Tag-Archiv für » exchange «

03 | 09 | 2012

Ein wenig dokumentierter Fix für Probleme mit dem Download des Offline-Adreßbuches

Geschrieben von um 15:48 Uhr

Die besten Probleme sind doch immer die, für die es eine klare Ursache gibt, die eigentlich verhindern müßte, daß es überhaupt funktioniert. So eins hatte ich heute auch. Die Auswirkungen aus Benutzersicht sind schnell zusammengefasst: Outlook 2010 kann kein OAB downloaden.

Nach einiger Zeit der Diagnostik und parallelen Googlens stieß ich auf den folgenden Post (Danke, Marcin, you’re the man!!!):

http://unified.swiatelski.com/2011/02/exchange-2010-cannot-download-offline.html

Im Wesentlichen geht es darum, dss „Authenticated Users“ Leserechte auf der WEB.CONFIG des OAB-Verzeichnisses auf allen CAS brauchen, diese aber ab Werk nicht vergeben sind. Diese CONFIG-Datei entsteht aber erst dann, wenn man per IIS-Umleitung die OWA-URL einkürzt, wie hier beschrieben: http://technet.microsoft.com/en-us/library/aa998359.aspx

Ich habe mir darauf hin ein paar CAS-Server angeschaut, die ich unter meinen Fittichen habe. Das Phänomen der fehlenden Berechtigungen zeigt sich überall, die Adressbücher funktionieren aber bei manchen (bei anderen nicht, aber da hat man einfach die Web-Verteilung ausgeschaltet…)

Wann gibt’s wohl einen Fix dafür?

Tags » , , , «

+

24 | 08 | 2012

PAM und SAM auf bestimmte Knoten in der DAG verschieben

Geschrieben von um 20:50 Uhr

Um den PAM auf einen bestimmten Clusterknoten innerhalb der DAG zu verschieben, helfen folgende PowerShell-Befehle:

Import-Module Failoverclusters

Get-Clustergroup

move-ClusterGroup "<cluster group name>" -Node <target node>

Grundlegendes zu Active Manager hier: http://technet.microsoft.com/en-us/library/dd776123%28EXCHG.140%29.aspx

Tags » , , , , «

+

12 | 01 | 2012

AD User mit ausgeschalteter Vererbung der Rechte finden mit PowerShell

Geschrieben von um 12:04 Uhr

Bei Migrationen auf Exchange 2010 gibt es immer wieder das Phänomen, daß bei Benutzern, deren Berechtigungen in AD nicht von ihrer OU geerbt, sondern explizit vergeben sind, ActiveSync nicht in der Lage ist, ein Mobile Device-Objekt anzulegen. Resultat: Keine Synchronisation mit dem Smartphone und Event 1053 auf dem CAS Server.

Sind nur wenige User betroffen, kann man den Haken bei „Berechtigungen des übergeordneten Objekts übernehmen“ freilich auch manuell setzen, zumal im Text der Fehlermeldung die User jeweils spezifiziert sind. Möchte man aber dem Problem von vorn herein aus dem Weg gehen, muß man solche Accounts global identifizieren und bereinigen können.

Das geht sehr einfach mit PowerShell und den Quest AD CMDlets:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.PSBase.ObjectSecurity.AreAccessRulesProtected}

Und um die Berechtigungen bei diesen Accounts wieder zu vererben:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.PSBase.ObjectSecurity.AreAccessRulesProtected} | Set-QADObjectSecurity -UnLockInheritance

Natürlich soltle man sich, wie bei allen globalen Operationen, vorher fragen, ob die Berechtigungen nicht absichtlich so gesetzt sind, und dann entsprechend granular vorgehen.

Der Dank für dieses kleine Juwel geht an Shay Levi.

Tags » , , , , «

+