faq-o-matic.net » Nils Kaczenski

heise-Security-Tour: Wir sind dabei!

Nils Kaczenski — Fri, 19 Mar 2010 07:00:00 +0000

Im April und Mai 2010 veranstaltet das Fachportal “heise Security” eine Security-Tour mit dem Schwerpunkt Virtualisierung und verteilten Systemen. faq-o-matic.net ist live dabei: Nils Kaczenski beleuchtet Sicherheitsfragen in der Servervirtualisierung. Ein Thema, das oft vernachlässigt wird, wie auch eine aktuelle Gartner-Studie belegt.

Kurzentschlossenen Lesern können wir ein besonderes Bonbon bieten: Wer sich über uns anmeldet, kann 100 Euro sparen! Näheres siehe unten.

Die Tour hat folgende Stationen:

22. April: Stuttgart
27. April: Hamburg
6. Mai: Düsseldorf
11. Mai: München

Die Termine sind als jeweils ganztägige Konferenz organisiert, Verpflegung und Unterlagen sind im Preis inbegriffen. Die Referenten sind namhafte Spezialisten der deutschen IT-Szene. Anders als bei vielen anderen Veranstaltungen dieser Art handelt es sich nicht um Werbung oder Firmen-Marketing: Im Vordergrund stehen Know-how, Praxiserfahrung und Diskussion. Auf der Bühne stehen:

Jürgen Schmidt
Joerg Heidrich
Nils Kaczenski
Volker Weber
Christoph Wegener
Dominick Baier
Lutz Donnerhacke

Nähere Informationen und das ausführliche Programm gibt es hier:

[Heise Events | 2010 | heise Security Konferenz]
http://www.heise.de/events/2010/heisec_konferenz/

100 Euro sparen

Und hier ist das Bonbon für die Leser von faq-o-matic.net: Wer sich bis zum 6. April 2010, 15:00 Uhr, über unser Kontaktformular bei uns meldet und als Teilnehmer zur Tour möchte, spart 100 Euro vom Teilnehmerpreis (395 Euro statt 495 Euro, jeweils inkl. MWSt.)! Der Rechtsweg ist natürlich ausgeschlossen. Bitte vergesst nicht, euren realen Namen und eure gültige Mailadresse anzugeben.

dsmove und sein beständiger Fehler

Nils Kaczenski — Thu, 18 Mar 2010 09:29:51 +0000

Mit dem Kommando “dsmove” kann man seit Windows Server 2003 AD-Objekte per Kommandozeile verschieben. Anders als die anderen ds*-Tools kommt dsmove leider nicht mit dem Piping klar: Zwar kann man etwa die Ausgabe eines “dsquery”-Befehls per Pipe an dsmove weiterleiten und so nacheinander mehrere Objekte an den Befehl verfüttern – doch dsmove wird nur das erste übergebene Objekt verschieben und danach einen Fehler ausgeben. Leider gilt das auch noch in Windows Server 2008 R2.

Möchte man eine Massenverschiebung ausführen, so muss man sich mit folgendem Trick behelfen. Das Kommando verschiebt alle Objekte, deren Anmeldename mit “A” beginnt, in eine andere OU. Achtung, die “for”-Zeile bis zur zweiten öffnenden Klammer ist eine einzige Zeile.

for /f "delims=" %%a in ('dsquery user "OU=AlteOU,DC=dom,DC=faq-o-matic,DC=net" -samid a* -limit 0') do (
dsmove %%a -newparent "OU=NeueOU,OU=DC=dom,DC=faq-o-matic,DC=net"
)

Diese Syntax gilt bei Ausführung per Batch – direkt auf der Kommandozeile muss man “%%a” in “%a” ändern. Möchte man das zunächst gefahrlos testen, so fügt man vor dem “dsmove” noch das Kommando “ECHO” ein und leitet die Ausgabe in eine Datei um. Dann wird dsmove nicht aktiv, sondern das Kommando erzeugt nur die Kommandos.

