Montag, 16. Dezember 2013

Exchange ESE Performance: Spanender Blog-Post von Michel de Rooij

Wir bekommen von Microsoft bei jeder neuen Exchange Version neue Zahlen zu Performance-Verbesserung auf der DB-Seite vorgesetzt. Michel de Rooij hat sich nun mal die Mühe gemacht und die Performance von Exchange 2010 und 2013 im LAB verglichen. Hier sein äusserst spannender Blog-Post zum Thema:

http://eightwone.com/2013/12/16/exchange-storage-performance-2010-versus-2013/

Ich wünsche allen Interessierten viel Spass beim lesen.

Freitag, 13. Dezember 2013

Exchange DAG Cluster Fehler 1196 (Source Microsoft-Windows-FailoverClustering)

Normalerweise muss der Failover Cluster Manager für die Verwaltung einer DAG nicht bemüht werden. Doch wenn ich mir eine Exchange Umgebung anschaue will ich natürlich auch immer wissen ob in den Clusterereignissen Fehler zu finden sind.

Häufig treffe ich dann auf folgenden Fehler:

Protokollname:             System
Quelle:                    Microsoft-Windows-FailoverClustering
Datum:                     13.12.2013 11:50:42
Ereignis-ID:               1196
Aufgabenkategorie:         Netzwerknamenressource
Ebene:                     Fehler
Schlüsselwörter:
Benutzer:                  SYSTEM
Computer:                  EXCLAB-MBX01.mydomain.ch


Beschreibung:
Die Cluster-Netzwerknamensressource "Clustername" konnte mindestens einen dazugehörigen DNS-Namen nicht registrieren. Ursache:
Der DNS-Vorgang wurde abgelehnt.

Freitag, 6. Dezember 2013

Exchange 2013 - DAG Netzwerke für Clients und Replikation trennen

Auch unter Exchange 2013 ist es für eine DAG möglich, die Netzwerke für den Clientzugriff und die DAG Replikation zu trennen. Wie dies eingerichtet wird, zeige ich in diesem Post.

Vorbereitung

Grundsätzlich müssen die MBX Server, die Mitglied der DAG sind mal zwei Netzwerkkarten haben, um die Netze trennen zu können. Ich habe mir dazu auf dem Hyper-V Host einen privaten virtuellen Switch erstellt. Unter Hyper-V bedeutet ein privater virtueller Switch, dass nur VM's die mit dem Switch verbunden sind, miteinander kommunizieren können. Auch der Hyper-V Host selbst kommt nicht an das Netzt ran. Also also ob man zwei Hardware Server über einem Switch miteinander verbindet.

Dienstag, 3. Dezember 2013

Installation kumulatives Update (CU) oder Service Packs (SP) für Exchange 2013

Die Installation von kumulativen Updates oder Service Packs für Exchange 2013 sind immer etwas speziell, da diese Updates einen Service Unterbruch oder gar ein Schema Update bedeuten. Hier möchte ich euch eine kleine Anleitung für diese Updates bieten. Bis auf weiteres kann diese Anleitung für alle CUs oder SPs verwendet werden.

Montag, 2. Dezember 2013

Released: Exchange Server 2013 Cumulative Update 3

Am 25.11.2013 wurde das CU3 für Exchange 2013 released. Folgende Neuerungen kommen mit dem CU3:

  • Nutzung von Online Rights Management Server für OnPremise Umgebungen
  • Verbesserte Gruppenverwaltung in der ECP
  • Verbessertes Admin Audit Logging
  • Windows 8.1/IE11 sind nicht mehr auf OWA Light beschränkt.

Exchange 2013 SP1 angekündigt

Wer meine Session an der Geekmania 2013 gesehen hat, weiss noch was ich über die neue Update-Strategie im Bezug auf Exchange 2013 gesagt habe: Es wird keine SPs mehr geben.
Dies scheint nicht zu stimmen. Das SP1 für Exchange 2013 ist auf Anfang 2014 angesagt worden:

The Exchange Team Blog: Exchange Server 2013 Service Pack 1 Coming in Early 2014

Die wichtigsten Neuerungen:

  • Windows Server 2012 R2 Support
  • Die EDGE Rolle ist zurück
  • S/MIME Support für OWA
Das SP1 für Exchange 2013 kann, genau wie die CUs, zur Installation von Exchange 2013 verwendet werden.

