In deze blog kijken we naar wat de impact is van het implementeren van een proxy server in je Exchange 2010 omgeving. Het artikel is opgedeeld in twee delen. Dit omdat we naast het server gedeelte ook naar het client gedeelte kijken en wat de impact hier op is.

We gaan er vanuit dat http en https alleen toegestaan zijn via de proxy server voor zowel de servers als de clients.

Laten we beginnen met de server kan van de Exchange omgeving en welke impact het implementeren van een proxy hier op heeft. Voordat we dit gaan doen moeten we weten welke features gebruik maken van http/https om specifieke taken uit te voeren.

Exchange2010 gebruikt http/https voor de volgende taken:

• Downloaden update voor de anti-spam update service
• Downloaden update voor Microsoft Forefront Protection for Exchange Server
• Certificate Revocation Lists (CRL) validatie
• Hybride omgevingen die verbinding maken naarWindows Live/Office 365
• Omgevingen die gebruik maken van een hosted archief oplossing
• Diverse commando’s zoals: Get-FederationInformation en Test-WebServicesConnectivity

Om dit probleem op te lossen dien je WinHTTP te configureren met de Netsh tool wat onderdeel is van Windows Server sinds 2003. De tool kan gevonden worden in de system32 directory

Om WinHTTP te configureren moeten we eerst navigeren naar de WinHTTP context:

netsh
netsh>winhttp
netsh winhttp>

Het eerste wat je dient te controleren is of de proxy al geconfigureerd is. Dit kan gedaan worden door gebruik te maken van het volgende cmdlet:

show proxy

Er zijn meerdere manieren om WinHTTP te configureren via NetSh. Wanneer je bijvoorbeeld in IE de proxy al hebt ingesteld kun je IE als bron gebruiken:

set proxy source=ie

Maar wanneer je IE niet als bron wil gebruiken dan dien je de volgende parameters te gebruiken:

• proxy-server: FQDN of ip-address van de  proxy inclusief portnummer
• bypass-list: a lijst van hosts waarvoor de proxy niet gebruikt wordt

De stappen voor Windows 2003/2008 en 2008R2 zijn niet hetzelfde daarom bekijken we ze allebei:

set proxy-server=proxy:8080 bypass-list =”*.local”

set proxy proxy-server=proxy:8080 bypass-list =”*.local”

Misschien vraag je je af waarom gebruiken we de bypass-list parameter? Het is te adviseren om het lokale domein toe te voegen aan deze bypass-list. Dit omdat zowel de EMC als de EMS het http protocol gebruiken. Wanneer dit niet geconfigureerd wordt dan kan dit als gevolg hebben dat je niet via de EMC/EMS verbinding kan maken naar je Exchange Server.

Nu we het server deel hebben bekeken is het tijd voor het client gedeelte. Zoals je misschien wel weet biedt Exchange diverse services aan via http/https sinds Exchange 2007. Outlook 2007 clients en nieuwer kunnen gebruik maken van deze services.

De volgende services worden aangeboden door Exchange aan Outlook via http/https:

• autodiscover (standaard https): voor automatische configuratie
• Exchange Control Panel (standaard https): bijvoorbeeld mail tracking (alleen Outlook 2010)
• Exchange Web Services (standaard https): bijvoorbeeld: calendar sharing, Free/busy , Out Of Office en MailTips
• Offline Address Book (OAB) (standaard http): voor het downloaden van OAB bestanden

Standaard maakt Outlook gebruik van de proxy settings die geconfigureerd zijn in Internet Explorer. Het is dus erg belangrijk om ervoor te zorgen dat de proxy settings en dan specifiek de exclusions goed geconfigureerd zijn om problemen te voorkomen.

Wanneer je de url’s die Exchange gebruikt vergeet toe te voegen kun je foutmeldingen als onderstaande krijgen:

In dit voorbeeld probeert de gebruikers zijn/haar out of office in te schakelen. Maar omdat de EWS url niet geexclude is kan de status niet gecontroleerd worden en verschijnt de volgende foutmelding.

Dus we moeten url’s excluded, maar welke? Een lijst van de url’s is onderstaand te vinden:

• Autodiscover url
• ECP url
• EWS url
• OAB url

Welke interne url’s gebruikt worden door de Exchange omgeving kan bekeken worden door gebruik te maken van de volgende cmdlets:

Autodiscover url:

Get-ClientAccessServer |select AutoDiscoverServiceInternalUri

ECP url:

Get-EcpVirtualDirectory |select InternalUrl

EWS url:

Get-WebServicesVirtualDirectory | select InternalUrl

OAB url:

Get-OabVitualDirectory | select InternalUrl

Optioneel kun je ook nog de Outlook Web App (OWA) url excluden wanneer je webmail ook op het lokale netwerk wil aanbieden. In dit geval moet je ook de interne OWA url toevoegen:

Get-OwaVitualDirectory | select InternalUrl

Tot zover het blog over een proxy server in een Exchange 2010 omgeving. Hopelijk vond je het blog interessant. Mocht je nog vragen hebben neem dan gerust contact met me op.

Gepost in Exchange 2010 ~ Geen Reactie

Exchange Federation

In het vorige deel van dit artikel hebben we gekeken hoe een Exchange Federatie werkt. Vervolgens hebben we gekeken naar hoe we een Federation Trust en Organizational Configuration op kunnen zetten.

In dit deel van het artikel gaan we verder met het configureren van de federation. Er zijn namelijk weinig Exchange CAS Servers die direct aan het internet zijn gekoppeld. In veel gevallen zal hier een firewall voorstaan en als je het helemaal veilig wil doen nog een reverse proxy.

Reverse proxy configuratie

Als reverse proxy kun je bijvoorbeeld de Threat Management Gateway van Microsoft gebruiken. Hierbij gaan we er vanuit dat de regels om de verschillende Web Services te publiceren richting het internet zijn geconfigureerd. De authenticatie vindt vervolgens plaats op de TMG i.p.v. op de CAS Servers. De authenticaties die echter voor deze regels gelden zijn meestal: Form Based Authentication, Basic of NTLM/Kerberos.

De authenticatie methodes kunnen echter niet gebruikt worden voor de Federation Trust en Organizational Configuration. De gebruikersnaam en het wachtwoord worden namelijk niet geverifieerd door een Domain Controller maar door de Microsoft Federation Gateway (MFG).

Omdat deze authenticatie methode niet wordt toegestaan door de TMG voor de verschillende sites zal het verkeer worden geblokkeerd. Dit is eenvoudig op te lossen door een aparte regel in de TMG aan te maken voor de volgende sites:

• /EWS/Exchange.asmx/wssecurity
• /Autodiscover/Autodiscover.svc
• /Autodiscover/Autodiscover.svc/wssecurity

De TMG moet deze regels namelijk direct doorzetten naar de CAS Server en niet eerst de gebruiker authentiseren.

Troubleshooting cmdlet’s

Zoals bij heel veel dingen verloopt het configureren van de Federation Trust en Organizational Configuration niet altijd vlekkeloos. Je denkt bijvoorbeeld dat alles goed is geconfigureerd maar als je het vervolgens gaat testen krijg je een foutmelding.

Exchange 2010 SP1 bevat diverse cmdlet’s om het e.e.a. te testen:

• Get-FederationOrganizationIdentifier
• Get-FederationInformation
• Get-FederationTrust
• Get-OrganizationRelationship
• Test-OrganizationRelationship
• Test-FederationTrust

Get-FederationOrganizationIdentifier

Met dit cmdlet halen we de volgende informatie op:

• Wie is de organization identifier voor de Exchange organisatie;
• Wat zijn de additionele domeinen die geconfigureerd zijn voor de federatie;
• Wie is de contactpersoon van de trust;
• Is het domain proof TXT record gevalideerd door de MFG

Get-FederationInformation:

Dit cmdlet kan pas gebruikt worden wanneer er een federation trust is geconfigureerd. Met dit cmdlet halen we de volgende informatie op:

• Federated domain names;
• Target URLs van de externe Exchange organisatie;

Voorbeeld:

Get-FederationInformation –DomainName domain.com

Get-FederationTrust:

Met dit cmdlet wordt een overzicht weergeven van de geconfigureerde federation trust voor de organizatie. De volgende informatie wordt getoond indien de parameter |FL  wordt gebruikt:

• ApplicationIdentifier;
• ApplicationUri attributen;
• Details over het certificaat;
• Details over het token;

Get-OrganizationRelationship:

Met dit cmdlet kunnen de instellingen worden weergeven van een organization relationship die is geconfigureerd. Informatie dat getoond wordt door dit cmdlet:

Voorbeeld:

Get-OrganizationRelationShop –Identity TrustedDomain

Test-OrganizationRelationship

Met dit cmdlet kan getest worden of de organization relationship correct geconfigureerd is en functioneert. Dit cmdlet dient gebruikt te worden i.c.m. een geldige useraccount.

Voorbeeld:

Test-OrganizationRelationship –UserIdentity johan@domain.com –Identity domain.com –Confirm

Hierbij is de UserIdentity de account waarvoor een security token wordt aangevraagd en Identity de naam van de organization relationship die getest moet worden.

 

Test-FederationTrust

Voert een aantal tests uit om te controleren of de federation trust correct werkt. De volgende tests worden uitgevoerd:

• Kan er connectie gemaakt worden naar de MFG;
• Zijn de certificaten geldig en geschikt om te gebruiken;
• Kan een security token opgevraagd worden bij de MFG.

Voorbeeld:

Test-FederationTrust –UserIdentity johan@domain.com

Hierbij wordt de useraccount gebruikt die is opgegeven als UserIdentity. Wanneer dit niet wordt opgegeven zal de standaard test mailbox gebruikt worden. Deze standaard test mailbox kan aangemaakt worden met het New-TestCasConnectivityUser.ps1 script.

Troubleshooting

Certificaten

Eén van de issues die je waarschijnlijk niet heel vaak zal tegenkomen is het niet geldig zijn van het certificaat. Dit kan bijvoorbeeld worden veroorzaakt omdat een certificaat niet meer geldig is omdat de datum van het certificaat is verlopen.

Het kan ook echter voorkomen dat het probleem zich voordoet wanneer een nieuw certificaat wordt aangevraagd. Het klinkt vreemd maar ik heb zelf dit probleem ook ondervonden. De MFG’s staan namelijk in de tijdzone GMT. Wanneer de Exchange omgeving zich in een andere tijdzone bevindt dan kan het voorkomen dat het certificaat is gegenereerd in de toekomst gezien vanuit de MFG. De oplossing in dit geval is wachten. In geval van GMT+1 zal je zien dat wanneer je het een uur later nogmaals probeert het gewoon zal werken.