Achtung: Auch mit Umlauten kommt diese Technik nur unter bestimmten Umständen klar, nämlich dann, wenn die Codepage des CMD-Fensters auf 850 steht. Das ist zwar normalerweise der Fall, aber um sicherzugehen, sollte man in einem Batch zu Beginn das Kommando “chcp 850” einfügen. Die Schalter “uc/uci/uco” der ds*-Tools helfen nicht, weil sie keine gültigen Daten weitergeben.

(Hier noch der Verweis auf meine Fundstelle – wie immer bei ExpertsExchange ganz nach unten scrollen:
http://www.experts-exchange.com/Programming/Languages/Scripting/Shell/Batch/Q_22997808.html)

Anmeldezeiten für AD-Benutzer per Skript ausgeben

Nils Kaczenski — Wed, 17 Mar 2010 21:15:25 +0000

Seit jeher lässt Windows zu, für einen Benutzer Anmeldezeiten zu definieren – seit Windows NT und auch jetzt in Active Directory. Darüber lässt sich festlegen, an welchen Wochentagen und zu welchen Uhrzeiten dem Benutzer die Anmeldung mit dem jeweiligen Konto gestattet ist. Nicht ganz einfach ist es allerdings, diese Zeiten auszulesen. Zwar gibt es natürlich ein GUI dafür, und auch der Kommandozeilenbefehl “net user” gibt darüber Auskunft. Das war es aber auch schon. Insbesondere per Skript ist es alles andere als bequem, an diese Daten zu kommen.

Intern speichert Windows diese Information in einem etwas hässlichen Format, nämlich als Bitmap von 168 Bits, wobei jedes Bit eine Stunde der Woche repräsentiert (24 multipliziert mit 7). Ist das Bit 1, so darf der Benutzer sich anmelden, ist es 0, so wird der Logon verweigert.

Auf der Seite von US-MVP Richard L. Mueller (www.rlmueller.net) fand ich ein VBScript, das die Daten ausliest. Es ist allerdings nicht besonders hübsch und enthält in der Fassung vom 25. 1. 2004 einen lästigen Fehler: Es geht nämlich leider nicht sauber mit internationalen Zeitzonen um.

[LogonHours.vbs – Hilltop Lab]
http://www.rlmueller.net/Programs/LogonHours.txt

Für mein AD-Dokutool José habe ich das Skript daher korrigiert, erweitert und auf meinen Bedarf angepasst, sodass es eine gut lesbare Zusammenfassung der Zeiten ausgibt (siehe Bild). Die eine oder andere hat vielleicht Verwendung dafür, daher folgt hier der Scriptcode. Kopieren, in eine VBS-Datei speichern und wie folgt aufrufen:

cscript JoseLogonHours.vbs “CN=Ellen Bogen,OU=EDV,DC=faq-o-matic,DC=net”

Sollte das Skript einen Fehler ausgeben, so kann es sein, dass dem aufrufenden Benutzer Berechtigungen fehlen. In dem Fall das CMD-Fenster für den Aufruf ausdrücklich als (Domänen-)Administrator starten bzw. mit ausreichenden Rechten anmelden.

