Exchange

All posts tagged Exchange

Voicemails worden niet afgeleverd in de inbox

Posted by Johan Veldhuis on 10-09-2012
Posted in: Exchange 2010. Tagged: , , . Leave a Comment

Zoals je misschien wel weet beschikt Exchange 2010 over een mogelijkheid om voice mails af te leveren in de mailbox van een gebruiker. Er wordt hierbij gebruik gemaakt van het SMTP protocol om berichten via de HUB server af te leveren in de mailbox server.

Indien je meerdere receive connectors hebt kun je, indien deze verkeerd zijn geconfigureerd, tegen problemen aanlopen zoals onderstaande melding:

The Unified Messaging server encountered an error while trying to process the message with header file “C:\Program Files\Microsoft\Exchange Server\V14\UnifiedMessaging\voicemail\bee89072-35bb-4e28-8f7d-733029404602.txt”. Error details: “Microsoft.Exchange.UM.UMCore.SmtpSubmissionException: Submission to the Hub Transport server failed. The operation will be retried. —> Microsoft.Exchange.Net.ExSmtpClient.UnexpectedSmtpServerResponseException: Unexpected SMTP server response. Expected: 220, actual: 500, whole response: 500 5.3.3 Unrecognized command

Zoals je ziet in bovenstaande melding treed er een error 500 5.3.3 op wanneer wordt geprobeerd het bericht af te leveren bij de HUB Transport server. Standaard zal de UM server het certificaat gebruiken om zich te authenticeren. Hierbij is het van belang dat de Exchange Server authenticatie optie aanstaat op de receive connector. Standaard zal dit de client servernaam zijn, bijvoorbeeld Client EX003. Deze connector accepteert standaard alle connecties van verbindingen die geauthenticeerd zijn.

Wanneer je een receive connector aanmaakt, bijvoorbeeld een relay voor applicaties, dien je deze te beschermen door de specifieke IP adressen of IP reeksen op te geven. Dit laatste is kan natuurlijk leiden tot vreemde situaties. Stel dat de UM server IP adres 192.168.1.25 heeft en de reeks 192.168.1.1/24 wordt toegevoegd aan de relay connector. Dan zal dit als gevolg hebben dat de server zich niet meer kan authenticeren met het certificaat wat kan leiden tot de error 500 5.3.3. De UM server gaat er namelijk vanuit dat hij zichzelf moet authenticeren met het certificaat.

Indien je toch gebruik wil maken van hele reeksen in de relay connector is er één oplossing: configureer een aparte connector met het UM server IP adres en de correcte authenticatie methode.

Dit zal als gevolg hebben dat de UM server deze connector gebruikt in plaats van de relay connector. Voor receive connectors geld namelijk dat de meest restrictieve connector zal worden gebruikt.

ActiveSync werkt niet bij bepaalde devices

Posted by Johan Veldhuis on 17-05-2011
Posted in: Exchange 2010. Tagged: , . Leave a Comment

Onlangs heeft Microsoft het Exchange ActiveSync Logo programma aangekondigd. Middels dit programma wil Microsoft devices gaan testen op de compatibiliteit met ActiveSync.

Eén van de redenen hiervoor zijn de problemen die er vaak zijn met devices i.c.m. ActiveSync. Als beheerder/consultant is dit vaak lastig uit te leggen aan een eindgebruiker of klant.

Op dit moment zijn de volgende toestellen gecertificeerd:

  • Windows Phone 7
  • Windows Phone 6.5
  • Nokia’s met Mail for Exchange 3.0.50
  • Nokia E7
  • Apple devices met iOS 4

Wanneer een toestel hieraan niet voldoet kan dit tot problemen leiden. Eén van de dingen waar je tegenaan kunt lopen is dat het toestel compleet niet meer synchroniseerd. Dit kan bijvoorbeeld voorkomen wanneer een mailbox wordt verhuisd naar Exchange 2010 vanaf een Exchange 2003 omgeving. Dit laatste voorbeeld heb ik zelf ondervonden met Nokia devices.