Incorrecte externe URL voor EWS

Omdat federation o.a. afhankelijk is van de Exchange Web Services is het van belang dat de correcte externe URL is geconfigureerd. Wanneer dit niet het geval is zal de EWS url niet bereikt kunnen worden en er dus geen free/busy informatie worden weergeven.

Om dit probleem op te lossen kun je de externe URL configureren door gebruik te maken van de Exchange Management Shell:

Set-WebServicesVirtualDirectory -Identity Server\EWS* -ExternalUrl https://mail.domain.com/EWS/exchange.asmx

Daarnaast is het van belang dat de URL goed is gepubliceerd in de reverse proxy.

Wijzigingen zijn niet direct actief

Indien je wijzigingen maakt in de federation dan kan het zijn dat deze niet direct actief zijn. Het e.e.a. wordt namelijk gecached wat als gevolg heeft dat het enige tijd kan duren voordat de nieuwe configuratie actief is.

Vooreen federatie tussen twee Exchange 2010 omgevingen of een Exchange 2010 en Office 365 kan het tot 7 uur duren voordat de wijziging is doorgevoerd.

Autodiscover werkt niet

Hoewel voor de configuratie van de Federation de autodiscover functionaliteit niet noodzakelijk is is deze wel belangrijk voor het functioneren van de federation.  Controleer dus of de autodiscover service url zowel intern als extern te benaderen is. Het niet correct functioneren van autodiscover zorgt er namelijk voor dat de andere Exchange organisatie niet de benodigde informatie kan ophalen van de Exchange organisatie.

Hier eindigt het tweede en laatste deel van de serie artikelen over Exchange Federation. Mocht je nog vragen hierover hebben neem dan gerust contact met mij op.

Gepost in Exchange 2010 ~ Geen Reactie

Sinds Exchange 2003 is het mogelijk om een federation op te zetten tussen Exchange organisaties. Vergeleken met vorige Exchange versies is het in Exchange 2010 configureren van een federation een stuk eenvoudiger te worden. Echter kun je natuurlijk nog steeds tegen issues aanlopen tijdens het configureren van de federation.

In deze serie van blogs kijken we naar een aantal van deze issues en bespreken we hoe je deze problemen vervolgens aan kan pakken.

Maar om een probleem op te lossen is het van belang dat je wel moet weten hoe het concept werkt. Daarom beginnen we eerst met een korte uitleg hoe federation werkt en geconfigureerd kan worden.
Om een federation tussen twee organisaties te bouwen dien je twee dingen te configureren:

• Federation Trust;
• Organization Relationship;

Federation trust
Voordat we een Organization Relationship kunnen configureren zullen we eerst een Federation Trust moeten configureren. Deze Federation Trust wordt opgezet tussen de Exchange 2010 on-premises omgeving en de Microsoft Federation Gateway (MFG).

De MFG is in de federation namelijk het component wat de authenticatie uitvoert en vervolgens de authenticatie tickets uitgeeft. Hierbij wordt de MFG ook wel de trust broker genoemd. De on-premises Exchange omgeving gebruikt een certificaat om zichzelf te authenticeren richting de MFG. De MFG bestaat in twee soorten:

• Business instance, gebruikt door Exchange 2010 SP1 en Microsoft Online Services;
• Consumer instance, gebruikt door Exchange 2010 RTM, organisaties die gebruik maken van een 3rd party certificaat en Live@edu;

Microsoft raad aan om te zorgen dat beide organisaties gebruik maken van dezelfde MFG.
Voordat je een federation trust opzet is het van belang om te weten of je gebruik wil gaan maken van federated delegation.
Met federated delegation is het mogelijk om gebruikers in beide omgevingen informatie te laten delen.  Om deze functionaliteit te gebruiken is één van de vereiste om een federated delegation subdomain aan te maken. Het subdomain moet anders zijn dan het primaire zijn als het primaire SMTP domain wat in gebruik is. Het subdomain moet wel als primair domein worden ingesteld op de federation trust.
Microsoft raad aan om een subdomain aan te maken exchangedelegation.domain.com. De MFG maakt namelijk gebruik van dit subdomain om een unieke identiteit toe te kennen per gebruiker. Deze identiteit wordt vervolgens gebruikt om een Security Assertions Markup Language (SAML) delegation token te verkrijgen. Met dit token kan de gebruikers zich vervolgens authenticeren bij de andere Exchange organisatie.
Het configureren van de Federation Trust bestaat uit de volgende stappen:

1. Maak een Federation Trust aan;
2. Ophalen van de Domain Proof;
3. Aanmaken DNS TXT record;
4. Configuren van de Organization Identifier en additionele domeinen voor federatie

De eerste stap kan uitgevoerd worden via zowel de Exchange Management Console (EMC) als Exchange Management Shell (EMS). Houd hierbij rekening dat als je een 3rd party certificaat wil gebruiken je alleen de EMS kan gebruiken om de trust te maken.

Federation Trust aanmaken:

EMC
Onderstaande methode creëert een trust met de MFG en creëert een self-signed certificate voor authenticatie:

• Open de EMC;
• Selecteer de Organization Configuration;
• Selecteer de optie New Federation Trust;
• Klik op de optie New;
• Klik op Finish om de wizard af te sluiten;

EMS

Get-ExchangeCertificate | ?{$_.friendlyname -eq “Exchange Federated Delegation”} | New-FederationTrust -Name “Microsoft Federation Gateway”

Domain Proof
Wanneer de trust eenmaal is aangemaakt moet je de domain proof opvragen. Deze domain proof moet vervolgens als waarde van een TXT record toegevoegd te worden aan de DNS. Met de domain proof wordt gecontroleerd of je de eigenaar bent van het betreffende domain.
Het ophalen van de de domain proof kan alleen m.b.v. de EMS:

Get-FederatedDomainProof –DomainName domain.com

Met de waarde die wordt teruggeven kan vervolgens het DNS record aangemaakt worden. Let op dat als er gebruikt gemaakt wordt van Federated Delegation je dit record deze stap moet herhalen voor het subdomain.

Domeinen configureren voor Federated Trust
Wanneer zowel de trust als de bijhorende domain proofs zijn aangemaakt dan kunnen de domeinen toegevoegd worden aan de  Federated Trust.
Voordat dit gedaan wordt moet het subdomain wel toegevoegd worden als accepted domain:

New-AcceptedDomain -DomainName exchangedelegation.domain.com -Name FederationDomain

Wanneer bovenstaande opdracht is uitgevoerd kan de federation trust geconfigureerd worden. Dit bestaat uit twee stappen

Set-FederatedOrganizationIdentifier -DelegationFederationTrust “Microsoft Federation Gateway” -AccountNamespace exchangedelegation.domain.com -Enabled $True

Met bovenstaande cmdlet passen configureren we de federation trust en stellen je het subdomain in als organization identifier. Deze organization identifier wordt gebruikt voor de authenticatie. Tijdens dit proces zal gecontroleerd worden of het TXT record te vinden is in de DNS.  Is dit te vinden dan zal de configuratie bijgewerkt worden.
Om de configuratie van de federation trust af te ronden dien je alle overige domeinen aan de trust toe te voegen. Dit kan gedaan worden met het cmdlet Add-FederatedDomain. Hier vindt net als bij het configureren van de organization identifier een controle plaats of het TXT record bestaat in de DNS.

Add-FederatedDomain -DomainName domain.com

Met het uitvoeren van deze stap is de configuratie van de Federation Trust afgerond.

Eventueel kunnen deze stappen ook uitgevoerd worden via de EMC. Het voordeel hiervan is dat beide stappen in één keer uitgevoerd kunnen worden.

Organization Relationship aanmaken
Om de free/busy informatie te delen tussen organisaties is het noodzakelijk om een organization relationship te maken.
Het aanmaken van een organization relationship kan zowel via de EMC als de EMS worden uitgevoerd.

EMC

• Open de EMC;
• Selecteer de Organization Configuration;
• Selecteer de optie New Orginization Relationship;
• Configureer op de Introduction pagina de naam van de andere organisatie, activeer de organization relationship en geef op welke informatie zichtbaar moet zijn voor de andere organisatie. Optioneel kan een aparte security groep worden toegewezen waarmee alleen de informatie van de leden van deze groep zichtbaar is;
• Op de External Organization pagina kan ervoor gekozen worden om de informatie van de externe organisatie automatisch of handmatig te configureren. Het advies is om hier te kiezen voor de eerste methode. Deze maakt namelijk gebruik van autodiscover voor het ophalen van de benodigde informatie. Mocht er dus een wijziging plaatsvinden dan hoeft de organization relationship niet handmatig aangepast te worden.
  Kies je er toch voor om het handmatig te configureren vul dan de volgende informatie in:
  o Federated domains van de externe Exchange organization: voeg hier zowel exchangedelegation.domain.com en domain.com toe;
  o Application URI van de externe Exchange organization: exchangedelegation.domain.com, deze informatie wordt gebruikt voor het verkrijgen van een delegated token;
  o Autodiscover endpoint van de externe Exchange organization, deze url wordt gebruikt voor het ophalen van de url’s van de CAS Servers. De Free/Busy info wordt namelijk opgehaald door gebruik te maken van EWS. Deze url ziet er als volgt uit:
  https://autodiscover.domain.com/autodiscover/autodisover.svc/wssecurity;
• Controleer op de New Organization Relationship pagina nogmaals de configuratie en klik op New om de Organization Relationship aan te maken.

EMS
New-OrganizationRelationship -Name “External Company” -DomainNames “exchangedelegation.domain.com”,”domain.com” -FreeBusyAccessEnabled $true
-FreeBusyAccessLevel LimitedDetails -TargetAutodiscoverEpr “https://autodiscover.domain.com/autodiscover/autodiscover.svc/wssecurity” -TargetApplicationUri “exchangedelegation.domain.com”

Met bovenstaande cmdlet configureren we een Organization Relationship handmatig. Hierbij maken we dus alleen gebruik van autodiscover om de EWS url’s op te halen. Wil je dat de Domainnames, TargetAutodiscoverExpr en TargetApplicationUri automatisch worden opgehaald gebruik dan onderstaand voorbeeld:

Get-FederationInformation -DomainName domain.com | New-OrganizationRelationship -Name “External Company” -FreeBusyAccessEnabled $true -FreeBusyAccessLevel -LimitedDetails

In bovenstaand voorbeeld halen we eerst de Federation Information op voor het domein. Vervolgens gebruiken we de informatie die verkregen wordt met het Get-FederationInformation cmdlet om de Organization Relationship te configureren.