Der Code

' JoseLogonHours.vbs
' VBScript program to document hours of the week when a given Active
' Directory user is allowed to logon, using the logonHours attribute.
'
' Author: Nils Kaczenski, faq-o-matic.net
' Version 1.0, January 26, 2010
' ———————————————————————-
' Based on: LogonHours.vbs
' Copyright (c) 2002-2004 Richard L. Mueller, Hilltop Lab
' ———————————————————————-
'
' This script is designed to be run at a command prompt, using the
' Cscript host. For example:
' cscript //nologo JoseLogonHours.vbs DistinguishedName
' DistinguishedName can be similar to:
' "cn=TestUser,ou=Sales,dc=MyDomain,dc=com"
'
' You have a royalty-free right to use, modify, reproduce, and
' distribute this script file in any way you find useful, provided that
' you agree that the copyright owner above has no warranty, obligations,
' or liability for such use.
Option Explicit
Dim objShell, lngBias, strUserDN
Dim objUser
Dim lngBiasKey
' Check for required argument.
If (WScript.Arguments.Count = 0) Then
WScript.Echo "Error, required argument missing."
WScript.Echo "JoseLogonHours.vbs"
WScript.Echo "Program to document allowed logon hours"
WScript.Echo "Syntax:"
WScript.Echo "cscript JoseLogonHours.vbs DN"
WScript.Echo "where DN is the DistinguishedName of an AD user."
WScript.Echo "For example, DN could be:"
WScript.Echo " cn=TestUser,ou=Sales,dc=MyDomain,dc=com"
WScript.Quit(1)
End If
strUserDN = WScript.Arguments(0)
' Bind to the specified user object with the LDAP provider.
On Error Resume Next
Set objUser = GetObject("LDAP://" & strUserDN)
If (Err.Number <> 0) Then
On Error Goto 0
WScript.Echo "User not found in Active Directory"
WScript.Echo strUserDN
WScript.Quit(1)
End If
On Error Goto 0
' Determine the time zone bias from the local registry.
' This bias does not change with Daylight Savings Time.
Set objShell = CreateObject("Wscript.Shell")
lngBiasKey = objShell.RegRead("HKLM\System\CurrentControlSet\Control\" _
& "TimeZoneInformation\Bias")
If (UCase(TypeName(lngBiasKey)) = "LONG") Then
lngBias = lngBiasKey
ElseIf (UCase(TypeName(lngBiasKey)) = "VARIANT()") Then
lngBias = 0
For k = 0 To UBound(lngBiasKey)
lngBias = lngBias + (lngBiasKey(k) * 256^k)
Next
End If
lngBias = Round(lngBias/60)
' this is for debug use
WScript.Echo "Bias (Time Zone Correction): " & lngBias
WScript.Echo GetLogonHours(objUser)
Function GetLogonHours(objAccount)
Dim DayNames
Dim AllLogonHours(20)
Dim LogonHoursBits(167)
Dim LogonHours
Dim LogonHourByte, LogonHour
Dim k, Counter, LoopCounter, j, m
Dim DayOfWeek(6), DayLogon(6)
Dim DayCount, HourCount
' German day names (short), beginning with Sunday (US-like)
DayNames = Array("So", "Mo", "Di", "Mi", "Do", "Fr", "Sa")
WScript.Echo "User: " & objAccount.name
On Error Resume Next
' Retrieve the user's logonHours attribute.
objAccount.GetInfoEx Array("logonHours"), 0
LogonHours = objAccount.Get("logonHours")
If err.number <> 0 Then
WScript.Echo "Fehler: " & err.number & " (" & err.description & ")"
WScript.Quit
End If
' Populate a byte array.
For k = 1 To LenB(LogonHours)
AllLogonHours(k – 1) = AscB(MidB(LogonHours, k, 1))
Next
' Populate a bit array, offset by the time zone bias.
j = 0
For Each LogonHourByte In AllLogonHours
For k = 7 To 0 Step -1
m = 8*j + k – lngBias
If (m < 0) Then
m = m + 168
End If
' *** correction Nils Kaczenski:
' wrap the other way as well!
If (m > 167) Then
m = m – 168
End If
If (LogonHourByte And 2^k) Then
LogonHoursBits(m) = 1
Else
LogonHoursBits(m) = 0
End If
Next
j = j + 1
Next
Counter = 0
LoopCounter = 0
DayCount = 0
For Each LogonHour In LogonHoursBits
' add logon hours to an array of days
DayOfWeek(DayCount) = DayOfWeek(DayCount) & LogonHour
Counter = Counter + 1
If (Counter = 24) Then
' this makes a full day, so check it
If DayOfWeek(DayCount) = String(24, "1") Then
' User may log on the whole day
DayLogon(DayCount) = "immer"
Else
' User has at least one exclusion, so walk through the hours
' start counting at 1 so we can use the InStr 0 value
' (but we need to adjust this in the code)
HourCount = 1
Do Until HourCount = 25
' find times the user may not log on
HourCount = InStr(HourCount, DayOfWeek(DayCount), "0")
If HourCount = 0 Then
' no more exclusions, day complete
HourCount = 25
Else
' add beginning of exclusion time
DayLogon(DayCount) = DayLogon(DayCount) & ", nicht " & HourCount – 1
' find next allowed hour
HourCount = InStr(HourCount, DayOfWeek(DayCount), "1")
If HourCount = 0 Then ' Or HourCount > 24
' no more allowed hours, day complete
HourCount = 25
DayLogon(DayCount) = DayLogon(DayCount) & " bis 24"
Else
' add ending of exclusion time
DayLogon(DayCount) = DayLogon(DayCount) & " bis " & HourCount – 1
HourCount = HourCount + 1
End If
End If
Loop
End If
' Clear the beginning of the string
If Left(DayLogon(DayCount), 2) = ", " Then DayLogon(DayCount) = Mid(DayLogon(DayCount), 3)
DayCount = DayCount + 1
Counter = 0
LoopCounter = LoopCounter + 1
End If
Next
If Join(DayOfWeek, "") = String(168, "1") Then
' User may logon any time
GetLogonHours = "jederzeit"
ElseIf Join(DayOfWeek, "") = String(168, "0") Then
' User may never log on
GetLogonHours = "niemals"
Else
' Output Monday to Saturday
For DayCount = 1 To 6
GetLogonHours = GetLogonHours & DayNames(DayCount) & ": " & DayLogon(DayCount) & vbNewLine
Next
' Outside the US, Sunday is the last day, not the first one
GetLogonHours = GetLogonHours & DayNames(0) & ": " & DayLogon(0)
End If
'WScript.Echo GetLogonHours
End Function

