Erstellen einer Zertifikatsanforderung mit mehreren SAN (Subject Alternative Names)

Zuerst erstellt man eine Benutzerdefinierte Anforderung (CSR) über die Zertifikats-MMC (Lokaler Computer).

cert1

Den Vorgang ohne Registrierungsrichtlinie fortsetzen…

cert2

weiter…

cert3

Details aufklappen und auf Eigenschaften klicken…

cert4

Anzeigename festlegen, damit man das Zertifikat in der Übersicht wiederfindet…

cert5

Zuerst wird der CN (hier: Allgemeiner Name) festgelegt, danach über den Wert Alternativer Name / DNS die weiteren gewünschten Namen…

cert6

Als Erweiterte Schlüsselverwendung wird Serverauthentifizierung festgelegt…

cert7

Danach noch die Schlüsselgröße auf mindestens 2048bit festgelegt, da die meisten Zertifizierungsstellen kleinere Schlüssel nicht mehr akzeptieren. Damit man den Schlüssel auch auf einen neuen Server übertragen kann, muss die Option “Privaten Schlüssel exportierbar machen” angehakt sein…

cert8

Die Zertifikatsanforderung wird in einem Textfile abgespeichert und kann bei der Zertifizierungsstelle eingereicht werden…

cert9

Exchange 2010 / 2013 Kalenderberechtigungen via Powershell verwalten

Kalenderberechtigungen kann nicht nur der Benutzer in Outlook vergeben, sondern auch ein Administrator mittels Powershell. In diesem Beispiel geben wir “Hans Meier” Zugriff auf den Kalender von “Karl Mueller”.

Add-MailboxFolderPermission -identity “karl.mueller:\kalender” –user “PSYGON\hans.meier” -AccessRights Reviewer

Mögliche Berechtigungen sind:

  • None
  • Owner
  • PublishingEditor
  • Editor
  • PublishingAuthor
  • Author
  • NonEditingAuthor
  • Reviewer
  • Contributor

Was genau welche Berechtigung bedeutet, zeigt folgende Tabelle:

Elemente erstellen Elemente lesen Ordner erstellen Besitzer des Ordners Ordner ist sichtbar Eigene Elemente bearbeiten Alle Elemente bearbeiten Eigene Elemente löschen Alle Elemente löschen
None X
Owner X X X X X X X X X
Publishing Editor X X X X X X X X
Editor X X X X X X X
Publishing Author X X X X X X X
Author X X X X X
Non-Editing Author X X X X
Reviewer X X
Contributor X X

 

Microsoft stellt das Forefront Threat Management Gateway 2010 ein

Microsoft stellt das Forefront Threat Management Gateway 2010 ein, hier die offizielle Microsoft Mitteilung:

Microsoft announced changes to the roadmaps of several Forefront products, including the discontinuation of Forefront Threat Management Gateway 2010. Microsoft will continue to provide maintenance and support for Forefront TMG server through the standard Microsoft support lifecycle – mainstream support will end on April 14, 2015 and extended support will end on April 14, 2020.

Der Mainstream Support endet am 14.April 2015.

Exchange 2010 / 2013 begrenzt die Anzahl der ActiveSync Geräte

Die Anzahl der Geräte die mit einer Exchange Mailbox verbunden sind nimmt stetig zu, da gibt es Tablets, Telefone und Programme die per Exchange ActiveSync verbunden sind. Schnell ist die Grenze von 10 Geräten pro Mailbox (Standardwert) erreicht.

Das Limit ist in der ThrottlingPolicy hinterlegt, welche man mit dem Befehl Get-ThrottlingPolicy abfragen kann.

eas1

Um die maximale Anzahl der Geräte pro Postfach zu ändern, bedient man sich folgendem cmdlet:

Get-ThrottlingPolicy | Set-ThrottlingPolicy –EASMaxDevices 20

Ausserdem hat man die Möglichkeit via Outlook Web Access die verwaisten Geräte zu entfernen.

eas2

Verschieben von nicht-Benutzer Mailboxen in Exchange 2010 / 2013

Verschiebt man alle Benutzer von einer Datenbank zur Anderen und will danach die alte Datenbank löschen, so erhält man eine Fehlermeldung, dass noch mindestens ein Postfach vorhanden wäre, obwohl offensichtlich alle Mailboxen vershoben wurden.

Die Postfachdatenbank 'Mailbox Database 0218664378' kann nicht gelöscht werden.