Service-User überschreiten DefaultThrottlingPolicy Limite

In Exchange 2010 gibt es die "Default Throttling Policy". Diese Policy kann verwendet werden, um User mit zu vielen Zugriffen vorübergehend zu sperren. Dies muss aber zuerst einmal eingeschaltet werden. Doch auch wenn die automatische Sperrung von Usern (mehr als 100 Zugriffe in der Minute) nicht eingeschaltet ist, meldet Exchange eine Überschreitung der vorgegebenen Limite. Dies geschieht vor allen für Service User von Archivsystemen und Backup-Lösungen. Auch Black Berry Service Konten können davon betroffen sein. Folgende Meldung findet sich dann im Eventlog:

*****************************************************************
The following errors are found in event log:
Log Name:          Application
Source:            MSExchange ADAccess
Date:              27.11.2013 10:02:42
Event ID:          2915
Task Category:     General
Level:             Error
Keywords:          Classic
User:              N/A
Computer:          EXC02.meinefirma.group
Description:

Process Microsoft.Exchange.RpcClientAccess.Service.exe (PID=2944). User 'Sid~MEINEFIRMA\service-user-sourceone~RCA~false' has gone over budget '6075' times for component 'RCA' within a one minute period. Info: 'Policy:DefaultThrottlingPolicy_2be1899d-34f9-41c7-94bb-31285d6d4723, Parts:RPC:6074;'. Threshold value: '100'.
*****************************************************************

Falls diese Meldung einen Service-User einer Backuplösung, Archivlösung oder von Black Berry bertifft, ist die Überschreitung des Limits nachvollziehbar. Daher kann bedenkenlos eine eigene Throttling Policy für diese Service-User erstellt werden. Das Anlegen einer neuen Throttling Policy geschiet über die Exchange Shell:

New-ThrottlingPolicy “ThrottlingPolicySourceone” -RCAMaxConcurrency $null -RCAPercentTimeInMailboxRPC $null -RCAPercentTimeInCAS $null -RCAPercentTimeInAD $null

Nach der Erstellung der neuen Throttling Policy kann diese nun den Service-Usern zugewiesen werden:

Set-Mailbox –Identity “service-user-sourceone” –ThrottlingPolicy ThrottlingPolicySourceone

Danach verschwinden auch diese Meldungen aus dem Eventlog.

Exchange Control Panel detected an invalid canary...

Ein Error, den ich oft auf Exchange Servern finde, betrifft das Exchange 2010 eigene Monitoring:

****************************************************
Log Name:      Application
Source:        MSExchange Control Panel
Date:          27.11.2013 09:39:05
Event ID:      38
Task Category: General
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      EXC01.meinefirma.group
Description:
Current User: 'meinefirma.group/Users/extest_5b0430f268f54'
Exchange Control Panel detected an invalid canary from request for URL 'https://owa.meinefirma.com/ECP/RulesEditor/InboxRules.svc/GetList'.
Canary in cookie: '9gBwZ2WnHEKOH9y0Chu4n8a0tJj1utAIRzsD_QgsxXYc6t3ohGjzO9KIZ3MttTOMslTr18Ycdoo.' mismatch with canary in header/form: ', in URL '.
**************************************************************

Eigentlich lässt sich aufgrund dieses Error-Eintrages im Eventlog keine Funktionseinschränkung von Exchange feststellen. Die Einträge sind aber lästig. Wenn wir in Google nach dem Problem suchen, kommen wir schnell mal auf folgende Seite: http://support.microsoft.com/kb/2494389/en-us

Bringen tut die Lösung auf dieser Seite den wenigsten etwas, denn die meisten werden das Rollup 3 für Exchange 2010 SP1 schon lange installiert haben.