RDP – oder: die Tücken der Gewohnheit

Nils Kaczenski — Wed, 17 Mar 2010 14:52:31 +0000

RDP ist eine wunderbare Technik, um remote auf Windows-Rechner zuzugreifen. Wer dies wie ich intensiv nutzt, gewöhnt sich aber schnell so sehr daran, dass er nicht mehr bemerkt, dass es sich schon um eine besondere Art des Zugriffs handelt.

Gerade entwerfe ich für einen Kunden einige Sicherheitseinstellungen für Active Directory. Unter anderem wollen wir per Gruppenrichtlinie steuern, wer sich an welchen Maschinen anmelden darf. Kein Problem – GPO auf die passende OU verlinken, in der die Computer stecken, und dort über die Sicherheitseinstellungen das Recht “Lokale Anmeldung erlauben” vorgeben. In meinem Fall sollen nur die “Administratoren” und die Gruppe “DOM\Abt02-Erlauben” drinstehen.

Tja – nur der Test schlägt fehl. Jeden Anmeldeversuch mit einem AD-Konto, das der Gruppe “Abt02-Erlauben” angehört, wird von XP abgewiesen mit dem Hinweis: “Die lokale Richtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.” Ja, Kruzi!

Nach langem Suchen und vielen vergeblichen Versuchen fiel es mir dann wie der Schuppen vom Stall: Ich versuchte die ganze Zeit, per RDP auf die XP-Maschine zuzugreifen. Vorher hatte ich das immer als Admin getan. Normale Benutzer dürfen aber nur per RDP zugreifen, wenn man sie separat in die Gruppe “Remotedesktop-Benutzer” aufnimmt. Die Fehlermeldung, die XP gibt, bezieht sich aber (weil XP da eben noch sehr mit Windows 2000 verwandt ist) auf die “Interaktive Anmeldung”.