Clients
Om gebruik te maken van de Organization Relationship kun je gebruik maken van onderstaande clients:

• Outlook 2010
• Outlook Web App/Outlook Web Access
• Outlook 2007

Met Outlook 2007 heb je echter wel een aandachtspunt. Het intikken van een SMTP adres, net als in Outlook 2010/OWA, werkt niet in Outlook 2007. Heb je alleen maar Outlook 2007 clients dan zal je ervoor moeten zorgen dat alle gebruikers van de andere organisatie als contacts toegevoegd worden zodat deze zichtbaar zijn in de Global Address List.

Wat gebeurd er als free/busy informatie wordt opgehaald?

Maar wat gebeurd er als een gebruiker free/busy informatie probeert op te halen van een gebruiker van een andere organisatie?

In onderstaande workflow is een overzicht te zien van het gehele proces:

1. De gebruiker geeft het SMTP adres op van een andere gebruiker in een andere organisatie;
2. De CAS Server controleert of Federation is geconfigureerd;
3. De CAS Server verstuurd een token request naar de Microsoft Federation Gateway;
4. De Microsoft Federation Gateway controleert of de source organisatie is vertrouwd door de target organisatie;
5. De Microsoft Federation Gateway verstuurd de token gesigned en geencrypt met de public key van de target organisatie terug naar de CAS Server welke het verzoek heeft verstuurd;
6. De CAS Server verstuurd het free/busy verzoek naar de CAS Server van de target organisatie;
7. Target CAS Server ontvangt het token;
8. Target CAS Server controleert of de organisatie voorkomt in de trust list;
9. Target CAS Server controleert welke free/busy informatie weergeven mag worden;
10. Availability Service vraagt de informatie op bij de mailbox;
11. Antwoord wordt verstuurd naar de client;

Tot zover het eerste deel over het gebruik van Federations in Exchange 2010. In het volgende deel van dit artikel zullen we gaan kijken hoe je dit veilig richting kan publiceren richting het internet en naar een stuk troubleshooting.

Technet – Understanding Federation open

Technet – Creating a Federation Trust open

Gepost in Exchange 2010 ~ Geen Reactie

Microsoft heeft eerder vandaag rollup 2 voor Exchange 2010 SP2 vrij gegeven. Dit is de eerste rollup die voor service pack 2 wordt uitgebracht. In deze rollup zijn de volgende problemen opgelost:

• 2465015 You cannot view or download an image on a Windows Mobile-based device that is synchronized with an Exchange Server 2010 mailbox
• 2492066 An automatic reply message is still sent after you clear the “Allow automatic replies” check box for a remote domain on an Exchange Server 2010 server
• 2492082 An Outlook 2003 user cannot view the free/busy information of a resource mailbox in a mixed Exchange Server 2010 and Exchange Server 2007 environment
• 2543850  A GAL related client-only message rule does not take effect in Outlook in an Exchange Server 2010 environment
• 2545231   Users in a source forest cannot view the free/busy information of mailboxes in a target forest in an Exchange Server 2010 environment
• 2549255   A meeting item displays incorrectly as multiple all-day events when you synchronize a mobile device on an Exchange Server 2010 mailbox
• 2549286  Inline contents disposition is removed when you send a “Content-Disposition: inline” email message in an Exchange Server 2010 environment
• 2556113 It takes a long time for a user to download an OAB in an Exchange Server 2010 organization
• 2557323 Problems when viewing an Exchange Server 2003 user’s free/busy information in a mixed Exchange Server 2003 and Exchange Server 2010 environment
• 2563245 A user who has a linked mailbox cannot use a new profile to access another linked mailbox in an Exchange Server 2010 environment
• 2579051  You cannot move certain mailboxes from an Exchange Server 2003 server to an Exchange Server 2010 server
• 2579982 You cannot view the message delivery report of a signed email message by using Outlook or OWA in an Exchange Server 2010 environment
• 2585649 The StartDagServerMaintenance.ps1 script fails in an Exchange Server 2010 environment
• 2588121  You cannot manage a mail-enabled public folder in a mixed Exchange Server 2003 and Exchange Server 2010 environment
• 2589982 The cmdlet extension agent cannot process multiple objects in a pipeline in an Exchange Server 2010 environment
• 2591572     “Junk e-mail validation error” error message when you manage the junk email rule for a user’s mailbox in an Exchange Server 2010 environment
• 2593011 Warning 2074 and Error 2153 are logged on DAG member servers in an Exchange Server 2010 environment
• 2598985 You cannot move a mailbox from a remote legacy Exchange forest to an Exchange Server 2010 forest
• 2599434 A Public Folder Calendar folder is missing in the Public Folder Favorites list of an Exchange Server 2010 mailbox
• 2599663 The Exchange RPC Client Access service crashes when you send an email message in an Exchange Server 2010 environment
• 2600034 A user can still open an IRM-protected email message after you remove the user from the associated AD RMS rights policy template in an Exchange Server 2010 environment
• 2600289 A user in an exclusive scope cannot manage his mailbox in an Exchange Server 2010 environment
• 2600943  EMC takes a long time to return results when you manage full access permissions in an Exchange Server 2010 organization that has many users
• 2601483  “Can’t open this item” error message when you use Outlook 2003 in online mode in an Exchange Server 2010 environment
• 2604039 The MSExchangeMailboxAssistants.exe process crashes frequently after you move mailboxes that contain IRM-protect email messages to an Exchange Server 2010 SP1 mailbox server
• 2604713  ECP crashes when a RBAC role assignee tries to manage another user’s mailbox by using ECP in an Exchange Server 2010 environment
• 2614698 A display name that contains DBCS characters is corrupted in the “Sent Items” folder in an Exchange Server 2010 environment
• 2616124  Empty message body when replying to a saved message file in an Exchange Server 2010 SP1 environment
• 2616230 IMAP4 clients cannot log on to Exchange Server 2003 servers when the Exchange Server 2010 Client Access server is used to handle proxy requests
• 2616361  Multi-Mailbox Search fails if the MemberOfGroup property is used for the management scope in an Exchange Server 2010 environment
• 2616365  Event ID 4999 when the Store.exe process crashes on an Exchange Server 2010 mailbox server
• 2619237  Event ID 4999 when the Exchange Mailbox Assistants service crashes in Exchange 2010
• 2620361  An encrypted or digitally-signed message cannot be printed when S/MIME control is installed in OWA in an Exchange Server 2010 SP1 environment
• 2620441  Stop-DatabaseAvailabilityGroup or Start-DatabaseAvailabilityGroup cmdlet fails when run together with the DomainController parameter in an Exchange Server 2010 environment
• 2621266  An Exchange Server 2010 database store grows unexpectedly large
• 2621403  ”None” recipient status in Outlook when a recipient responds to a meeting request in a short period of time in an Exchange Server 2010 environment
• 2628154  ”The action couldn’t be completed. Please try again.” error message when you use OWA to perform an AQS search that contains “Sent” or “Received” in an Exchange Server 2010 SP1 environment
• 2628622 The Microsoft Exchange Information Store service crashes in an Exchange Server 2010 environment
• 2628693 Multi-Mailbox Search fails if you specify multiple users in the “Message To or From Specific E-Mail Addresses” option in an Exchange Server 2010 environment
• 2629713  Incorrect number of items for each keyword when you search for multiple keywords in mailboxes in an Exchange Server 2010 environment
• 2629777  The Microsoft Exchange Replication service crashes on Exchange Server 2010 DAG members
• 2630708 A UM auto attendant times out and generates an invalid extension number error message in an Exchange Server 2010 environment
• 2630967 A journal report is not sent to a journaling mailbox when you use journaling rules on distribution groups in an Exchange Server 2010 environment
• 2632206 Message items rescanned in the background in an Exchange Server 2010 environment
• 2633044 The Number of Items in Retry Table counter displays an incorrect value that causes SCOM alerts in an Exchange Server 2010 SP1 organization
• 2639150 The MSExchangeSyncAppPool application pool crashes in a mixed Exchange Server 2003 and Exchange Server 2010 environment
• 2640218 The hierarchy of a new public folder database does not replicate on an Exchange Server 2010 SP1 server
• 2641077 The hierarchy of a new public folder database does not replicate on an Exchange Server 2010 SP1 server
• 2642189 The RPC Client Access service may crash when you import a .pst file by using the New-MailboxImportRequest cmdlet in an Exchange Server 2010 environment
• 2643950 A seed operation might not succeed when the source mailbox database has many log files in a Microsoft Exchange Server 2010 DAG
• 2644047 Active Directory schema attributes are cleared after you disable a user’s mailbox in an Exchange Server 2010 environment
• 2644264 Disabling or removing a mailbox fails in an Exchange Server 2010 environment that has Office Communications Server 2007, Office Communications Server 2007 R2 or Lync Server 2010 deployed
• 2648682 An email message body is garbled when you save or send the email message in an Exchange Server 2010 environment
• 2649727 Client Access servers cannot serve other Mailbox servers when a Mailbox server encounters a problem in an Exchange Server 2010 environment
• 2649734 Mailbox replication latency may occur when users perform a Multi-Mailbox Search function against a DAG in an Exchange Server 2010 environment
• 2649735 Warning of undefined recipient type of a user after the linked mailbox is moved from an Exchange Server 2007 forest to an Exchange Server 2010 forest
• 2652849 The MailboxCountQuota policy is not enforced correctly in an Exchange Server 2010 hosting mode
• 2665115 Event ID 4999 is logged on an Exchange Server 2010 Client Access server (CAS)

De rollup kan gedownload worden via onderstaande link:

Download – Exchange 2010 SP2 Rollup 1

Gepost in Exchange 2010 ~ 2 Reacties

Outlook cached mode gebruiken of niet?

Sinds Outlook 2003 is het mogelijk om Outlook te gebruiken in twee modi:

• Online mode
• Cached Exchange mode

Maar wat is het verschil tussen deze twee modi?

Online mode
Wanneer het Outlook profiel is geconfigureerd in Online mode zal Outlook direct in de Information Store van Exchange kijken. Dit heeft als voordeel dat zodra een bericht wordt afgeleverd in de mailbox van een gebruiker dit direct zichtbaar is. Als de Exchange Server niet bereikbaar is heb je dus ook geen toegang tot je mailbox.