Erstaunlicherweise ist aber die Lösung des Problems, oder besser die Eliminierung der lästigen Einträge im Eventlog, denkbar einfach. In den einstellungen des virtuellen Verzeichnisses "ECP" ist per default folgende URL angegeben: https://owa.meinefirma.com/ECP

Wenn man nun die Grossbuchstaben durch Kleinbuchstaben ersetzt, verschwinden die Einträge im Eventlog. Irgendwie habe ich wohl verpasst, dass IIS sich seit neustem für Gross- und Kleinschreibung interessiert ;-)

Montag, 4. November 2013

Server 2012 R2 und Exchange

Heute habe ich in diversen Blogs gelesen, dass es nicht zu empfehlen ist Exchange (2010 oder 2013) unter Windows Server 2012 R2 zu betreiben. Soweit ich dies beurteilen kann, gibt es vor allem Probleme wenn man einen In-Place Update des OS unter dem Exchange macht. Danach war bei den meisten die Exchange Power Shell nicht mehr verfügbar und die DBs liessen sich nicht mehr mounten.

Grundsätzlich sollte man aber wissen, dass ein In-Place OS Upgrade eines Exchange Servers schon seit Exchange 2003 nicht mehr supportet ist!

Weiter ist es sicher auch wichtig, dass man sich vor der Installation anschaut, welche OS-Versionen für die Exchange-Version die man verwenden will, supportet ist:
http://technet.microsoft.com/en-us/library/ff728623(v=exchg.150).aspx

Ich betreibe im Moment eine LAB-Umgebung mit Server 2012 R2 und Exchange 2013 CU2. Dies läuft ohne Probleme. Doch ich würde dies nie in einer produktiven Umgebung einsetzen, bevor Microsoft dies nicht offiziell supportet.

Im Übrigen sollte man sich mit der Inbetriebnahme eines DCs unter Server 2012 R2 in einer Domäne mit Exchange Organisation auch noch etwas Zeit lassen, bis Microsoft auch dies offiziell supportet.

Hier noch der Link zum TechNet Blog zu dem Thema: http://blogs.technet.com/b/rmilne/archive/2013/09/17/exchange-support-for-windows-server-2012-r2.aspx

Update: Das SP1, welches im ersten Quartal 2014 erscheinen soll, wird die Unterstützung von 2012 R2 mitbringen.

Montag, 21. Oktober 2013

I'm speaking at Geekmania

Schon sehr bald geht die Geekmania über die Bühne. Ein Fachkongress, organisiert von der iTrain GmbH im Arena-Multiplexkino im Einkaufszentrum Sihlcity in Zürich statt. Jede Menge Infos über neue Produkte, meist aus dem Microsoft Umfeld. Unabhängige Speaker die sich auch mal kritisch äussern können.
Ich selber werde in 2 Sessions als Speaker zu sehen sein.

Die Geekmania findet diesen Freitag (25. Okt. 2013) statt. Anmeldungen sind noch möglich:

http://www.geekmania.ch

DB Mounten bei DAG Problemen

Bei Problemen mit der DAG unter Exchange 2010 oder 2013 kann es dazu kommen, dass sich die Mailbox-DBs nicht mehr mounten lassen, weil die DAG nicht funktionsfähig ist. Natürlich sollte das Problem der DAG analysiert und behoben werden. Doch es kann auch der Fall auftreten, dass die DBs so schnell wie möglich wieder gemountet werden müssen und man dann in Ruhe nach dem Problem der DAG suchen kann.
Dies geht aber nicht, weil jede DB einen Master hat. In Umgebungen ohne DAG ist dies der MBX Server auf welchem die DB läuft. Wenn eine DAG erstellt wurde, wird als Master der DB die DAG eingetragen. Darum lassen sich DBs nur mounten, wenn die DAG, welche der Master ist, auch funktionsfähig ist.

Mittwoch, 9. Oktober 2013

Exchange 2013: Tool für Message Tracking

In einem früheren Post habe ich mich schon mal mit Message Tracking unter Exchange 2013 beschäftigt. Leider wurde uns ja das altbewährte Tool genommen und stattdessen ein eher unbrauchbares webbasiertes untergejubelt.

Nun habe ich ein Tool gefunden, welches sich ideal dazu eignet Messages zu tracken, ohne sich mit mühsamen PowerShell befehlen herum zu schlagen. Und darüber hinaus lassen sich noch diverse andere Reports über die Exchange Organisation generieren.

Das Tool ist noch Beta, funktioniert aber wunderbar und kosten tut es auch nichts. Schaut es euch an:

https://exchangereports.codeplex.com/

Montag, 23. September 2013

Exchange 2013 - Maximale Mailgrösse

Unter Exchange 2013 die maximale Mailgrösse einzustellen sorgt immer wieder für Verwirrung. Viele Administratoren kommen relativ schnell darauf die Einstellungen im Send- und Empfangskonnektor zu suchen. Leider reicht es aber nicht. Die eigentliche Transport-Konfiguration muss ebenfalls angepasst werden.

Anpassen der Transport-Konfiguration

Anzeigen der aktuellen Transport-Konfiguration:

Get-TransportConfig | fl *max*

Die wichtigsten Werte sind  MaxReceiveSize und MaxSendSize. Diese geben die maximale Mailgrösse an.

Freitag, 6. September 2013

Exchange 2010: Sofortige Aktualisierung des Offline Address Book

Oft sehen die User die das Outlook im Cache-Modus betreiben neu erstellte Empfängerobjekte erst am nächsten Tag. Mit folgenden Schritten kann die Aktualisierung des OAB forciert werden:

  1. In der Exchange Shell:
    Update-OfflineAddressbook <Name des OAB>
  2. Neustart des Dienstes "Microsoft Exchange System Attendant" (Deutsch: Microsoft Exchange-Systemaufsicht) auf dem MBX Server der das OAB generiert.
  3. In der Exchange Shell:
    Update-FileDistributionService  <CASServerName>

    Wenn mehrere CAS Server vorhanden sind:
    Get-ClientAccessServer | Update-FileDistributionService
Nun sehen auch Clients im Cache-Modus die aktuellen Informationen im Adressbuch.

Donnerstag, 15. August 2013

Exchange 2013 CU2 v2

Und wieder hat es Microsoft fertig gebracht. Das CU2 für Exchange 2013 ist am 9.07.2013 erschienen. Am 29.07.2013 wurde das CU2 durch das CU2 v2 ersetzt. Anscheinend soll es einen Fehler in den Rechten der öffentlichen Ordner Mailboxen gegeben haben.

Sehen kann man dies hier:

Quelle: http://social.technet.microsoft.com/wiki/contents/articles/15776.exchange-server-2013-and-cumulative-updates-cus-build-numbers.aspx

Ich finde diese v2 Sache etwas verwirrend. Nennt doch sowas einfach CU2.1. So wäre es zumindest klar. Bei den Rollups 4 + 5 für Exchange 2010 SP2 gab es auch schon eine Version 2. Problematisch ist, dass man fast nicht mitbekommt, dass man ein fehlerhaftes Update installiert hat.

Das CU2-V2 kann hier herunter geladen werden:
http://www.microsoft.com/en-us/download/details.aspx?id=39609

Informationen gibt es hier:
http://support.microsoft.com/kb/2859928


Dienstag, 13. August 2013

Exchange 2010: Schnell wachsende Logfiles

Auf einem Exchange 2010 kommt es immer wieder vor, dass die Logpartitionen voll laufen. Meist liegt es daran, dass  das Backup nicht sauber gelaufen ist und die Logfiles der Mailbox Datenbanken dadurch nicht gelöscht wurden.

Falls das Backup aber sauber gelaufen ist und sich die Logplatte füllt bevor das nächste Backup läuft, ist es von Vorteil wenn man nachsehen kann woher den die unverhältnismässig vielen Logfiles kommen.

Freitag, 19. Juli 2013

Exchange 2013 - Interner Relay Konnektor erstellen

In den meisten IT-Umgebungen gibt es Systeme die Mails versenden müssen, sich aber nicht am Exchange Server authentifizieren können. Um dies zu ermöglichen kann auf dem Exchange 2013 Server ein spezieller Empfangs-Konnektor erstellt werden. Dieser verlangt keine Authentifizierung, darf aber nur von eingetragenen IP-Adressen verwendet werden.

Montag, 17. Juni 2013

Exchange 2013: Kein Message Tracking Log Explorer mehr?

Ein Tool, welches leider im Exchange 2013 nicht mehr vorhanden ist, ist der "Message Tracking Log Explorer". Neu soll das Message Tracking über die Weboberfläche gemacht werden.

Das Webbasierte Tool war mir noch nie sonderlich sympathisch. Unter Exchange 2013 ist es noch schlimmer geworden. Es ist nur noch möglich dem Exchange bekannte Postfächer, Mail-User oder Kontakte als Absender oder Empfänger in die Suchmaske einzugeben.

Montag, 27. Mai 2013

Exchange 2010 - Postfächer deaktivieren und wieder anhängen

In Exchange 2010 gibt es die Möglichkeit Postfächer zu deaktivieren. Im Unterschied zu löschen eines Postfaches bleibt beim Deaktivieren das Userobjekt in der AD erhalten. So können Postfächer einem anderen User angehängt werden.

Natürlich gibt es bei so einer Aktion auch noch den Aspekt des Datenschutzes, ich schreibe hier aber einen technischen Blog und keinen Rechtlichen.

Die Postfächer lassen sich am einfachsten über die EMC deaktivieren. Dazu macht man einfach einen Rechtsklick auf das Postfach und wählt "deaktivieren". In der Shell kann folgender Befehl verwendet werden:


Freitag, 24. Mai 2013

Servervorbereitung für Exchange 2013

Um Exchange 2013 installieren zu können sind auf den Servern einige Vorbereitungen nötig. Im Folgenden wird beschrieben wie ein Server für die Installation von Exchange 2013 vorbereitet werden kann.

Anforderungen AD

Um Exchange 2013 installieren zu können müssen folgende Anforderungen an die AD erfüllt sein:

AD-Gesamtstruktur:                  2003 oder höher
Domänencontroller:                  Windows Server 2003 mit SP2 oder höher (32-Bit oder 64-Bit)
Schemamaster:                        Windows Server 2003 mit SP2 oder höher (32-Bit oder 64-Bit)
Globaler Katalogserver:            Windows Server 2003 mit SP2 oder höher (32-Bit oder 64-Bit)

Anforderungen OS

Exchange 2013 kann auf Windows Server 2008 R2 oder Windows Server 2012 installiert werden. Wenn eine DAG gebildet werden soll ist Windows Server 2008 R2 Enterprise oder Windows Server 2012 Datacenter erforderlich. Dies ist so weil eine DAG auf der Clusterkomponente von Windows aufbaut.
Die Installation von Exchange 2013 wird auf Computern, die im Windows Server Core-Modus ausgeführt werden, nicht unterstützt. Der Computer muss die vollständige Installation von Windows Server ausführen.

Mittwoch, 8. Mai 2013

OWA ohne https und /owa aufrufen mit TMG

Ein bekanntes Problem ist, dass beim Aufruf von OWA vom User am Anfang der Adresse jeweils ein https:// und am Ende ein /owa getippt werden muss. Dies ist nicht sehr Benutzerfreundlich. Es wäre doch sehr viel angenemer für die User, wenn sie einfach nur die URL des OWA angeben könnten.

Also anstatt https://owa.mydomain.ch/owa  kann einfach nur owa.mydomain.ch in der Adresszeile des Browsers eigegeben werden. Wenn die Exchange Umgebung über ein TMG Server veröffentlich wurde, lässt sich dies mit einer zusätzlichen Regel im TMG erreichen.

Die Regel für diese Funktion muss wie folgt konfiguriert werden:

Montag, 15. April 2013

Event ID: 2937 Source: MSExchange ADAccess Process w3wp.exe

Nach einer Exchange Migration gibt es immer wieder Fehlermeldungen im Eventlog der neuen Exchange 2010 Server welche besagen, es gäbe in der Konfiguration Verweise auf gelöschte Objekte in der AD:


Log Name:      Application
Source:        MSExchange ADAccess
Event ID:      2937
Task Category: Validation
Level:         Warning
Keywords:      Classic
Description:
Process w3wp.exe () (PID=xxxx). Object [CN=Offline Address Book,CN=Offline Address Lists,
CN=Address Lists Container,CN=MyExcOrg,CN=Microsoft Exchange,CN=Services,CN=Configuration,
DC=mydomain,DC=com]. Property [PublicFolderDatabase] is set to value 
[mydomain.com/Configuration/Deleted Objects/Public Folder Database
DEL:7a5cdb55-d5dd-48f5-b9ad-2a4eb4e3a2f5], it is pointing to the Deleted Objects container 
in Active Directory. This property should be fixed as soon as possible.