Tja, und das war’s dann auch: Beim Zugriff direkt auf der lokalen Konsole verhielten sich XP (und damit auch meine Gruppenrichtline) genau so, wie es geplant war …

dsacls in Extremsituation

Nils Kaczenski — Thu, 11 Mar 2010 16:33:04 +0000

dsacls.exe ist das Kommandozeilenwerkzeug, mit dem man Berechtigungen auf Objekte in Active Directory manipulieren kann. Heute hatte ich Gelegenheit, es in einer Extremsituation zu nutzen.

In einem Testszenario sollten für 16.308 Benutzerkonten die AD-Zugriffsberechtigungen geändert werden. Für jedes einzelne Objekt gab es sieben Änderungen: Zwei vorhandene Berechtigungen wurden entfernt und fünf neue hinzugefügt. Das Ganze wurde über eine große Batchdatei gesteuert, die für jedes der Objekte die sieben dsacls-Kommandos ausführte. Das passierte auf einem Domänencontroller unter Windows Server 2008 R2, der in einer nicht optimierten VM lief (nur 512 MB RAM und eine einzige virtuelle Festplatte).

Der Vorgang dauerte etwas weniger als zwei Stunden. Erst war ich überrascht über die lange Bearbeitungszeit, aber dann habe ich mal nachgerechnet:

16.308 Objekte mit jeweils sieben ACL-Änderungen ergibt 114.156 einzelne ACL-Änderungen.
Die Ausführung dauerte etwas weniger als zwei Stunden, was etwa 1000 ACL-Änderungen pro Minute ergibt.
Das wiederum bedeutet, dass etwas mehr als 15 Änderungen pro Sekunde erfolgten.
Hierbei muss man – neben dem geringen Arbeitsspeicher des Servers – berücksichtigen, dass jede Änderung im Ereignisprotokoll mitgeschrieben wurde und dass dsacls bei jeder Ausführung die Berechtigungen des Objekts als Text ausgibt, hier umgeleitet in eine Datei.
Die Datenbank-Dateigröße des AD änderte sich durch diesen Vorgang übrigens nicht, was wahrscheinlich auf die pro Objekt geringe Anzahl geänderter ACLs zurückzuführen ist.

AddReplicaToPFRecursive.ps1 und Leerzeichen im Ordnernamen

Nils Kaczenski — Tue, 09 Mar 2010 20:40:29 +0000

Exchange Server 2007 bringt ein PowerShell-Skript mit, mit dem man zu allen Öffentlichen Ordnern eines Exchange-Servers ein Replikat hinzufügen kann. Muss es auch, denn die grafische Ordnerverwaltung hat diese Funktion leider nicht mehr …

Leider schlägt das Skript aber oft fehl und meldet, es könne einen Parameter nicht erkennen. Dabei handelt es sich dann um einen Teil des Ordnernamens. Es liegt auf der Hand: Das Skript kommt nicht mit Leerzeichen klar. (Eigentlich ziemlich peinlich, aber lassen wir das.)

Die Abhilfe ist zwar einfach, aber man kommt kaum selbst drauf: Man füge in die Angabe des Ordnernamens innerhalb der doppelten Anführungsstriche noch einmal “einfache” Anführungsstriche hinzu (besser gesagt: Apostrophen). So:

AddReplicatoPFRecursive.ps1 -TopPublicFolder "'\PublicFolder with space'" -ServerToAdd NeuerServer

Hier noch die Quelle – Ehre, wem Ehre gebührt:

[Managing spaces in AddReplicaToPFRecursive.ps1 script | Zero Hour Sleep]

http://www.zerohoursleep.com/2009/12/managing-spaces-in-addreplicatopfrecursiveps1-script/

Datum des AD-Backup per Skript herausfinden

Nils Kaczenski — Thu, 25 Feb 2010 23:25:37 +0000

Möchte man das Datum herausfinden, zu dem Active Directory zuletzt gesichert wurde, so gibt es eine recht einfache Methode: Ab Windows 2003 (SP1) beantwortet repadmin diese Frage.

repadmin /showbackup

Die Ausgabe sieht ungefähr so aus:

Da ich gerade an der neuen Version 3.0 meines AD-Dokumentationswerkzeugs José arbeite, wollte ich diese Daten aber per Skript herausfinden, ohne auf repadmin angewiesen zu sein. Das stellte sich als gar nicht so einfach heraus, denn die Information ist im AD gut versteckt.

