -Identity EX-UM -DialPlans $null

Dial Plans und UM Language Packs finden:
Get-UMDialPlan -Identity FirmenDialPlanName| fl

Prüfen des UM-Servers
get-umserver -Identity EX-UM | fl

So jetzt kann man auch das setup.exe per Admin-CMD starten und per Next, Next finish durch die Exchange 2010 SP2 Installation gehen

Jetzt noch das deutsche UM-LanguagePack wieder installieren (Download: http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=87db7a1a-6595-4038-87e2-bdb02b119a21):

Zum Schluss noch den UM-Serverv wieder aktivieren und den DialPlan zusweisen:

get-umserver
Enable-UMServer -Identity EX-UM
get-umserver -Identity EX-UM | fl

UM DialPlan wieder zuweisen
Get-UMDialPlan
Set-UmServer -Identity EX-UM -DialPlans FirmenDialPlanName
get-umserver -Identity EX-UM | fl

Na dann, Viel Spass beim selber testen!
CU

TechEd Europe 2012 in Amsterdam, Anmeldung eröffnet

Hi,

Nach einem Jahr Pause und 2 Jahren in Berlin findet die TechEd Europe dieses Jahr  von 26. Juni bis 29. Juni in Amsterdam statt. Die Anmeldung ist bereits möglich und bis 31. März gibt es einen EarlyBird Tarif um 1.695,- €, danach kostest die Teilnahme 1.995,- €.  Alle, Teilnehmer, die sich für die TechEd registrieren, erhalten ein TechNet Abo,  zum zeitlich unbegrenzten Testen, von Microsoft Produkten.

Die TechEd bietet in vier Tagen volles Programm an Sessions, Technik und Neuigkeiten rund um die Microsoft Produkte geben. Tracks gibt es für Entwickler ebenso wie für IT Profis. Natürlich wird auch wieder ordnentlich Networking auf der Konferenz möglich sein und man hat z.t. die direkten Möglichkeit mit Verantwortlichen von Microsoft Corp./US zu sprechen. Die Konferenz findet im Amsterdam RAI, dem Konferenzzentrum, statt. Die Lage hat eine sehr gute öffentliche Verkehrsanbindung und ein Park ist auch nicht weit.

Auf der Registrierungsseite stehen auch Möglichkeiten bereit, ein Hotel zu buchen. Auf der Konferenz selbst gibt es kein Frühstück. Das Blogger-Hotel ist das Citizen M (kein Frühstück, aber freies WIFI).

Noch gibt es auch günstige Flüge.

CU @ TechEd2012 in Amsterdam

Na dann, Viel Spass beim selber Testen!
CU

Microsoft Forefront TMG 2010 SP2 Rollup 1 verfügbar

Hi,

Microsoft hat das Rollup 1 für Forefront TMG 2010 SP2 veröffentlicht!

http://support.microsoft.com/kb/2649961

Na dann, viel spass beim selber Testen!
CU

Lync 2010 Phone Edition Part III – Polycom CX600

Hi,

heute ist auch unsere Bestellung mit dem Polycom CX600 Telefon angekommen.

Hier ein paar Impressionen der Inbetriebnahme:

Durch die Vorbereitungen hat sich das CX600 mit der Auslieferungsversion 4.0.7577.250 auf die neueste Lync Phone Edition Version 4.0.7577.4047 erfolgreich upgedatet.

Na dann Viel Spass beim selber Testen!
CU

Lync Phone Edition Part II – Polycom CX700

Hi,

der Lieferung unseres Polycom CX700 Telefon, mussten wir schon in Part I beschrieben, erstmal einige Vorbereitungen treffen, bis das CX700 auch mit unserem Lync Server kommunizieren konnte.

Hier ein paar Impressionen der Inbetriebnahme:

Das Update gestaltet sich sehr schwierig, aber es ist dennoch möglich, das CX700 direkt von der Auslieferungsversion mit OCS 2007 PhoneEdition 1.0.522.102/101 (2.1), auf die Zwischenversion OCS 2007 R2 3.5.6907.222 (2.1) auf die neueste Lync Phone Edition 4.0.7577.4047 zu flashen!
Ein Trick dabei, entgegen der Aussagen, dass man das Telefon 10 min. in Ruhe lassen soll, das reicht nicht, auch keine 24h reichen NICHT! Auch das 5x reseten hilft nicht, es muss ein 6 mailiger Reset des CX700 ausgeführt werden, dann wurde auch ein Updateprozess auf dem Telefon gestartet auf die Zwischenversion. Das Update auf Lync funktionierte dann auch nach der 10 minütigen Inaktivität.

Na dann, Viel Spas beim selber Testen!
CU