Om dit probleem te onderzoeken kun je gebruik maken van de IIS logs. In het geval van de Nokia toestellen was in de logs het volgende terug te vinden:

2011-05-06 11:29:50 192.168.1.41 OPTIONS /Microsoft-Server-ActiveSync/default.eas User=XXXXXX&DeviceId=IMEIXXXXXXXXXXX&DeviceType=NokiaEmail&Log=V0_LdapC9_LdapL16_Mbx:
MB.DOMAIN.LOCAL_Dc:DC.DOMAIN.LOCAL_Throttle0_Budget:(A)Conn%3a0%2cHangingConn%3a0%2cAD%3a%24null%2f%24null%2f0%25%2cCAS%3a%24null%2f%24null%2f0%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f0%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F3006a3a1-0211-447a-99f5-6c0ab8e33c84%2cNorm_ 443 DOMAIN\Username 192.168.100.201 NokiaE721/2.02(0)MailforExchange+3gpp-gba 200 0 0 140

2011-05-06 11:30:11 192.168.1.41 POST /Microsoft-Server-ActiveSync/default.eas User=Username&DeviceId=IMEIXXXXXXXX&DeviceType=NokiaEmail&Cmd=Settings&Log=
V121_Ssnf:T_LdapC4_LdapL16_RpcC45_RpcL125_Ers1_Cpo19781_Fet19999_Pk0_Error:
DeviceNotProvisioned_As:BlockedP_Mbx:MB.DOMAIN.LOCAL_Dc:DC.DOMAIN.LOCAL_Throttle0_Budget:(D)Conn%3a1%2cHangingConn%3a0%2cAD%3a%24null%2f%24null%2f1%25%2cCAS%3a%24null%2f%24null%2f1%25%2cAB%3a%24null%2f%24null%2f0%25%2cRPC%3a%24null%2f%24null%2f1%25%2cFC%3a1000%2f0%2cPolicy%3aDefaultThrottlingPolicy%5F3006a3a1-0211-447a-99f5-6c0ab8e33c84%2cNorm%5bResources%3a(Mdb)MBDB01(Health%3a-1%25%2cHistLoad%3a0)%2c(DC.LOCAL(Health%3a-1%25%2cHistLoad%3a0)%2c(DC)DOMAIN.LOCAL(Health%3a-1%25%2cHistLoad%3a0)%2c%5d_ 443 DOMAIN\Username192.168.100.201 NokiaE721/2.02(0)MailforExchange+3gpp-gba 449 0 0 19999

Dit zijn de twee regels waar het om gaat in de logging. In de eerste regel zien we dat het gebruiker zich authentiseert en de webserver hierop ook antwoord met 200. In de volgende stap zien we echter dat het één en ander niet goed gaat met het provisionen van het toestel. Wanneer je gaat zoeken op internet zul je zien dat niet alleen Nokia devices hier problemen mee hebben maar ook de devices met Android als OS. Het probleem wordt veroorzaakt door de ActiveSync policy waarmee deze toestellen niet overweg kunnen. Middels deze policy kunnen beheerders o.a. beveiligings gerelateerde instellingen toepassen op devices.

Wanneer een gebruiker inlogt via het Exchange Control Panel en naar de pagina Phones gaat zal het toestel wel zichtbaar zijn. Vraagt men echter de eigenschappen op dan zal o.a. volgende zichtbaar zijn:

Access state: 
Access Denied
Access set by:  Security Policy Application

In sommige gevallen kan dit tot vervelende gevolgen leiden. Vaak zijn gebruikers niet echt blij als hun synchronisatie niet meer werkt, ook al zijn hier goede redenen voor.

Omdat het lastig is te controleren of alle apparaten wel de laatste software gebruiken kan het in sommige gevallen raadzaam zijn om een workaround te implementeren. Deze workaround is natuurlijk maar tijdelijk benodigd totdat alle devices zijn geupgrade naar de vereiste versie.

De workaround om dit probleem tijdens een migratie te voorkomen is het tijdelijk uitschakelen van de defaultActiveSync policy van Exchange 2010. Standaard staat deze policy als default ingesteld wat als gevolg heeft dat iedere gebruiker deze policy krijgt toegewezen.

Om deze policy tijdelijk niet toe te passen op een gebruiker dien je de default ActiveSync policy aan te passen. Dit dient gedaan te worden door gebruik te maken van de Exchange Management Shell (EMS):

Set-ActiveSyncMailboxPolicy -Identity:Default -IsDefaultPolicy:$false

Wanneer het device nu wordt ingesteld zul je zien dat synchronisatie weer correct werkt. Omdat dit een niet wenselijke situatie creëert is het verstandig om daarna het daadwerkelijke probleem aan te pakken.

Naast het up-to-date zijn van de client die gebruikt wordt om te synchroniseren met Exchange is het van belang ervoor te zorgen dat de firmware van het toestel ook up-to-date is. In het geval van de Nokia toestellen werkt ActiveSync namelijk nog steeds niet na de upgrade van Mail-for-Exchange naar versie 3.0.50.

Wanneer alle toestellen ge-upgrade zijn is het sterk aan te raden de default ActiveSync policy weer te activeren:

Set-ActiveSyncMailboxPolicy -Identity:Default -IsDefaultPolicy:$true

Voor meer informatie over ActiveSync policies kun je terecht op de volgende pagina:

Technet: Understanding Exchange ActiveSync Mailbox Policies open

Een agenda van een andere gebruiker openen via OWA

Posted by Johan Veldhuis on 26-04-2010
Posted in: Exchange. Tagged: , . 2 comments

Een agenda van een andere gebruiker openen in Outlook is niet zo’n hele grote uitdaging, wanneer je voldoende rechten hebt kun je bij de agenda van de gebruiker. Maar wat nu als je dit via OWA wil doen? Voor de verschillende Exchange versies gelden verschillende manieren, laten we beginnen met Exchange 2003:

http://ex01.company.om/exchange/johan/calender

Waar in dit geval johan de variabele is en vervangen dient te worden door de gebruikersnaam van de persoon wiens agenda je probeert te openen.

Voor Exchange 2007 en Exchange 2010 geldt echter iets anders, dit heeft te maken omdat zowel Exchange 2007 als 2010 gebruik maken van web-parts om de verschillende OWA onderdelen op te bouwen. Natuurlijk heeft OWA de mogelijkheid om een andere gebruiker zijn/haar mailbox en vervolgens de agenda te openen maar hier heb je full mailbox access voor nodig, iets wat niet altijd wenselijk is. Om direct de agenda te openen van een gebruiker dien je onderstaande syntax te gebruiken:

https://owa.company.com/owa/johan@domain.com/?cmd=contents&module=calendar

Zoals je ziet is alleen het laatste deel veranderd johan@domain.com/?cmd=contents&module=calendar. Naast deze manier zijn er nog diverse andere mogelijkheden in Exchange 2007 en 2010 om een agenda weer te geven, onderstaand een opsomming:

https://owa.domain.com/owa/johan@domain.com/?cmd=contents&f=calendar&view=dialy

of

https://owa.domain.com/owa/johan@domain.com/?cmd=contents&module=calendar&view=dialy

Het bovenstaande command opent de agenda, dit wordt gedaan middels de f parameter welke het mogelijk maakt een map te openen welke zich in de mailbox van de gebruiker bevindt.  Zoals Michel in zijn comment aangeeft is het ook mogelijk om i.p.v. de f parameter de module parameter te gebruiken. Vervolgens geven we met de view parameter aan hoe de agenda moet worden weergeven, in dit geval dialy. Wanneer deze laatste parameter niet wordt opgegeven zal dit tevens de standaard optie zijn.

https://owa.domain.com/owa/johan@domain.com/?cmd=contents&f=calendar&view=weekly

Dit commando doet exact hetzelfde alleen opent deze de agenda met de weekly view.

https://owa.domain.com/owa/johan@domain.com/?cmd=contents&f=calendar&view=monthly

En als laatste de monthly view, tenminste dat zou je denken we hebben nog een mogelijkheid:

https://owa.domain.com/owa/johan@domain.com/?cmd=content&f=calendar&view=daily&d=10&m=26&y=2010

Bovenstaande commando opent de agenda en zal hierbij gelijk naar 26 oktober 2010 gaan.