Schließlich brachte mich der AD-Supportengineer Ned Pyle auf den richtigen Weg (mit Vermittlung durch Yusuf Dikmenoglu). Er verwies mich auf diesen Blogartikel:

[Active Directory Powershell Blog : Accessing Replication Metadata using ADPowerShell]
http://blogs.msdn.com/adpowershell/archive/2009/11/01/accessing-replication-metadata-using-adpowershell.aspx

OK, PowerShell ist ja wenigstens schon mal Skript. Mit der Information, dass die gesuchten Daten sich in einem XML-ähnlich formatierten berechneten Feld finden, hatte ich dann alles, was ich brauchte. Naja, fast alles. Der Abend ist dann schon noch dabei draufgegangen. Dann soll es sich aber wenigstens gelohnt haben, daher hier jetzt der Skriptcode. Das folgende Beispiel in eine VBS-Datei kopieren und diese mit cscript (oder notfalls auch per Doppelklick) aufrufen.

Set objRootDSE = GetObject("LDAP://rootDSE")
strDomain = objRootDSE.Get("defaultNamingContext")
Set objDomain = GetObject("LDAP://" & strDomain)
WScript.Echo GetADBackupDate(objDomain)
Function GetADBackupDate(objDom)
Dim ReplValue, Subvalue, DSASignature
Dim timeLeft, timeRight, DCLeft, DCRight
Dim TimeVal, DCName, BackupDate, BackupTime
systemBias = GetSystemBias
' the attribute was introduced in Windows 2003, so we'll catch errors
On Error Resume Next
objDom.GetInfoEx Array("msDS-ReplAttributeMetaData"),0
ReplValue = objDom.Get("msDS-ReplAttributeMetaData")
If Err.number <> 0 Then
GetADBackupDate = "(keine Information vorhanden)"
Exit Function
End If
On Error Goto 0
DSASignature = ""
For Each Subvalue In ReplValue
if instr(LCase(SubValue), "dsasignature") >0 then DSASignature = Subvalue
Next
' this is not too pretty but after all we do not need an XML parser here
If DSASignature <> "" Then
timeLeft = InStr(LCase(DSASignature), LCase("")) + Len("")
timeRight = InStr(timeLeft, LCase(DSASignature), LCase(""))
DCLeft = InStr(LCase(DSASignature), LCase("")) + Len("") + Len("CN=NTDS Settings,CN=")
DCRight = InStr(DCLeft, DSASignature, ",")
TimeVal = Mid(DSASignature, timeLeft, timeRight – timeLeft)
DCName = Mid(DSASignature, DCLeft , DCRight – DCLeft)
BackupDate = Left(TimeVal, InStr(TimeVal, "T") – 1)
BackupTime = Mid(TimeVal, InStr(TimeVal, "T") + 1)
BackupTime = Left(BackupTime, Len(BackupTime) – 1)
BackupTime = CDate(BackupDate & " " & BackupTime)
BackupTime = DateAdd("n", -(systemBias), BackupTime)
GetADBackupDate = BackupTime & " von " & DCName
Else
' AD seems not to have been backed up yet
GetADBackupDate = "bislang nicht gesichert"
End If
End Function
Function GetSystemBias
Dim biasKey, k
Dim objShell : Set objShell = CreateObject("WScript.Shell")
biasKey = objShell.RegRead("HKLM\System\CurrentControlSet\Control\TimeZoneInformation\ActiveTimeBias")
Set objShell = Nothing
If (LCase(TypeName(biasKey)) = "long") Then
GetSystemBias = biasKey
ElseIf (LCase(TypeName(biasKey)) = "variant()") Then
GetSystemBias = 0
For k = 0 To UBound(biasKey)
GetSystemBias = GetSystemBias + (biasKey(k) * 256^k)
Next
End If
End Function

Exchange 2010 ohne Backup und dennoch sicher?