Mailbox Database 0218664378 Fehler 

Fehler:
Diese Postfachdatenbank enthält mindestens ein Postfach, einen Postfachplan, ein Archivpostfach oder ein Vermittlungspostfach. Führen Sie den Befehl 'Get-Mailbox -Database <Database ID>' aus, um eine Liste aller Postfächer in der Datenbank abzurufen. Führen Sie den Befehl 'Get-MailboxPlan' aus, um eine Liste aller Postfachpläne in dieser Datenbank abzurufen. Führen Sie den Befehl 'Get-Mailbox -Database <Database ID> -Archive' aus, um eine Liste mit Archivpostfächern in dieser Datenbank abzurufen. Führen Sie den Befehl 'Get-Mailbox -Database <Database ID> -Arbitration' aus, um eine Liste aller Vermittlungspostfächer in dieser Datenbank abzurufen. Wenn Sie ein Postfach, bei dem es sich nicht um ein Vermittlungspostfach handelt, deaktivieren möchten, um die Postfachdatenbank löschen zu können, führen Sie den Befehl 'Disable-Mailbox <Mailbox ID>' aus. Zum Deaktivieren eines Archivpostfachs, um die Postfachdatenbank löschen zu können, führen Sie den Befehl 'Disable-Mailbox <Mailbox ID> -Archive' aus. Vermittlungspostfächer sollten auf einen anderen Server verschoben werden. Führen Sie hierzu den Befehl 'New-MoveRequest <parameters>' aus. Falls es sich um den letzten Server in der Organisation handelt, führen Sie den Befehl 'Disable-Mailbox <Mailbox ID> -Arbitration -DisableLastArbitrationMailboxAllowed' aus, um das Vermittlungspostfach zu deaktivieren. Postfachpläne sollten auf einen anderen Server verschoben werden. Führen Sie hierzu den Befehl 'Set-MailboxPlan <MailboxPlan ID> -Database <Database ID>' aus.

Lässt man sich nun die Liste der Arbitration Mailboxes anzeigen, so sieht man, dass die Datenbank wirklich noch Postfächer enthält:

Get-Mailbox-Arbitration

exchange1

Verschieben dieser Postfächer geht mit folgendem Befehl:

Get-Mailbox -Arbitration -Database Datenbank1 | New-MoveRequest -TargetDatabase Datenbank2

Einbinden eines Forefront Threat Management Gateway 2010 Servers in den Windows Server 2012 Server-Manager

Das Forefront Threat Management Gateway 2010 (TMG 2010) läuft nicht unter Windows Server 2012, die Einbindung des Servers in den Windows Server 2012 Server-Manager gelingt trotzdem. Zunächst ist die Installation einiger Komponenten auf dem Windows Server 2008 R2 erforderlich.

Alle nowendigen Schritte finden sich in diesem Blogbeitrag:

Verwalten von Windows 2008 R2 Remoteservern mit dem Server-Manager

Die TMG Systemrichtlinie bietet leider keine WinRM-Richtlinie.
Es muss eine Zugriffsrichtlinie mit folgenden Parametern erstellt werden:

Quellserver: <Windows Server 2012>
Zielserver: <TMG 2010>
Port: TCP/5985

Erstellen eines selbst-signierten SAN Zertifikats in Windows Server 2012

Für einige Testzwecke, besonders in Zusammenhang mit einem Exchange-Lab ist das das neue cmdlet New-SelfSignedCertificate eine komfortable Lösung, um selbst-signierte Zertifikate mit mehreren Subject Alternative Names (SAN) zu erstellen.

Die Syntax ist im Gegensatz zu manch anderen cmdlets übersichtlich.

ps1

 

Erstellen wir mal ein Zertifikat mit folgendem Befehl:

New-SelfSignedCertificate -DnsName www.psygon.de,blog.psygon.de, exchange.psygon.de -CertStoreLocation cert:\LocalMachine\My

ps2

Das Zertifikat ist nun im Zertifikatsstore abgelegt. Die passenden SANs finden sich im Zertifikat.

ps3

 

Soll dem Zertifikat vertraut werden, so muss dieses noch in den Ordner Vertrauenswürdige Stammzertifizierungsstellen gelegt werden.

Zurücksetzen eines Cisco Interfaces mit Hilfe des “default interface” Kommandos

Während einiger Testinstallation kommt es immer wieder vor, dass es notwendig wird nicht die ganze Konfiguration zu löschen, sondern nur gezielt ein Interface mal schnell zurückzusetzen.

switch03#sh run int gigabitEthernet 0/2
Building configuration...
Current configuration : 152 bytes
interface GigabitEthernet0/2
description Uplink_Switch01
switchport trunk allowed vlan 1,2,6,9
switchport mode trunk
speed 1000
duplex full
end

Setzen wir mal das Interface auf default zurück:

switch03(config)#default interface gigabitEthernet 0/2
Interface GigabitEthernet0/2 set to default configuration

Schaut man sich nun die Konfiguration an, ist wieder alles auf Werkszustand:

switch03(config)#do sh run int gig 0/2
Building configuration...
Current configuration : 36 bytes

!
interface GigabitEthernet0/2
end

 

Verwalten von Windows 2008 R2 Remoteservern mit dem Server-Manager

Fügt man einen Windows Server 2008 R2 (Memberserver) über den Server-Manager hinzu, so erhält man folgende Fehlermeldung:servermanager1

Online – Stellen Sie sicher, dass der WinRM 3.0-Dienst installiert ist, ausgeführt wird und die erforderlichen Firewallports geöffnet sind.

Versucht man nun das Windows Management Framework 3.0 Updatepaket zu installieren, erhält man folgende Meldung:

servermanager2

Das Update ist nicht für Ihren Computer geeignet.

Ursache hierfür ist ist das fehlende Microsoft .NET Framework 4.

Nach der erfolgreichen Installation beider Pakete und der Schnellkonfiguration des Hosts mittels dem Befehl winrm quickconfig

servermanager3

tritt aber trotzdem noch ein Fehler mit der Abfrage der Leistungsindikatoren auf.

 Es sind also insgesamt 4 Schritte / Installationspakete notwendig:

  1. Microsoft .NET Framework 4 installieren
  2. Windows Management Framework 3.0 installieren
  3. Hotfix für Performancecounter installieren
  4. winrm quickconfig ausführen