Microsoft geeft security updates voor Exchange vrij

Posted by Johan Veldhuis on 14-04-2010
Posted in: Exchange. Tagged: , . Leave a Comment

Microsoft heeft voor zowel Exchange 2000 SP3, Exchange 2003 SP2, Exchange 2007 SP1 en SP2 als Exchange 2010 een security update vrij gegeven. Voor Exchange 2007 en 2010 is deze patch uitgebracht als onderdeel van een rollup. Hiermee bereiken we rollup 10 voor Exchange 2007 SP1, rollup  4 voor Exchange 2007 SP2 en rollup 3 voor Exchange 2010.

Alle updates bevatten een security fix voor een vulnerability die is ontdekt in de Windows SMTP service waardoor het mogelijk is een DOS attack uit te voeren.

Onderstaand de links waar je de patches kunt vinden en een link naar het security bulletin welke de vulnerability beschrijft.

Exchange 2000 SP3: open
Exchange 2003 SP2: open
Exchange 2007 SP1: open
Exchange 2007 SP2: open
Exchange 2010: open
Microsoft Security Bulletin MS10-024: open

Waarom het gebruik van PST, OST en PAB bestanden niet wordt ondersteund over LAN/WAN verbindingen

Posted by Johan Veldhuis on 04-03-2010
Posted in: Exchange. Tagged: , , . Leave a Comment

Soms zijn er nog weleens discussies of het nou wel of niet wordt ondersteund om bestanden op een fileserver te plaatsen en dus te benaderen via een LAN/WAN verbinding. Het antwoord daarop is nee, officieel wordt het niet ondersteund vanuit Microsoft. Maar wanneer je het in de praktijk gaat proberen zal het best gaan werken dus waarom wordt het nou niet ondersteund ?

De betreffende bestanden worden middels een zogenaamde file-access-driven methode gebruikt om data op te slaan. Hiervoor wordt gebruikt gemaakt van speciale file access commando’s die het OS aanbiedt om bestanden te kunnen lezen en schrijven.

Voor het schrijven naar lokale disken is dit een uitstekende methode maar voor het schrijven naar een fileserver via een LAN/WAN wordt hiervan geen gebruik gemaakt. In plaats van de file-access driven methode wordt hier gebruik gemaakt van een network-access-driven methodes. Het OS bevat ook voor deze methode commando’s om data te verzenden/ontvangen van/naar andere systemen die zijn aangesloten op het netwerk.

Maar wat doet Outlook in het geval een PST op het netwerk staat? Outlook zal proberen via file commando’s het bestand te lezen of er naar te schrijven. Omdat het bestand echter op het netwerk staat zal het OS deze commando’s vervolgens over het netwerk versturen naar de server waarop het bestand zich bevindt.
Dit veroorzaakt allemaal natuurlijk de nodige vertraging omdat er dus extra stappen uitgevoerd dienen te worden voordat de data uiteindelijk benaderd kan worden.

Naast de performance problemen die je kunt ondervinden kunnen de volgende problemen optreden:

  • bestanden kunnen corrupt raken door bijvoorbeeld netwerk problemen
  • schrijf- kunnen tot 4 keer langer duren dan lees acties

Mocht je nog wat meer informatie willen hebben dan kun je op onderstaande sites terecht:

Ask the Performance team: Network stored PST files …. don’t do it! open
Configuring Outlook for Roaming Users open

OCS client beschikbaar maken in OWA

Posted by Johan Veldhuis on 20-01-2010
Posted in: Tutorials. Tagged: , , . Leave a Comment

Het is al geruime tijd mogelijk om een OCS omgeving aan een Exchange omgeving te koppelen. In eerste instantie was dit alleen mogelijk met de Exchange UM server waardoor je de voicemail, subscriber access en auto attendant van Exchange kon gebruiken in OCS.

Sinds kort gaat de integratie nog een stapje verder, het is nu mogelijk om een beperkte OCS client te integreren in OWA. Zo wordt het mogelijk om berichten via IM uit te wisselen via OWA en wordt de presence informatie in OWA weergeven.

In deze tutorial leg ik uit hoe je deze nieuwe feature kunt installeren.

open

OCS client beschikbaar maken in OWA

Posted by Johan Veldhuis on 20-01-2010
Tagged: , , . Leave a Comment

Microsoft heeft enige tijd geleden de OCS 2007 R2 Web Service provider vrij gegeven, hiermee wordt het mogelijk om een OCS met beperkte functionaleiten te integreren in OWA. In deze tutorial leg ik uit hoe je de OCS client kunt implementeren in de OWA van Exchange 2010. De software kan gedownload worden via onderstaande link:

Voordat je begint met het installeren dien je ervoor te zorgen dat de CAS server waarop je dit installeert een geldig certificaat heeft en dus vertrouwd wordt door de OCS server. Wanneer je de bestanden hebt gedownload kun je aan de slag met het installeren. Het bestand CWAOWASSPMain bevat 4 losse bestanden en de patch file bestaat uit 1 MSP bestand, deze dienen in onderstaande volgorde geïnstalleerd te worden:

  • vcredist_x64
  • UcmaRedist.msi
  • UcmaRedist.msp
  • CWAOWASSP

Wanneer de bestanden zijn geïnstalleerd is het tijd voor de configuratie zelf. Hiervoor dienen we eerst een aantal eigenschappen van het certificaat te achterhalen wat gebruikt wordt voor de IIS service, dit kun je doen middels het commando get-exchangecertificate |fl. Vervolgens zoek je het certificaat op wat is gekoppeld aan de IIS service, de services waaraan een certificaat is gekoppeld zijn te vinden achter de services kolom. Hier dienen de waarden van de volgende twee velden gekopieerd te worden:

  • Issuer
  • SerialNumber

Nu we de waarden hebben gekopieerd is het tijd om het configuratiebestand van OWA aan te passen, dit is te vinden in c:\Program Files\Microsoft\Exchange\v14\ClientAccess\Owa. Hier zul je onder andere het bestand web.config tegenkomen, dit bevat de configuratie van Outlook Web Access. Maak voordat je begint een backup van het bestand en open het hierna met bijvoorbeeld Notepad. Zoek op IMPoolName om naar de sectie te gaan welke aangepast moet worden en pas hier het volgende aan:

  • IMPoolName: vul achter value de naam van de OCS Pool in
  • IMCertificateIssues: vul de zojuist gekopieerde waarde van issuer in, bijvoorbeeld: CN=company-DC01-CA, DC=Company, DC=Local
  • IMCertificateSerialNumber: vul de zojuist gekopieerde waarde van het serialnumber in, bijvoorbeeld: 61580B7D00000000000E

Sla na het wijzigen het bestand op. Nu we de wijzigingen hebben toegevoegd aan het configuratiebestand vasn OWA is het tijd om de OCS client toe te voegen aan OWA, dit kunnen we doen middels het commando Set-OwaVirtualDirectory –InstantMessagingType. Op internet zijn er discussies over de waarde die moet worden opgegeven als waarde voor het InstantMessagingType. In de Technet documentatie staat dat je OCS als waarde op moet geven, echter ben ik op diverse fora tegengekomen dat dit mogelijk niet werkt. In mijn geval werkte dit zonder problemen, mocht je toch problemen hebben probeer dan eens i.p.v. OCS de waarde 1. Echter vermoed ik niet dat dit echt een oplossing is wanneer de integratie niet werkt. Ik heb namelijk zelf de parameter met de 1 geprobeerd in een werkende omgeving en kreeg toen netjes de melding dat er niks was gewijzigd. Om de OCS client te integreren met de OWA dien je onderstaand commando uit te voeren:

set-owavirtualdirectory -InstantMessagingType OCS

of

get-owavirtualdirectory -server servernaam |set-owavirtualdirectory -InstantMessagingType OCS

De Exchange kant is nu geconfigureerd, nu de OCS kant nog. Hiervoor dien je de OCS administration tool te openen en vervolgens de eigenschappen van de Front-end services op te vragen. Hier zul je de tab authorized hosts vinden. Hier dien je het volgende item toe te voegen:

  • FQDN van de OWA

Wanneer de fqdn is toegevoegd dien je de Front End service te herstarten om de wijziging te activeren. Als de service weer is opgestart en je zult inloggen via OWA dan zul je zien dat hier de OCS client aan toegevoegd is.