Nils Kaczenski — Thu, 25 Feb 2010 19:25:03 +0000

Exchange-MVP Walter Steinsdorfer hat einen lesenswerten Artikel zu der Marketingaussage geschrieben, dass Exchange 2010 aufgrund seiner Verfügbarkeits-Architektur kein Backup mehr benötige. Sein Fazit: “Exchange 2010 ohne Backup zu betreiben geht. Allerdings in engen Grenzen.”

Hier geht’s zum Artikel:

[Microsoft, Exchange 2010 und die Datensicherungsstory - Exchange, Security and Active Directory]
http://msmvps.com/blogs/wstein/archive/2010/02/24/microsoft-exchange-2010-und-die-datensicherungsstory.aspx

Vorträge auf der CeBIT

Nils Kaczenski — Wed, 24 Feb 2010 12:18:45 +0000

Auf der diesjährigen CeBIT, die schon in der nächsten Woche in meiner Heimatstadt stattfindet, werde ich zwei Vorträge für den heise-Verlag halten.

Am Mittwoch, 3. März um 12:00 Uhr geht es in Halle 5, Stand E 38 um IT-Sicherheit: “Sicherheit? Ich hab doch ‘ne Firewall! Was Sie vielleicht noch nicht bedacht haben”
[Heise Events | 2010 | heise Forum | Programm]
http://www.heise.de/events/2010/heise_forum/plan_tag2/
Am Donnerstag, 4. März um 15:30 stelle ich in Halle 3, Stand G06, ein Kundenprojekt mit Hyper-V vor.
[iX-Konferenz: iX CeBIT Forum 2010]
http://www.ix-konferenz.de/programm.php?vortyp=Cluster%2FVirtualisierung&konferenzid=79&st=Programm

Exchange 2007/2010: Mail-Verteiler von außen nutzbar machen

Nils Kaczenski — Fri, 19 Feb 2010 08:49:48 +0000

In Exchange 2007 und 2010 sind neue Mail-Verteilergruppen standardmäßig nur intern nutzbar. Möchte man einen Verteiler einrichten, der von außen per Mail erreichbar ist, muss man dies ausdrücklich einstellen. Anderenfalls erhält man die Fehlermeldung:

#550 5.7.1 RESOLVER.RST.AuthRequired; authentication required

Zur Umstellung öffnet man in der Exchange-Konsole (GUI) den Verteiler, dort die Registerkarte „Nachrichtenübermittlungseinstellungen“ und dort „Einschränkungen für die Nachrichtenzustellung“. Die dortige Einstellung „Authentifizierung aller Absender anfordern“ ist bei Exchange 2007 und 2010 standardmäßig für neue Gruppen aktiviert. Wenn der Verteiler von außen erreichbar sein soll, muss man das Häkchen entfernen.

faq-o-matic.net » Nils Kaczenski

heise-Security-Tour: Wir sind dabei!

100 Euro sparen

Verwandte Beiträge:

dsmove und sein beständiger Fehler

Verwandte Beiträge:

Anmeldezeiten für AD-Benutzer per Skript ausgeben

Der Code

Verwandte Beiträge:

RDP – oder: die Tücken der Gewohnheit

Verwandte Beiträge:

dsacls in Extremsituation

Verwandte Beiträge:

AddReplicaToPFRecursive.ps1 und Leerzeichen im Ordnernamen

Verwandte Beiträge:

Datum des AD-Backup per Skript herausfinden

Verwandte Beiträge:

Exchange 2010 ohne Backup und dennoch sicher?

Verwandte Beiträge:

Vorträge auf der CeBIT

Verwandte Beiträge:

Exchange 2007/2010: Mail-Verteiler von außen nutzbar machen

Verwandte Beiträge: