Marc Grote Blog

Hallo Leutz,

Lt. Aussage von Microsoft ist die Installation von Windows Server 2008 R2 SP1 auf Forefront TMG und UAG offiziell supported (ein offizieller Blogeintrag des ISA/TMG Team von Microsoft folgt noch).
Auf meinen Testmaschinen und meiner produktiven TMG/UAG Appliance von SecureGURAD konnte ich bisher auch keine Probleme feststellen -bis gestern
Bei einem Kunden haben wir auf vier Forefront TMG Enterprise Maschinen (deutsch, aktuell gepatched, EMS verwaltete Array Member mit NLB) Windows Server 2008 R2 SP1 installiert. Die “besondere” Konstellation ist hier, dass die Firewalls zwei Standorte verbinden und drei Windows Domaenen aus Firewallsicht trennen, sprich die Firewalls sind nicht klassische Backend- Frontendfirewalls oder Forward- Reverse Proxy.
Das Exchange Cluster steht in der Ressourcendomaene und die Benutzer aus den drei Domaenen und zwei Standorten greifen per Outlook auf das CAS-Array und den dahinterliegenden DAG Cluster zu. Am naechsten Tag nach der Installation beklagten sich die Anwender des entfernten Standorts, sowie der Subdomaenen in denen kein Exchange Server steht, dass Outlook sich nicht richtig verbindet und der Zugriff auf oeffentliche Ordner teilweise nicht moeglich ist. Im Outlook 2007/2010Verbindungssymbol sah man laufende getrennte und verbundene Exchange Server Verbindungen und einige TCP-Fehler. Wenn der Outlook Cached Mode verwendet wird, kommen auch keine Mails mehr im Outlook an, obwohl Outlook staendig eine korrekte Synchronisation mit dem Exchange Server meldet. Sobald man den Cached Mode ausschaltet, kommen E-Mails wieder an, aber weitere Probleme schlagen auf. Bei dem Versuch auf oeffentliche Ordner von Exchange zuzugreifen kam es teilweise zu Fehlermeldungen, dass ein Clientvorgang fehlgeschlagen sei und beim Aufruf von diversen PDF- und PPT-Dokumenten in oeffentlichen Ordnern kam die Meldung, dass der Preview Handler nicht verfuegbar sei!
In den Logs der Firewall sieht man unzaehlige RPC Fehlermeldungen fuer das Protokoll RPC und etliche blockierte Highport Verbindungen. die Meldung im TMG ist, dass die Verbindung gespoofed waere. Nach etlichen erfolglosen Tests zur Eingrenzung der Problematik sind wir zu der Feststellung gekommen, dass mit Windows Server 2008 R2 SP1 Aenderungen des RPC-Verhalten eingefuehrt wurden, welche mit dem in Forefront TMG enthaltenen RPC-Filter nicht kompatibel sind. ANMERKUNG: Da dies meine erste Windows Server 2008 R2 SP1 Installation auf produktiven TMG Servern in diesem speziellen Szenario ist, kann ich noch keinen eindeutigen Beweis fuer diese Vermutung erbringen, die Symptome sind aber eindeutig und konnten zumindest in diesem Szenario bewiesen werden.
Gruende, warum ich den RPC Filter im Verdacht habe:
Benutzer mit Outlook Postfach in der gleichen Domaene wie der Exchange Server haben keine Probleme
Wenn man an den betroffenen Clients Outlook Anywhere aktiviert und per HOSTS Datei oder DNS FLZ den OA Aufruf auf den FQDN des internen CAS Array legt, funktioniert alles einwandfrei
Wenn man einen neuen Exchange Benutzer mit Postfach anlegt, wird eine OST-Datei erstellt, aber keine Outlook / Exchange Synchronisation durchgefuehrt, Aendert man auch hier das Outlook Profil auf OA funktioniert es.
Wenn OA aktiviert ist erhalten die Benutzer beim Aufruf von oeffentlichen Ordnern im Exchange auch keine Fehlermeldungen mehr

Loesungsansaetze:
Datensicherung der TMG Server zurueckspielen
Windows Server 2008 R2 SP1 deinstallieren
OA aktivieren (Achtung CAS Server Belastung beachten)
RPC Filter in TMG deaktivieren und Zugriffsregel fuer Outlook erstellen ohne RPC-Filterbindung. Hierbei ist zu beachten, dass man je nach Veroeffentlichungsumfang und Funktionsumfang des TMG Servers auch andere Funktionalitaeten verliert!

Bei einem naechsten Termin an einem Wochenende im Maerz werden wir versuchen die Probleme naeher einzukreisen, bis dahin haben wir erst mal einen Workaround fuer die betroffenen User in Form von OA eingefuehrt, da die CAS Server genuegend Power haben    

Ich werde in diesem Blog ueber Updates berichten.

Gruss Marc Grote

Hallo Leutz,

das folgende Bilderbuch zeigt die Installation und Konfiguration der Forefront Protection Server Management Console 2010 in meiner Testumgebung mit Exchange Server 2010 und Sharepoint Server 2010:
http://www.it-training-grote.de/download/FPSMC.pdf

Gruss Marc Grote

Hallo Leutz,

bei der Installation von Exchange Server 2010 SP1 erscheint bei der Ausfuehrung von Setup /PrepareAD auf dem Schema Master die Fehlermeldung: “Der Neustart einer vorangegangenen Installation steht noch aus. Starten Sie den Computer neu, und führen Sie Setup erneut aus”.

Die Loesung steht in folgendem Bilderbuch: http://www.it-training-grote.de/download/ExSP1Error.pdf

Gruss Marc

Hallo Leutz,

das folgende Bilderbuch zeigt die Installation und Konfiguration des Code Two Exchange Rules Tools zur Einrichtung von Corporate Disclaimern mit Exchange Server 2010:
http://www.it-training-grote.de/download/Code2ExRules.pdf

Gruss Marc Grote

Hallo Leutz,

Interne Exchange Benutzer sollen Outlook Web Access mit formularbasierter Authentifizierung (FBA) verwenden. Aber auch Benutzer aus dem Internet sollen OWA mit FBA verwenden. Hier wird die FBA von Forefront TMG generiert und wenn Intern und Extern FBA aktiv ist, bekommen Benutzer aus dem Internet eine doppelte FBA Anmeldung. Um das Problem zu loesen kann man mit zwei virtuellen Verzeichnissen im IIS arbeiten. Das eine virtuelle Verzeichnis verwendet FBA fuer Aufrufe von OWA (OutlookWebApp) intern, das andere Vdir verwendet Basic Authentication fuer Aufrufe aus dem Internet. Forefront TMG wird so konfiguriert, dass auf das virtuelle Verzeichnis mit Basic Authentication umgeleitet wird.

Hier geht es zum Bilderbuch: http://www.it-training-grote.de/download/OWA-FBA-TMG.pdf

Gruss Marc

Hallo Leutz,

das folgende Bilderbuch zeigt die Einrichtung einer Windows Server 2008 R2 CA fuer die Schluesselarchivierung, sowie die Erstellung von v2 und v3 Certificate Templates fuer die E-Mail Verschluesselung und -Signatur fuer Outlook 2007/2010 Clients.

http://www.it-training-grote.de/download/e-mail-encryption.pdf

Gruss Marc

Hallo Leutz,

das folgende Bilderbuch zeigt die Veroeffentlichung eines Exchange Server 2010 mit Hilfe von Microsoft Forefront UAG:
http://www.it-training-grote.de/download/uag-owa.pdf

Gruss Marc

Hallo Leutz,

bei einem Kunden wollte ich heute den Administratoren zeigen, wie man mit dem Export-Mailbox CMDLet Mailboxen in Exchange Server 2010 exportiert. Ich dachte mir, dass dies in Exchange Server 2010 genau so einfach ist wie in Exchange Server 2007, aber nach stundenlangen vergeblichen Versuchen und Recherchen im Internet (Es gibt leider die verschiedensten Geruechte und Ideen, warum dieser Task fehlschlaegt), bin ich in einem Technet Forumsartikel auf die Loesung gekommen.
Die Fehlermeldung lautet: Fehlermeldung: „error message -2147221219“ und als Shell Ausgabe „Objekt wird ueberprueft“).
Was zu tun ist damit der Export-Mailbox Task funktioniert, steht in diesem Artikel:

http://www.it-training-grote.de/download/ex2k10-export-mailbox.pdf

Gruss Marc

Hallo Leutz,

ich sitze hier seit einigen Monaten als Trainer in einem Exchange Server 2010 MCITP Kurs und mein Kursteilnehmer Tobias Schmidt hat im Rahmen der Schulung und seiner beruflichen Taetigkeit eine sehr umfassende Exchange Server 2010 Checkliste erstellt, welche ich freundlicherweise veroeffentlichen darf:

http://www.it-training-grote.de/download/Checkliste-Exchange2010-Konfig-install.pdf

Fragen, Anregungen und Beschwerden bitte direkt an den Autor senden
Ein umfassendes HowTo wird mir von Tobias in den naechsten Wochen zur Verfuegung gestellt und auf diesem Blog ebenfalls veroeffentlicht.

Gruss Marc

Hallo Leutz,

bei einem Kunden gab es heute bei der Exchange Migration von Postfaechern ueber Windows Subdomaenen-Grenzen die Fehlermeldung:

net.tcp//servername.domain.tld/Microsoft.Exchange.MailboxReplicationService hat eine Ausnahme entdeckt. Fehler: MapiExceptionNetworkError: Unable to make connection to the server

Ist Zustand: 4 Standorte mit jeweils einem Exchange Server 2003. 2 Standorte sollen auf einen zentralen Exchange Server 2010 konsolidiert werden, welcher schon von Exchange Server 2003 auf Exchange Server 2010 migriert wurde.

Ein ISA aehnliches Problem konnte ich nach einigem Suchen und ausschliessen, so wie ich es bei einem anderen Kunden hatte, siehe mein alter Blogeintrag: http://www.it-training-grote.de/blog/?p=2495
Die Loesung war diesmal eine andere – siehe: http://www.it-training-grote.de/download/mb-move.pdf

Gruss Marc