Cached Exchange mode
Indien het Outlook profiel is geconfigureerd in Cached Exchange mode dan zal er een lokaal cache bestand aan worden gemaakt van de mailbox. Dit bestand wordt ook wel de offline data file genoemd en is te herkennen aan de extensie OST.  Het bestand wordt standaard opgeslagen in Local Settings\Application Data\Microsoft\Outlook. Wanneer gekeken wordt naar de omvang van een OST vergeleken met een mailbox kan het zijn dat hier nogal wat verschillen in te zien zijn.

Een OST bestand kan 50 tot 80 procent groter zijn dan de mailbox daadwerkelijk is. Dit heeft te maken met de methode die gebruikt wordt om items op te slaan. Outlook is namelijk minder efficiënt dan een Exchange Server. Het verschil wordt gemaakt door het file formaat waarvan Exchange gebruik maakt.

De maximale omvang van een OST verschilt per type:

• Non-Unicode (ANSI): maximaal 2 GB;
• Unicode: maximale grote is instelbaar, standaard 50 GB;

Het type wat gebruikt wordt kan op de volgende manier achterhaald worde;n:

• Selecteer Tools;
• Kies de optie E-mail accounts;
• Selecteer de Exchange e-mail account en klik vervolgens op change;
• Klik op More Settings;
• Selecteer de Advanced tab
• Controleer de waarde van Mailbox Mode;

 

Naast het OST bestand maakt een gebruiker in Cached Exchange mode ook gebruik van het Offline Address Book (OAB).

Het voordeel hiervan is dat de inhoud van de mailbox wat zich bevind in het cached bestand ook beschikbaar is als er geen connectie is met Exchange. Het zichtbaar zijn van nieuwe berichten kan wel vertraagd zijn. Dit omdat er standaard om de 30 seconde wordt gekeken of er een nieuw bericht is afgeleverd in de mailbox. Nadeel hier van is dat wanneer een gebruiker inlogt op een ander werkstation de cache file opnieuw opgebouwd moet worden.

Vanaf Outlook 2010 raad Microsoft aan om de Cached Exchange Mode standaard te gebruiken. Wanneer je gebruik maakt van de autodiscover functionaliteit van Exchange dan zal je ook zien dat het standaard profiel wordt geconfigureerd als Cached Exchange Mode.

In omgevingen waar een beperkte bandbreedte (slow connection) beschikbaar is kan ervoor gekozen worden om een beperkte om alleen de e-mail headers en de eerste 256 karakters van een bericht te downloaden.

Als een netwerk verbinding een snelheid van 128 KB of minder heeft wordt deze gekenmerkt als slow connection.

Het aantal RPC requests, vergeleken met Online mode, is minder. Dit omdat er gebruik gemaakt wordt van de lokale cache. De invloed van de snelheid van de harddisk in het werkstation is echter wel groter.

Wat wordt er gecached?
Wanneer er gebruik gemaakt wordt van Outlook 2010 worden standaard zowel de inhoud van de mailbox van de gebruiker als additionele mailboxen opgenomen in de cache. Public Folder worden standaard niet gecached. Het is echter wel mogelijk om de Public Folder favorites te cachen echter dient deze optie handmatig of met een GPO aangezet te worden.

Zoals eerder vermeld wordt er gebruik gemaakt van een Offline Address Book (OAB). Initieel wordt een volledige download uitgevoerd van het adressenboek. Daarna worden alleen nog incremental updates gedownload van het adressenboek. De OAB wordt één keer per 24 uur geüpdate indien de OAB op de server nieuwe data bevat.

Wanneer moet je Cached Mode niet gebruiken?
Maar zijn er dan scenario’s waar je Cached Exchange mode misschien niet wil gebruiken?

Ja die zijn er, onderstaand een overzicht van deze scenario’s:

• Computers die door meerdere gebruikers gebruikt worden en waar de vertraging van het downloaded van nieuwe berichten niet acceptabel is;
• Omgevingen waar compliance en security beleid verbieden om data lokaal op te slaan;
• Computer die beschikken over een kleine opslagcapaciteit waardoor het volledige cache bestand niet opgeslagen kan worden;
• Mailboxen groter dan 25 GB;
• Virtuele of Remote Desktop Services omgevingen waar gebruik gemaakt wordt van Outlook 2007 en Outlook 2003. Cached Exchange Mode niet ondersteund op een systeem dat Remote Desktop Services aanbiedt;
• Virtuele of Remote Desktop Services omgevingen waar gebruik gemaakt wordt van Outlook 2010 maar waar de disk omvang of disk I/O een probleem is;

Invloed van Cached Exchange Mode op Outlook functionaliteiten
Naast de eerder genoemde scenario’s zijn er nog een aantal functionaliteiten die beïnvloed worden door gebruik te maken van de Cached Exchange Mode. Onderstaand is hiervan een overzicht te zien:

• Delegate mailbox data stores;
• Shared Folders die niet offline beschikbaar zijn gemaakt;
• Ophalen Free/Busy informatie;
• Instellen/wijzigen/uitschakelen Out-Of-Office;
• Toegang tot Public Folders;
• Ophalen rechten voor IRM berichten;
• Wijzigen van rules;
• Ophalen van MailTips;

Deze functionaliteiten vereisen connectie naar de Exchange omgeving. Wanneer er geen connectie is zullen de eerder genoemde functionaliteiten niet beschikbaar zijn. Als er echter wel een connectie is met de Exchange Server kan het zijn dat de functionaliteiten vertraagd werken. Dit laatste is alleen het geval als over een verbinding met hoge latency een connectie wordt opgezet.

Naast de eerder genoemde functionaliteiten zijn er een aantal functies waarvan het gebruik sterk wordt afgeraden door Microsoft:

• Gebruiken van toast alert functionaliteit met digitale handtekeningen;
• Meerdere adressen boek containers;
• Custom properties op de General tab;

Invloed van grote .ost bestanden
Een grote ost kan leiden tot performance issues in Outlook. Gebruikers zullen dit gaan merken doordat Outlook trager reageert. Dit kan optreden als één van de volgende taken wordt uitgevoerd:

• Lezen van berichten;
• Verplaatsen van berichten;
• Verwijderen van berichten;

Afhankelijk van welke Outlook versie gebruikt wordt gelden de volgende richtlijnen:

Outlook 2007 met performance update of Outlook 2007 SP1 zonder cumulative updates van februari 2009	Outlook 2007 met SP1 en cumulative updates van februari 2009 of later
Tot 2 GB Gebruiker zou geen vertragingen mogen merken  2 GB tot 4 GB Afhankelijk van de hardware kan een gebruiker vertragingen gaan ondervinden. Meer dan 4 GB Gebruiker merkt vertraging op de meeste hardware Meer dan 10 GB Het aantal vertragingen zal toenemen	Tot 5 GB Gebruiker zou geen vertragingen mogen merken5 GB tot 10 GB Afhankelijk van de hardware kan een gebruiker vertragingen gaan ondervinden. Meer dan 10 GB Gebruiker merkt vertraging op de meeste hardware Meer dan 25 GB Het aantal vertragingen zal toenemen

Cached Exchange Mode i.c.m. BlackBerry devices
Cached Exchange mode gebruiken i.c.m. mobiele devices om te synchroniseren kan ook voor issues zorgen. De oorzaak in veel gevallen is dat het mobiele device of de mobiele server aanpassingen maakt aan het bericht nadat dit is gedownload in het cache bestand van Outlook.

Als voorbeeld even de BlackBerry server.  Deze voegt o.a. een  RefID toe aan het item waardoor het item in de Information Store is aangepast. Maakt een gebruiker een wijziging in het bericht dan zal het bericht weer worden bijgewerkt in de Information Store.  Omdat er dan verschillen zijn in de eigenschappen van het item zal dit leiden tot een conflict.

De BlackBerry zal vervolgens wel het bijgewerkte item weer downloaden. Hierbij wordt één item aangewezen als “leidend” item. Het conflict item zal wel in de Sync Issues – Conflicts geplaatst worden zodat eventueel een copy van het bericht teruggezet kan worden.

Om de kans op conflicterende items te minimaliseren is het mogelijk een workaround toe te passen. Dit kan eenvoudig gedaan worden door een register aanpassing uit te voeren:

• Open regedit
• Ga naar HKEY_LOCAL_MACHINE\SOFTWARE\Research In Motion\BlackBerry Enterprise Server\Agents
• Maak een nieuw Dword aan met de waarde ProcessMailDelay
• Geef dit Dword een waarde van 45

Met bovenstaande aanpassing wordt ervoor gezorgd dat de mail met 45 seconde vertraging wordt opgehaald door de BlackBerry Server. Let op dat dit alleen voor het testen is. BlackBerry raad aan deze waarde omlaag te zetten indien blijkt dat dit sync issues verhelpt.

Cached Exchange Mode i.c.m. Windows Desktop Search
Windows Desktop Search kan gebruikt worden voor het indexeren van de inhoud van de mailbox. In Cached Exchange Mode zal Outlook open moeten staan om de inhoud van de OST te indexeren. Is Outlook afgesloten dan zal Windows Desktop Search de OST niet indexeren.

Het voordeel van Outlook in Cached Exchange Mode is dat Windows Desktop Search de requests lokaal afhandelt i.p.v. ze te versturen naar de Exchange Server. Indien er toch gekozen wordt om Exchange in Online Mode te gaan gebruiken zorg er dan voor dat Windows Desktop Search 4.0 is geïmplementeerd. Windows Desktop Search 4.0 is namelijk op dit moment de enige zoekmachine die geen additionele read requests genereert.

Tot zover dit blog over Outlook en Cached Exchange Mode. Zoals je hebt gezien zijn er nogal wat punten waar je op moet letten voordat je dit inschakelt. Het zal per organisatie afhankelijk zijn. Eén van de dingen die meespeelt, is de Outlook versie. In de meeste gevallen zal het er op neer komen dat zowel de desktops als laptops gebruik gaan maken van Cached Exchange Mode. Uitzondering hierop zijn de desktops die gebruikt worden als bijvoorbeeld flex plek.

Gepost in Exchange 2010 ~ Geen Reactie

Het is alweer 2012, maar wat is er eigenlijk allemaal gebeurd op Exchange 2010 gebied in 2011? In deze blog een overzicht van een aantal high lights van nieuwtjes over Exchange 2010 in 2011.

Als we het jaar samenvatten dan komen hier de volgende woorden in terug:

januari

Begin januari werd Exchange uitgeroepen tot InfoWorld’s Technology of the Year award for the best mail server 2011.

Microsoft kwam op 27 januari met een statement over GAL Segmentation wat tot die tijd niet werd ondersteund in Exchange 2010. De whitepaper die beschikbaar was voor Exchange 2007 zou niet geupdate worden voor Exchange 2010. Wel werd er aangekondigd dat er een oplossing beschikbaar zou komen in Exchange 2010 SP2, later bekend als Address Book Policies.

Een dag later kondigde Kevin Allison aan dat de UDP notifications feature weer beschikbaar zou komen in Exchange 2010. Dit op verzoek van diverse klanten. De functionaliteit zou weer beschikbaar moeten zijn in Rollup 3. De rollup die eigenlijk eerder gereleased zou worden zou echter hierdoor wel later beschikbaar komen dan origineel gepland.

februari

Het Windows Server team bracht SP1 voor Windows 2008 R2 uit. Maar wat betekende dit voor Exchange 2010? Op 11 februari kwam het MsExchange Team met een antwoord. Zowel Exchange 2010 RTM als Exchange 2010 SP1 worden ondersteund voor dit OS. Voor Exchange 2010 SP1 zijn de losse hotfixes 979744, 983440, 979099, 982867 en 977020 niet meer benodigd. Deze zijn al verwerkt in het Service Pack voor Windows 2008 R2.

maart

Op 7 maart bracht Microsoft Rollup 3 uit voor Exchange 2010 SP1. Iedereen was erg benieuwd naar de UDP notifications die weer beschikbaar zouden komen met deze Rolup. Echter kort na het uitbrengen van de rollup liepen de fora vol met berichten over Exchange 2010 i.c.m. BlackBerry devices. Berichten zouden dubbel verstuurd worden wat natuurlijk een grote impact kon hebben voor bedrijven.

Op 14 maart plaatste Microsoft het volgende bericht op het MsExchangeTeam blog:

We have received notification of an issue impacting some customers which have
RIM BlackBerry devices connecting to an Exchange 2010 SP1 RU3 environment. At
this stage we are actively working with RIM to identify the exact scenarios in
which customers are reporting this issue in order to narrow down the root cause
of the problem and identify a suitable resolution for it.

As a precautionary measure we have deactivated the download page for Exchange
2010 SP1 RU3 until we can identify the appropriate next steps.

Rollup 3 werd teruggetrokken.

april

OWA Automobile Edition, Twitter-Ready Mail, Boss OOFs, Email Etiquette Enforcement (EEE) Agent, Automatic Randomized MRM (ARM) Assistant, Active Inbox Rules (AIR) Agent, Mobile Read Receipts en Exchange Configuration. Allemaal nieuwe features die aangekondigd werden op 1 april. Dit alles bleek uiteindelijk één grote 1 april grap te zijn waar toch wel redelijk wat mensen op reageerden.

In maart werd Rollup 3 teruggetrokken, op 6 april Rollup 3v3 uitgebracht. Deze versie verhielp het BlackBerry issue en bevatte de originele fixes die Rollup 3 al bevatte.

Op 13 april kondigde Microsoft het Exchange ActiveSync Logo Program aan. Dit certificerings programma voor ActiveSync devices is opgesteld door Microsoft en een extern lab. Devices moeten de volgende functionaliteiten ondersteunen om in aanmerking te komen voor het programma:

• Direct Push email, contacts & calendar
• Accept, Decline & Tentatively Accept meetings
• Rich formatted email (HTML)
• Reply/Forward state on email
• GAL Lookup
• Autodiscover
• ABQ strings (device type and device model) provided
• Remote Wipe
• Password Required
• Minimum Password Length
• Timeout without User Input
• Number of Failed Attempts

Microsoft zet dit programma op om bedrijven beter te kunnen helpen bij de ondersteuning van de diverse mobiele clients die er in omloop zijn.

Op 15 april werd op het MsExchange Team blog een nieuwe aanbeveling gepubliceerd: Schakel Kerberos authenticatie in voor clients. Eén van de redenen is omdat NTLM een bottleneck kan gaan vormen. Voor Exchange 2010 SP1 was Kerberos echter nog geen goede optie. In SP1 introduceerde Microsoft echter een functionaliteit waarmee het mogelijk werd om alternate service account (ASA) te gaan gebruiken. Deze account dient door alle CAS Servers in de Array gebruikt te worden en de correcte service principale names (SPN’s) te bevatten.

Om de configuratie hiervan te vereenvoudigen stelde Microsoft een script beschikbaar genaamd: RollAlternateServiceAccountPassword.ps1. Met dit script werd het mogelijk de ASA te configureren op alle CAS Array leden. Daarnaast bevatte het script de optie om een scheduled task aan te maken wat het wachtwoord voor de account aanpaste om de paar weken.

Naast de nieuwe aanbeveling strooide een .NET update roet in het eten. Door deze update te installeren op een Exchange 2010 Server met als OS Windows 2008 SP2 of Windows 2008 R2 RTM konden de volgende problemen zich voordoen:

• Exchange Management Shell does not start
• Exchange Management Console does not start
• There might be a crash in Exchange Mailbox Replication Service (it is not
  clear yet if this is related)
• Event Viewer might have trouble opening

Op 20 april bracht Microsoft uiteindelijk een update uit om het probleem te verhelpen.

mei

Op 16 mei werd bekend gemaakt dat er wijzigingen zouden worden doorgevoerd in de hardware virtualization support voor Exchange 2010. De wijzigingen waren alleen gelding voor Exchange 2010 SP1:

• The Unified Messaging server role is supported in a virtualized environment.
• Combining Exchange 2010 high availability solutions (database availability
  groups (DAGs)) with hypervisor-based clustering, high availability, or migration
  solutions that will move or automatically failover mailbox servers that are
  members of a DAG between clustered root servers, is now supported.

De volgende dag werd SP2 voor Exchange 2010 aangekondigt op TechEd Atlante door Kevin Allison.  SP2 zou naast de fixes aangevraagd door klanten een aantal nieuwe features bevatten:

• Outlook Web App (OWA) Mini
• Cross-Site Silent Redirection for Outlook Web App
• Hybrid Configuration Wizard
• Address Book Policies

Op TechEd in Atlanta werd aandacht geschonken aan een aantal van deze nieuwe features door Greg Taylor. SP2 zou in de tweede helft van 2011 beschikbaar zijn.

juni

Op 22 juni was het tijd voor Rollup 4. In eerste instantie leek er niet veel aan de hand te zijn. Echter op 13 juli publiceerde Microsoft een bericht met als titel Exchange 2010 SP1 RU4 Removed from Download Center.

Rollup 4 introduceerde een probleem met het verplaatsen en kopieeren van mappen. Er zouden submappen en zelfs inhoud van de mappen worden verwijderd. De items zouden vervolgens gerecoverd moeten worden uit de Recoverable Items folder.

Het duurde uiteindelijk een kleine 2 weken voordat op 27 juli Rollup4v2 werd vrijgegeven.

juli

Op 5 juli kondigde Microsoft de PST Capture tool aan. Met deze tool zou het mogelijk worden om het netwerk te doorzoeken op PST’s en deze te importeren in Exchange 2010. De tool zou later in 2011 beschikbaar moeten komen.

augustus

Op 23 augustus was het tijd voor Rollup 5. Natuurlijk werd hier wel wat voorzichter mee omgesprongen door diverse klanten. Dit omdat de vorige 2 Rollups niet echt de schoonheids prijs verdienden. Echter bleken er weinig grote issues te zitten in Rollup 5.

In maart lanceerde het Internet Explorer team de nieuwe versie van Internet Explorer, IE9. Binnen enkele dagen waren er al diverse berichten te lezen over IE 9 i.c.m. de Exchange Management Console (EMC). Wanneer geprobeerd werd de EMC af te sluiten verscheen de volgende foutmelding:

In augustus kwam het Exchange Team met een statement over het issue. Het Exchange Team zocht samen met het MMC en Internet Explorer Team naar een oplossing voor dit probleem. Uiteindelijk werd er een speciale hotfix beschikbaar gesteld waarmee het probleem opgelost kon worden. In december 2011 werd de hotfix verwerkt in een security update voor IE 9 (KB 2618444).

oktober

Rollup 6 is de laatste Rollup die is uitbracht voor Exchange 2010 SP1 in 2011. Deze Rollup werd beschikbaar gesteld door Microsoft op 27 oktober.

Op 11 oktober eindigde de support voor Exchange 2010 RTM. Vanaf deze datum werd er alleen nog ondersteuning gegeven op Exchange 2010 omgevingen voorzien van SP1.

In Exchange 2010 SP1 werd de /hosting parameter geïntroduceerd. Door Exchange met deze parameter te installeren was het mogelijk om een multi-tenant Exchange 2010 omgeving te bouwen. De oplossing die werd geboden bevatte een beperkte set aan functionaliteiten voor eindgebruikers en geen tools benodigd voor het automatiseren van het aanmaken van gebruiker e.d.

In oktober kondigde Microsoft aan de /hosting parameter niet meer verder te ontwikkelen. Bestaande hosting partijen die Exchange op deze manier hebben geïnstalleerd blijven echter wel ondersteund volgens de Exchange Support Cycle.

november

Op DevConnections, begin november, was er weer nieuws rond SP2. Kevin Allison maakte bekend dat SP2 eind november/begin december beschikbaar zou worden gesteld.

december

Uiteindelijk was het 12 december waarop Microsoft een bericht plaatste op het MsExchangeTeam blog dat als volgt begon:

I had previously mentioned that Exchange 2010 Service Pack 2 would be coming this year – and it’s here! I’m pleased to announce the availability of Exchange Server 2010 Service Pack 2 which is ready to download.

Gepost in Exchange 2010 ~ Geen Reactie

Eerder dit jaar verscheen er op de site van het Exchange Team een blog van Ross Smith IV. In dit blog werd aangeraden om Kerberos te gaan gebruiken als authenticatie methode voor Outlook clients.

In veel Exchange omgevingen zul je daarom ook vaak terugzien dat dit gehanteerd is. Wanneer je gebruik maakt van een CAS Array dien je hier een alternate service account (ASA) voor aan te maken. Dit laatste kan gedaan worden d.m.v. het script RollAlternateserviceAccountPassword.ps1. Houd er rekening mee dat als je de CreateScheduledTask parameter gebruikt deze scheduled task zal draaien onder de account waarmee de scheduled task is aangemaakt.

Na het registreren van de correcte SPN’s op de ASA account werkt Kerberos over het algemeen. In sommige gevallen wordt een typefout gemaakt waardoor de SPN’s niet correct geregistreerd zijn. Wanneer dit het probleem is kan dit eenvoudig met setspn of AdsiEdit worden aangepast.

Maar wat als Kerberos af en toe wel en af en toe niet werkt, of bij bepaalde gebruikers wel en andere niet? Wanneer het niet werkt heeft een gebruiker geen toegang tot zijn/haar mailbox.

De eenvoudigste methode om te controleren of Kerberos het probleem is is het aanpassen van het Outlook profiel.

 

Op de security tab van het account kan de waarde van Logon network security aangepast worden naar NTLM. Indien je dan weer toegang hebt tot je mailbox weet je dat het probleem zit in Kerberos.

Overigens zal er dan ook een event worden gelogt in het system event log. Omdat er standaard maar een beperkte set van logging aan staat op de Windows Servers zal je hier weinig terugvinden. Om logging in te schakelen dien je een aanpassing in het register:

• start regedit
• ga naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
• maak  een Dword aan LogLevel
• pas de waarde van het Dword aan naar 0×1

De logging is direct na het aanmaken van de register sleutel ingeschakeld en na een refresh zal je zien dat er aardig wat Kerberos meldingen voorbij schieten.

Een andere optie is om een netwerk trace te maken met behulp van bijvoorbeeld Wireshark of Netmon. In beide gevallen zul je de volgende melding voorbij zien komen:

KDC_ERR_BADOPTION: KDC cannot accommodate requested option

Wanneer je vervolgens op internet gaat zoeken zal je zien dat je niet de enige ben.  Maar laten we het bekijken vanaf het begin i.p.v. direct naar de oplossing te kijken.

Als eerst is het verstandig om met SetSPN -L “ASA account” te controleren of de correcte SPN’s zijn geregistreerd. Deze SPN’s zouden uniek moeten zijn. Echter heb ik gezien dat de service principal names van domain controllers ook twee SPN’s bevatten genaamd ExchangeAB gevolgd door de netbios en fqdn. Om te controleren of de SPN’s uniek zijn kun je SetSPN -Q “SPN WAARDE” uitvoeren, bijvoorbeeld SetSPN -Q ExchangeAB/*.

Zoals in bovenstaande screenshot is wordt de ExchangeAB vier keer gevonden. Twee keer op de Exchange server en twee keer op de DC.

Alles ziet er dus goed uit voor zover we nu kunnen zien. Maar wat kun je nog meer doen als je de betreffende melding hebt? Klist.exe of Kerbtray.exe hebben vaak weinig nut omdat het ticket vervolgens toch niet vernieuwd kan worden.

Na een tijdje onderzoeken samen met één van mijn klanten kwamen we achter het probleem.

Het blijkt dat Microsoft een aanpassing heeft gemaakt in de UDP pakket grote vanaf Windows 2003. In Windows XP was de UDP pakket grote ingesteld op 2000, vanaf 2003 is dit 1465 geworden. Waarschijnlijk raad je al wat er gaat gebeuren als Kerberos een pakket gaat verzenden. Kerberos verstuurd het pakket namelijk standaard over UDP. Dit heeft als gevolg dat pakketten incompleet aankomen bij servers met een Windows 2003 of hoger OS.

Maar hoe kan het dan dat het bij sommige gebruikers wel op treed en bij andere niet? Dit is afhankelijk van de grote van het Kerberos ticket. De grote hiervan wordt ondermeer bepaald door:

• lengte van het wachtwoord
• lidmaatschap van de groepen
• bevatte de groepen waarvan de gebruiker lid is nog andere groepen (nesting)

Om dit probleem op te lossen dien je een aanpassing te maken in het register:

• start regedit
• ga naar HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameters
• maak een Dword aan MaxPacketSize
• pas de waarde van het Dword aan naar 1

Door deze aanpassing zorgen we ervoor dat elk Kerberos pakketje groter dan 1K via TCP wordt verzonden.

Herstart daarna de computer en pas het Outlook profiel weer aan naar Negotiate Authentication. Controleer of je weer in je mailbox kan. Vervolgens kun je met klist.exe of kerbtray.exe controleren of de tickets goed worden uitgegeven. Beide tools zijn onderdeel van de resource kit voor Windows 2003. In Windows 7 en 2008 is klist.exe overigens standaard onderdeel van het OS.

In dit screenshot zijn slechts twee Kerberos tickets weergeven die gebruikt worden door Exchange. Als alle authenticatie correct via Kerberos verloopt heb je de volgende Kerberos tickets:

• exchangeMDB
• exchangeRFR
• exchangeAB
• http

Wanneer je nu kijkt in het event log van de client zal je ook geen Kerberos meldingen meer terug vinden.

Microsoft heeft overigens een compleet document beschikbaar wat je helpt bij het troubleshooten van Kerberos authenticatie problemen. Dit document is hier terug te vinden.

Gepost in Blog ~ Geen Reactie

In veel Exchange omgevingen zal je hardware load balancers tegenkomen die gebruikt worden om het verkeer te verdelen over de Client Access Servers (CAS) en Hub Transport Servers (HUB).

In dit artikel kijken we specifiek naar de Barracuda Load Balancer in een two-armed setup. In deze configuratie heeft de Barracuda twee aparte IP-adressen één voor de WAN interface en één voor de LAN interface.

System Configuratie

Dit is de eerste valkuil welke niet wordt beschreven in de whitepaper die gepubliceerd is door Barracuda voor Exchange 2010. In dit geval dient Exchange in een aparte VLAN/Subnet geplaatst te worden. Waarom? Wanneer je dit niet doet zullen er een aantal zaken niet werken:

• Servers/applicaties die connectie maken op basis van RPC kunnen geen connectie maken
• De Enable Client Impersonation optie kan niet gebruikt worden voor de volgende protocollen: SMTP/IMAP etc.

Dus als je bijvoorbeeld in je huidige bedrijfs netwerk twee VLAN’s hebt maak dan een additioneel VLAN aan voor Exchange. Optioneel kan de WAN interface van de load balancer ook in een apart VLAN geplaatst worden.

De tweede valkuil is de gateway. Eén van de vereisten van de two-armed configuratie van de load balancer is dat de netwerk configuratie wordt aangepast zodat al het verkeer naar een ander subnet verzonden moet worden naar de load balancer. Kortweg de load balancer moet geconfigureerd worden als gateway van de server(s).

In de meeste situaties zal dit geen groot probleem zijn maar in een co-existence fase met bijvoorbeeld Exchange 2003 kan dit voor problemen zorgen. Om dit probleem op te lossen moeten er tijdelijk static routes worden toegevoegd totdat Exchange 2003 is verwijderd. Doe je dit niet dan zal mail van Exchange 2003 naar 2010 niet kunnen worden verzonden.

Regels

Het configuratie stuk m.b.t. de regels wordt alleen beschreven voor RPC en HTTP(s) in de two-armed configuratie. Maar in sommige gevallen zullen ook SMTP, IMAP en in sommige gevallen zelfs POP3 in gebruik zijn. In alle gevallen is het misschien interessant om dit verkeer ook te load balancen.

Maar laten we eerst kijken naar HTTP omdat de parameters van deze regel nog extra gefinetuned kunnen worden. Zoals eerder besproken is de optie Enable Client Impersonation standard uitgeschakeld. Dit maakt het lastiger om te troubleshooten het client IP wordt in dit geval namelijk vervangen door het VIP van de Load Balancer. Door deze optie in te schakelen blijft het echte client IP bewaard en wordt dit ook in de IIS logging geschreven.

Zowel SMTP en IMAP kunnen gepubliceerd worden met als service type TCP Proxy. Door gebruik te maken van dit service type is de optie Enable Client Impersonation beschikbaar net als HTTP, wat is gepubliceerd als Layer 7 – HTTPS service type.

In de whitepaper wordt niet gesproken over de persistence time en session time-out. Beide waarden kunnen grote impact hebben en dienen correct geconfigureerd te worden. Een te hoog geconfigureerde waarde kan leiden tot een service die niet beschikbaar is.

Maar wat is de correcte configuratie? Er zijn meerdere opties. Laten we beginnen met de configuratie van de persistence time. Deze parameter kan gebruikt worden om de persistence time te configureren voor een connectie. Door gebruik te maken van deze parameter kan er voor gezorgd worden dat een client binnen de geconfigureerde tijd elke keer bij dezelfde server terecht komt. Wanneer de parameter met een te hoge waarde wordt geconfigureerd kan het volgende voorkomen. Een applicatie die gebruik maakt van SMTP voor het verzenden van berichten. De server waarvan de client gebruik maakt is niet meer beschikbaar. Omdat er een te hoge persistence time is geconfigureerd blijft de client echter continue connectie opzetten naar dezelfde server totdat de tijd is verlopen. Dit leidt tot berichten die niet verzonden kunnen worden door de applicatie server.

Om dit te voorkomen dient de persistence time op 0 of met een lage waarde (bijvoorbeeld 5 seconde) geconfigureerd te worden. De eerste is de aangeraden methode.

De tweede parameter session time-out, wordt gebruikt om te bepalen hoelang een connectie opengehouden mag worden. In de meeste gevallen is een lage waarde, of zelfs 0, de beste keuze. Dit omdat zolang er verkeer wordt verzonden over de connectie de verbinding niet verbroken zal worden.

Aan het einde van dit artikel is een compleet overzicht te zien van de regels met de betreffende instellingen voor Exchange.

SSL Offloading

Eén van de voordelen van een load balancer is dat deze gebruikt kan worden voor SSL Offloading. Met deze methode worden de encrypte en decryptie taken uitgevoerd op de load balancer i.p.v. op de Client Access Servers. Dit heeft als voordeel dat het CPU intensieve proces niet meer gebruikt hoeft te worden voor deze taak.

De SSL Offloading configuratie kan verdeeld worden in drie delen:

• Importeren van het certificaat
• Configureren van de regels
• Exchange configureren

Importeren van het certificaat

Het importeren van het certificaat op de load balancer is redelijk recht eenvoudig. Voordat je begint met deze stappen dien je ervoor te zorgen dat je een copy van het certificaat hebt inclusief de private key en eventuele intermediate certificaten.

Als dit verzameld is is het tijd om het certificaat te installeren op de load balancer. Ga hiervoor naar de certificate pagina. Vul de volgende gegevens in op deze pagina:

• Name: een naam om het certificaat eenvoudig te herkennen
• Password: het wachtwoord waarmee het certificaat is beveiligd
• Signed certificate: de lokatie van het PFX bestand

Druk vervolgens op Upload om het certificaat op te slaan op de load balancer.

Configure the rules

SSL Offloading kan alleen uitgevoerd worden op de regel die gebruikt word tom de web services te load balancen, bijvoorbeeld Outlook Web App, Exchange Control Panel, Autodiscover, Exchange Web Services and the Offline Address Book (optioneel).

Pas de regel aan die gemaakt is voor het publiceren van de web services in de sectie SSL Offloading.

De load balancer kant is nu geconfigureerd voor SSL offloading. Op naar het laatste deel de Exchange configuratie.

Exchange configuration

Het Exchange configuratie deel is goed uitlegt op de volgende Wiki pagina:

Exchange Wiki Load Balancing

Omdat het hier al goed staat beschreven bespreken we deze stappen niet. Het is echter wel aangeraden om het onderstaande script te gebruiken wat terug is te vinden op de Wiki pagina:

Set-OutlookAnywhere –Identity “$($env:COMPUTERNAME)\RPC (Default Web Site)” -SSLOffloading $true

New-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA’ -Name SSLOffloaded -Waarde 1 -PropertyType DWORD

Import-Module webadministration
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Waarde “None” -PSPath IIS:\ -Location “Default Web Site/OWA”

Set-WebConfigurationProperty -Filter //security/access -name sslflags -Waarde “None” -PSPath IIS:\ -Location “Default Web Site/ECP”

Set-WebConfigurationProperty -Filter //security/access -name sslflags -Waarde “None” -PSPath IIS:\ -Location “Default Web Site/OAB”

Set-WebConfigurationProperty -Filter //security/access -name sslflags -Waarde “None” -PSPath IIS:\ -Location “Default Web Site/EWS”

Set-WebConfigurationProperty -Filter //security/access -name sslflags -Waarde “None” -PSPath IIS:\ -Location “Default Web Site/Microsoft-Server-ActiveSync”

Set-WebConfigurationProperty -Filter //security/access -name sslflags -Waarde “None” -PSPath IIS:\ -Location “Default Web Site/Autodiscover”

iisreset /noforce

(source: http://social.technet.microsoft.com/wiki/contents/articles/how-to-configure-ssl-offloading-in-exchange-2010.aspx)

Testen of alles werkt

De meest belangrijke stap van alles is het testen van de nieuwe configuratie om te kijken of alles werkt. Maar hoe kun je alle services testen?

Er zijn meerdere manieren om de services te testen. Al deze testen kunnen uitgevoerd worden vanaf een client zonder de Exchange Management Tools te installeren.

Outlook gebruiken

De makkelijkste manier is door Outlook te gebruiken. Voer de volgende taken uit om te kijken of Outlook nog correct functioneert:

• Controleer of je nog toegang hebt tot je mailbox en de public folders
• Forceer een complete download van het adressenboek
• Controleer of out-of-office nog ingeschakeld/uitgeschakeld kan worden
• Controleer of je de free/busy informatie nogsteeds kan zien
• Gebruik de Test E-mail Autoconfiguration om te bevestigen dat autodiscover nog correct werkt

De enige twee dingen die je niet kan testen zijn Outlook are Outlook Web App (OWA)en het Exchange Control Panel (ECP) wanneer Outlook 2007 wordt gebruikt. Wanneer Outlook 2010 in gebruik is kan het ECP wel getest worden door bijvoorbeeld de message tracking optie uit te testen.

Internet Explorer gebruiken

De tweede method, welke niet te vergelijken is met Outlook, is door Internet Explorer te gebruiken. Door gebruik te maken van Internet Explorer kunnen alleen de web services getest worden die geleverd worden door Exchange:

• Autodiscover: https://autodiscover.domain.com/autodiscover/autodiscover.xml
  Dit zal de volgende melding geven Invalid Request 600 error
• Exchange Web Services: https://mail.domain.com/EWS/Exchange.asmx
  Er zal een XML output worden weergeven met diverse settings
• Offline Address Book: https://mail.domain.com/OAB/guid/oab.xml
  Zal een XML output geven met referenties naar de OAB bestanden
• Outlook Web App: https://owa.domain.com/owa
  Zal de login pagina van OWA tonen
• Exchange Control Panel: https://owa.domain.com/ecp
• Zal de login pagina van ECP tonen

Exchange Management Shell gebruiken

Als laatste methode de Exchange Management Shell. Hierbij dient één opmerking geplaatst te worden. De test cmdlet’s werken niet meer op de Exchange servers zelf. Dit omdat het verkeer niet wordt geaccepteerd van een loop die ontstaat.

Dus om deze tests uit te voeren dienen de Exchange Management Tools geïnstalleerd te worden op de client.

De volgende cmdlet’s kunnen gebruikt worden:

• Autodiscover: Test-OutlookWebServices
• Exchange Web Services: Test-WebServicesConnectivity
• Exchange Control Panel connectivity: Test-EcpConnectivity
• Outlook Web Apps: Test-OwaConnectivity
• Test RPC connection: Test-OutlookConnectivity

Hier eindigt het artikel waarin besproken wordt hoe de Barracuda Load Balancer te gebruiken in combinatie met Exchange 2010. Zoals eerder beloofd de regels die je moeten configureren op de load balancer:

RPC

Service name	Parameter	Waarde
Outlook	Port	All
	Protocol	TCP
	Service Type	Layer 4
	Auto-Recover	Yes
	Action	Default failure response
	Default Scheduling Policy	Weighted Round Robin
	Adaptive Scheduling	None
	Testing Method	ICMP Ping
	Test Delay	30
	Persistence Time	1200
	Persistence Netmask	255.255.255.255
	Enable Notification	No
	Minimum Real Servers	0
	Enabled IPS	No

 

Real Server	Parameter	Waarde
IP-Address of server	Name	servername
	Weight	100
	Status	Enabled
	Direct Server Return	Disable

Web Services

Service name	Parameter	Value
Exchange Web Services	Port	443
	Protocol	TCP
	Service Type	Layer 7 – HTTPS
	Auto-Recover	Yes
	Action	Default failure response
	Default Scheduling Policy	Weighted Round Robin
	Adaptive Scheduling	None
	Testing Method	Simple-HTTP
	Test Delay	30
	Persistence Time	1200
	Persistence Type	HTTP Header
	Header Name	Authorization
	Enable HTTPS/SSL	Yes
	SSL Certificate	Your ssl certificate
	Enable Notification	No
	Minimum Real Servers	0
	Enable IPS	No
	Enable Client Impersonation	Yes
	Session Timeout	0

Real Server	Parameter	Value
IP-Address of server	Name	servername
	Port	80
	Weight	100
	Status	Enabled
	Direct Server Return	Disable
	Enable HTTPS/SSL	No
	Validate Certificate	Yes
	Testing Method	Simple HTTP
	Port	80
	Test Target	/owa/auth/logon.aspx
	Test Match	2600 Microsoft Corporation
	Additional Headers	User-Agent: Barracuda Load Balancer Server Monitor
	Status Code	200
	Test Delay	30

SMTP

Service name	Parameter	Value
SMTP	Port	25
	Protocol	TCP
	Service Type	TCP Proxy
	Auto-Recover	Yes
	Action	Default failure response
	Default Scheduling Policy	Weighted Round Robin
	Adaptive Scheduling	None
	Testing Method	ICMP Ping
	Test Delay	30
	Persistence Time	0
	Persistence Type	None
	Persistence Mask	255.255.255.255
	Enable HTTPS/SSL	No
	SSL Certificate	Your ssl certificate
	Enable Notification	No
	Minimum Real Servers	0
	Enable IPS	No
	Enable Client Impersonation	Yes
	Session Timeout	5

Real Server	Parameter	Value
IP-Address of server	Name	servername
	Port	25
	Weight	100
	Status	Enabled
	Direct Server Return	Disable
	Enable HTTPS/SSL	No
	Validate Certificate	Yes
	Testing Method	Use Service Test Method
	Test Delay	30

IMAP

Service name	Parameter	Value
Web Services	Port	143
	Protocol	TCP
	Service Type	TCP Proxy
	Auto-Recover	Yes
	Action	Default failure response
	Default Scheduling Policy	Weighted Round Robin
	Adaptive Scheduling	None
	Testing Method	TCP Port Check
	Test Delay	30
	Persistence Time	0
	Persistence Type	None
	Persistence Mask	255.255.255.255
	Enable HTTPS/SSL	No
	SSL Certificate	Your ssl certificate
	Enable Notification	No
	Minimum Real Servers	0
	Enable IPS	No
	Enable Client Impersonation	Yes
	Session Timeout	60

Real Server	Parameter	Value
IP-Address of server	Name	servername
	Port	143
	Weight	100
	Status	Enabled
	Direct Server Return	Disable
	Enable HTTPS/SSL	No
	Validate Certificate	Yes
	Testing Method	Use Service Test Method
	Test Delay	30

POP3

Service name	Parameter	Value
Web Services	Port	110
	Protocol	TCP
	Service Type	TCP Proxy
	Auto-Recover	Yes
	Action	Default failure response
	Default Scheduling Policy	Weighted Round Robin
	Adaptive Scheduling	None
	Testing Method	TCP Port Check
	Test Delay	30
	Persistence Time	0
	Persistence Type	None
	Persistence Mask	255.255.255.255
	Enable HTTPS/SSL	No
	SSL Certificate	Your ssl certificate
	Enable Notification	No
	Minimum Real Servers	0
	Enable IPS	No
	Enable Client Impersonation	Yes
	Session Timeout	60

Real Server	Parameter	Value
IP-Address of server	Name	servername
	Port	110
	Weight	100
	Status	Enabled
	Direct Server Return	Disable
	Enable HTTPS/SSL	Yes
	Validate Certificate	Yes
	Testing Method	Use Service Test Method
	Test Delay	30

Speciale dank aan GianPaolo Corona voor de screenshots en de assistentie om deze configuratie aan de praat te krijgen.

Wanneer je nog een configuratie toevoeging/verbetering hebt neem dan even contact met me op.

Gepost in Exchange 2010 ~ 4 Reacties

Microsoft heeft vandaag Rollup 6 voor Exchange Server 2010 SP1 vrij gegeven. Met deze rollup worden de volgende issue opgelost:

• 2431609 (http://support.microsoft.com/kb/2431609/ ) Er is een update beschikbaar die het bericht van een bewaarbeleid in OWA updates voor Exchange Server 2010
• 2449266 (http://support.microsoft.com/kb/2449266/ ) EWS daalt de TCP-verbinding de clienttoepassing EWS zonder dat een foutbericht wordt weergegeven in een omgeving met Microsoft Exchange Server 2010
• 2480474 (http://support.microsoft.com/kb/2480474/ ) Een gebruikers ontvangen geen waarschuwingsberichten quota na het toepassen van SP1 voor Exchange 2010
• 2514820 (http://support.microsoft.com/kb/2514820/ ) Een binnenkomend faxbericht is niet bezorgd bij de geadresseerde in een omgeving met Exchange Server 2010 SP1
• 2521927 (http://support.microsoft.com/kb/2521927/ ) De functie Integratie met Exchange ActiveSync uitschakelen voor OWA doorgevoerd niet in de premie van OWA-clients in een omgeving met Exchange Server 2010
• 2528854 (http://support.microsoft.com/kb/2528854/ ) De Microsoft Exchange Mailbox Replication-service vastloopt op een computer waarop Exchange Server 2010 SP1 is geïnstalleerd
• 2535289 (http://support.microsoft.com/kb/2535289/ ) De service Microsoft Exchange Information Store crashes soms wanneer u een antivirusprogramma op een server met Exchange Server-postbus 2010 uitvoert
• 2536313 (http://support.microsoft.com/kb/2536313/ ) Aflevering van langzame en toegang tot de postbus voor logboekregistratie in postvakken op een server met Exchange Server 2010
• 2544246 (http://support.microsoft.com/kb/2544246/ ) Ontvangt u een NRN van een vergaderverzoek later 120 dagen nadat de geadresseerde het verzoek in een omgeving met Exchange Server 2010 SP1 geaccepteerd
• 2548246 (http://support.microsoft.com/kb/2548246/ ) De service Microsoft Exchange Information Store crashes af en toe wanneer de weergave van een map op een Exchange Server 2010 mailbox server is beschadigd
• 2549183 (http://support.microsoft.com/kb/2549183/ ) ‘Er zijn geen objecten selecteren’ verschijnt wanneer u een server in een omgeving met Exchange Server 2010 SP1 verbinding opgeven via de EMC
• 2549289 (http://support.microsoft.com/kb/2549289/ ) Een gevolmachtigde RBAC-rol kan onverwacht uitvoeren de opdracht Add-MailboxPermission of de opdracht Remove-MailboxPermission op een server met Exchange Server 2010 die valt buiten het bereik van de toewijzing rol
• 2555851 (http://support.microsoft.com/kb/2555851/ ) Een postbus niet wordt weergegeven in bepaalde adreslijsten na het uitvoeren van opdrachten op het postvak in een omgeving met Exchange Server 2010 SP1
• 2559814 (http://support.microsoft.com/kb/2559814/ ) Een gebruiker kan toevoegen of verwijderen van gemachtigden vanuit een postbus via Outlook in een omgeving met Exchange Server 2010
• 2561514 (http://support.microsoft.com/kb/2561514/ ) Exchange Server 2003-gebruikers weergeven de vrije/bezette tijden van een gebruiker niet in een andere organisatie in de federatieve
• 2563860 (http://support.microsoft.com/kb/2563860/ ) U kunt een nieuwe mailbox database maken als er al 1000 postbus databases in een omgeving met Exchange Server 2010
• 2567409 (http://support.microsoft.com/kb/2567409/ ) Bepaalde berichten vrije/bezette tijden worden niet gerepliceerd van een server met Exchange Server 2010 naar een server met Exchange Server 2003
• 2571791 (http://support.microsoft.com/kb/2571791/ ) Bewaarbeleid worden toegepast op Contactpersonen-items onverwacht in een omgeving met Exchange Server 2010
• 2572052 (http://support.microsoft.com/kb/2572052/ ) Bepaalde eigenschappen van een terugkerende vergaderverzoek uit externe e-mailaccounts ontbreken in een omgeving met Exchange Server 2010 SP1
• 2575005 (http://support.microsoft.com/kb/2575005/ ) De EMC- of de EMS kan niet worden gestart in een omgeving met Exchange Server 2010 Service Pack 1
• 2578631 (http://support.microsoft.com/kb/2578631/ ) Sommige gebruikers kunnen geen e-mailberichten verzenden naar een e-mailadres openbare map in een omgeving met Exchange Server 2010
• 2579172 (http://support.microsoft.com/kb/2579172/ ) Items die zijn verwijderd of verplaatst nog steeds weergegeven in de oorspronkelijke map wanneer u Office Outlook in de online modus gebruikt voor toegang tot een postbus van Exchange Server 2010
• 2579671 (http://support.microsoft.com/kb/2579671/ ) Geen resultaten worden geretourneerd wanneer u de methode ExpandGroup in de EWS voor een lijst van leden van een dynamische distributiegroep in een omgeving met Exchange Server 2010
• 2582095 (http://support.microsoft.com/kb/2582095/ ) De eigenschap SmtpMaxMessagesPerConnection van een verbindingslijn verzenden wordt niet gerepliceerd naar de geplaatste Edge Transport server in een omgeving met Exchange Server 2010
• 2600835 (http://support.microsoft.com/kb/2600835/ ) De service RPC Client Access loopt vast wanneer u een bijlage van een item met Outlook in de on line modus in een omgeving met Exchange Server 2010 SP1 verwijderen
• 2601701 (http://support.microsoft.com/kb/2601701/ ) Het geheugengebruik van het proces MSExchangeRepl.exe blijft verhogen wanneer u een VSS-back-up op Exchange Server 2010-databases
• 2616127 (http://support.microsoft.com/kb/2616127/ ) foutcode ’0×80041606′ wanneer u Outlook in de online modus gebruikt om te zoeken naar een trefwoord tegen een postvak in een omgeving met Exchange Server 2010
• 2617126 (http://support.microsoft.com/kb/2617126/ ) Het proces Store.exe vastloopt bij het verzenden van een e-mailbericht met bijlagen in een omgeving met Exchange Server 2010 SP1
• 2627769 (http://support.microsoft.com/kb/2627769/ ) Sommige tijdzones in OWA worden niet gesynchroniseerd met Windows in een omgeving met Exchange Server 2010

De rollup is te downloaden via onderstaande site:

Update Rollup 6 for Exchange Server 2010 SP1 open

Gepost in Exchange 2010 ~ Geen Reactie

Zoals je misschien wel weet heeft Exchange standaard één Offline Address Book (OAB) en een Global Address List (GAL). De GAL bevat alle objecten waar Exchange attributen op zijn geconfigureerd. Bijvoorbeeld groepen, gebruikersobjecten en contactpersonen.

De OAB wordt eenmaal per dag gegenereerd op de generation server. Binnen een Exchange omgeving is er namelijk één server die verantwoordelijk is voor het bouwen van het OAB. Dit is altijd een server waarop de Mailbox Role geïnstalleerd is.

Om erachter te komen welke server dit is kun je twee methodes hanteren:

Exchange Management Console (EMC)

• Open Organization Management
• Selecteer het Mailbox object
• Selecteer de tab Offline Address Book

Exchange Management Shell (EMS)

• voer het cmdlet get-offlineaddressbook | select name,server

Op deze server zal je in de Exchange directory de volgende directory vinden ExchangeOAB. In deze directory is wederom een directory aanwezig. Deze heeft als naam de GUID van het OAB. Er zijn een aantal bestanden in deze directory aanwezig:

• lzx, de adressenboek bestanden
• oab.xml,  de index met waar de adressenboek bestanden te vinden zijn. Zonder het oab.xml bestand weet een client niet waar de adressenboeken te vinden zijn en welke gedownload moeten worden.

Het OAB kan via twee manieren gedistribueerd worden:

• Public Folders
• Web

Tussen de Public Folders onderling wordt dit weer gerepliceerd indien er additionele replica’s geconfigureerd zijn. Maar hoe gaat dit exact in zijn werking naar de verschillende Client Access Servers (CAS)?

Om het OAB naar de geconfigureerde CAS Servers te distribueren wordt gebruik gemaakt van de File Distribution service. Deze service draait op de CAS Server en controleerd elke 8 uur of er een nieuwe OAB beschikbaar is.

In sommige gevallen kan dit dus als gevolg hebben dat gebruikers die Outlook in Online Mode of Outlook Web App gebruiken nieuwe gebruikers eerder zien. Dit kan in sommige gevallen natuurlijk best lastig zijn.

Om  deze tijd aan te passen kun je via de EMS de pollinterval aanpassen. Dit kun je doen door gebruik te maken van het -Set-OabVirtualDirectory cmdlet:

Set-OabVirtualDirectory -identity “servernaam\OAB (Default Web Site)” -pollinterval 120

Met bovenstaand voorbeeld configureren we dat de CAS Servers elke twee uur kijken of er een update is. Feit blijft natuurlijk wel dat de GAL maar één keer per 24 uur wordt gegenereerd. Wil je dus een object updaten hanteer dan de volgende stappen:

• update het object
• wacht AD replicatie af
• voer het volgende cmdlet uit Update-GlobalAddressList “Default Global Address List”
• voer het volgende cmdlet uit Update-OfflineAddressBook “servernaam\OAB (Default Web Site)”
• voer het volgende cmdlet uit Update-FuleDistributionService

Voer je bovenstaande handelingen liever niet uit gebruik dan het cmdlet Update-FileDistributionService. Hiermee kun je CAS Servers de opdracht geven om te controleren of er een update beschikbaar is van de OAB.

Als er toch nog problemen optreden dan zal je met logging aan de slag moeten. Deze logging dient ingeschakeld te worden op de CAS Servers die het adressenboek distribueren:

Set-EventLog -Identity “MsExchangeFDS\General -Level Expert
Set-EventLog -Identity “MsExchangeFDS\FileReplication -Level Expert

Forceer vervolgens de File Replication service om te controleren of er een update is:

Update-FileDistributionService -identity servernaam

In de application event log zal je na enkele minuten het resultaat zien van het uitvoeren van de opdracht.

In bovenstaande afbeelding is te zien dat de data synchronisatie taak is gestart. In dit geval is de Web distibutie net aangezet waardoor er nog geen kopie van de OAB op de CAS Server aanwezig is.

Als het OAB eenmaal succesvol is gesynchroniseerd zal bovenstaande melding in het event log worden weergeven. Wanneer je nu naar de directory X:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\OAB zal gaan zie je hier de directory met daarin de oab.xml en adressenboek bestanden.

Vergeet na het troubleshooten het logging niveau weer naar beneden te zetten:

Set-EventLog -Identity “MsExchangeFDS\General -Level Lowest
Set-EventLog -Identity “MsExchangeFDS\FileReplication -Level Lowest

Tot zover de blog over de OAB en hoe deze gedistribueerd wordt naar de CAS Servers. Wil je meer informatie hebben over de specifieke cmdlet’s neem dan eens een kijkje op onderstaande sites:

Technet: Update-FileDistributionService open
Technet: Update-GlobalAddresslist: open
Technet: Update-OfflineAddressBook: open

Gepost in Exchange 2010 ~ Geen Reactie