Zoals je bovenstaande kunt zien heb je de mogelijkheid om je huidige status te wijzigen en de status van andere gebruikers te zien. Naast deze uitbreiding is er een contactlist toegevoegd in de linkerhelft van OWA, deze lijst komt overeen met de contactlist in de MOC client.

Voorkom spam welke vanaf vanaf je eigen domein verzonden lijkt

Posted by Johan Veldhuis on 26-12-2009
Posted in: Exchange 2007. Tagged: , . Leave a Comment

Laatste tijd komt het wel regelmatig voor dat je spam ontvangt welke lijkt te worden verzonden vanaf een account in je eigen domein. Wanneer je echter op verder onderzoek uitgaat blijkt dit niet zo te zijn. Maar waarom trapt Exchange hier dan toch elke keer weer in. Het antwoord vond ik op Exchangepedia blog. Elke mail vanaf internet wordt geaccepteerd namens de Anonymous User, haal je deze gebruiker weg van de receive connector dan zal er geen mail meer van internet binnen komen. Deze gebruiker heeft natuurlijk een aantal rechten nodig om dit wel te mogen, een van de rechten is Ms-Exch-Accept-Authoritative-Domain-Sender welke ervoor zorgt dat elke sessie welke verzonden wordt vanaf een domein wat geconfigureerd staat als authoritative domain niet gecontroleerd wordt.

Om dit te voorkomen dien je de rechten te verwijderen middels onderstaande command:

 

Get-ReceiveConnector “Internet” | Get-ADPermission -user “NT AUTHORITY\Anonymous Logon” | where {$_.ExtendedRights -like “ms-exch-smtp-accept-authoritative-domain-sender”} | Remove-ADPermission

Let wel op dat wanneer je deze regel hebt verwijderd van de connector eventuele andere internet applicaties/apparatuur hier geen gebruik meer van kan maken. Voor deze applicaties/apparatuur dient dan een aparte receive connector aangemaakt te worden.

Transport Agents uitschakelen/verwijderen

Posted by Johan Veldhuis on 25-11-2009
Posted in: Exchange. Tagged: , . Leave a Comment

Microsoft Exchange couldn’t start transport agents. The Microsoft Exchange Transport service will be stopped. Dat is een van de meldingen die je kunt krijgen als er een transport agent corrupt is. Dit kan echter tot gevolg hebben dat de transport service niet meer start zoals in het voorgaande voorbeeld wat weer tot gevolg heeft dat er geen mailverkeer meer mogelijk is.

Er zijn twee oplossing voor dit probleem:

- verwijderen van de transport agent
- uitschakelen van de transport agent

De eerste methode is misschien wel het beste waarom zou je immers een corrupte agent op je systeem willen hebben. Je kunt de agent verwijderen middels het Powershell commando:

Uninstall-TransportAgent “Naam van de Agent”

Mocht je toch nader onderzoek willen doen en de agent uitschakelen, dan kan dit door het volgende Powershell commando uit te voeren:

Disable-TransportAgent -Identity “Naam van de Agent”

Wanneer het probleem weer is verholpen kun je de agent weer inschakelen met het volgende commando:

Enable-TransportAgent -Identity “Naam van de Agent”

Wil je naar aanleiding van bovenstaande meer informatie willen hebben over de commando’s neem dan eens een kijkje op onderstaande site:

Technet: Transport Agent Cmdlets open

Effectiviteit van SIS meten

Posted by Johan Veldhuis on 17-11-2009
Posted in: Exchange. Tagged: , . Leave a Comment

Met de komst van Exchange 2010 kan het weleens een leuke vergelijking zijn om te kijken wat eigenlijk de huidige effectiviteit van Single Instance Storage is op je huidige databases. Het is natuurlijk altijd handig om te weten wat er zou gaan gebeuren als je geen gebruik meer maakt van Single Instance Storage, zoals in Exchange 2010 het geval is.

De meting kan uitgevoerd worden met de counters die toegevoegd worden tijdens de Exchange installatie, je kunt ze vinden in de Performance Monitor onder:

  • MsExchangeIS mailbox
  • MsExchangeIS public

Onder deze twee objecten zul je Single Instance Ratio counter terugvinden. Voeg deze toe aan perfmon en hou de grafiek een tijdje in de gaten of sla het uiteraard op in een log bestand en bekijk het later.