Hier in diesem Fall handelt es sich um einen fehlerhaften Verweis der das Offline Address Book betrifft. Das Problem lässt sich folgendermassen beheben:


  1. ADSIEdit starten und die neue Public Folder DB suchen:

    Configuration -> Services > Microsoft Exchange -> Organization name -> Administrative Groups -> Exchange admin groups (xxxxx) ->  databases
  2. Mit einem Rechtsklick auf das Objekt die Eigenschaften anzeigen lassen und den distinguishedName suchen und kopieren.
  3. Nun in ADSIEdit auf Configuration -> Services > Microsoft Exchange -> Organization name -> ddress Lists Container -> Offline Address Lists -> Default Offline Address Book wechseln.
  4. In den Eigenschaften den Wert siteFolderServer suchen. Dort steht nun der falsche Wert drin. Dieser sieht in etwa so aus:
    CN=DOMAIN PFDB\0ADEL:a44bc301-425b-44b1-ad12-419a683affd2,CN=Deleted Objects,CN=Configuration,DC=DOMAIN,DC=local
  5. Dieser Wert kann nun mit den zuvor kopierten Wert ersetzt werden.

Donnerstag, 28. Februar 2013

Exchange 2013 in einer .local Domäne

Exchange 2010 oder 2013 arbeiten bekanntlich mit SAN-Zertifikaten. Dies sind Zertifikate die mehrere URLs enthalten. Üblicherweise enthalten die Zertifikate für Exchange 2013 / 2010 folgende Namen:
- owa.mydomain.com
- autodiscover.mydomain.com
- FQDN aller Exchange Server
- smtp.mydomain.com

Wenn ich nun eine .local-Domäne habe, also meine interne Domäne auf .local oder eine andere nicht offizielle Endung endet, muss ich als FQDN des Exchange Servers auch meinechange.meineinternedomain.local im Zertifikat haben.

Ab dem Jahr 2015 wird es nicht mehr erlaubt sein nicht offizielle URLs in einem öffentlichen Zertifikat zu integrieren. Das heisst, wenn ich heute ein offizielles Zertifikat bestelle dürfen keine nicht offiziellen URLs (oder solche die ich nicht besitze) mehr im Zertifikat enthalten sein.

Freitag, 18. Januar 2013

Mobile Device Management mit Exchange 2010

Die Verwaltung von mobilen Geräten ist immer wieder ein Thema und vor allem Sicherheitstechnisch relevant. Schliesslich tragen unsere User ihre möglicherweise sensitiven Daten mit ihren mobilen Geräten permanent mit sich herum und die Gefahr ein solches mobiles Gerät zu verlieren ist sehr hoch. Darum ist es wichtig eine gewisse Kontrolle über die verwendeten mobilen Geräte zu haben.

Exchange 2010 gibt uns hier die Möglichkeit zu bestimmen welche Typen von mobilen Geräten wir in unserer Organisation zulassen wollen und welche nicht. In diesem Beitrag zeige ich wie dies konfiguriert werden kann.

Installation SCVMM 2012 SP1

Ich installiere SCVMM 2012 mit SP1 auf einem Windows Server 2012. Die minimalen Systemanforderungen könnt ihr hier nachlesen:

http://technet.microsoft.com/en-us/library/gg610562.aspx

Folgendes ist auch noch zu beachten:
  • Der Server muss Mitglied der Domäne sein
  • Der Computername darf nicht länger als 15 Zeichen sein und darf den String SCVMM nicht beinhalten.
  • Wenn ihr den SCVMM 2012 SP1 auf einem Windows Server 2008 R2 installieren wollt, müsst ihr den Windows Remote Management (WinRM Service) auf automatischen Start umstellen. Unter Windows Server 2012 ist der Service schon auf automatischen Start eingestellt.
  • Wenn ihr den SCVMM 2012 SP1 auf einem Windows Server 2008 R2 installieren wollt, benötigt ihr das .NET Framework 3.5 mit SP1 oder neuer. Auf dem Server 2012 ist das .NET Framework 4.0 schon installiert.