Aufgrund vielfacher Nachfrage bieten wir euch in diesem Sommer ein faq-o-matic.net-T-Shirt an! Weil wir aber immer ein wenig anders sind und weil zur Community eben auch das Selbermachen gehört, könnt ihr bei uns keine fertigen Shirts bestellen. Stattdessen bekommt ihr eine Druckvorlage – Farbe, Form und Größe eures Shirts bestimmt ihr damit vollkommen selbst. Ladet euch einfach das Vorlagenset herunter und nutzt die vordere (Pfeil-Motiv) sowie die hintere Vorlage (faq-o-matic.net-Logo) im passenden Format bei dem Dienstleister eurer Wahl.

Wäre doch gelacht, wenn wir die Sommermode 2010 nicht noch gedreht kriegten! 😉

… weiterlesen

Seit Kurzem gibt es zum Themenfeld Active Directory eine deutschsprachige Mailingliste. Das ist quasi ein Support-Forum per E-Mail. Wer der Liste beitritt, erhält alle Beiträge und kann auch selbst Frane oder Antworten an alle Mitglieder senden.

Bereits nach wenigen Tagen hat die Gruppe laut Gründer Yusuf Dikmenoglu die Marke von 50 Mitgliedern erreicht. Darunter sind Admins, Berater, MVPs und auch Support-Mitarbeiter von Microsoft. Die Diskussionsfrequenz ist beachtlich, und das technische Niveau lässt auch knifflige oder exotische Fragen zu. Ein echter Tipp!

Anmeldung über:

[FreeLists / Die erste deutschsprachige "Active Directory" Mailingliste]
http://www.freelists.org/list/adde

Listen-Archiv:

[adde Mailing List Archive]
http://www.freelists.org/archive/adde

Mit dem Service Pack 3 für Exchange Server 2007 ist es jetzt möglich, auf dem Windows Server 2008 R2 Exchange 2007 zu installieren. Allerdings gibt es Einschränkungen, welche zu beachten sind.

Nicht unterstützt ist die Installation von Exchange 2007 Service Pack 3:

• auf einem auf Windows Server 2008 R2 basierenden Computer, auf dem ein Upgrade aus Windows Server 2008 ausgeführt wurde.
• bei einem Upgrade aus Exchange 2007 SP2 auf Exchange 2007 SP3 auf einem auf Windows Server 2008 R2 basierenden Computer, auf dem ein Upgrade aus Windows Server 2008 ausgeführt wurde
• bei einem Upgrade des Betriebssystems aus Windows Server 2008 auf Windows Server 2008 R2 auf einem Computer, auf dem Exchange 2007 SP3 installiert ist.

Siehe ebenfalls:

Neuerungen in Exchange Server 2007 SP3

Exchange Server Supportability Matrix

Die Kennworteinstellungen in Active Directory nehmen in der Verarbeitung von Gruppenrichtlinien eine Sonderstellung ein. Zwar ist es in jedem Gruppenrichtlinienobjekt (Group Policy Object, GPO) möglich, Vorgaben für Kennwörter zu hinterlegen. Doch anders, als viele Admins annehmen, wirken sich solche Einstellungen nicht auf Domänenbenutzer aus, wenn man sie auf beliebige OUs verknüpft. In solchen Fällen haben die auf OUs gelegten Kennwortvorgaben nur einen Effekt auf Computerkonten, die in diesen OUs liegen, und konfigurieren dann die Einschränkungen für lokale Benutzerkonten dieser Rechner.

Die einzige Ebene, auf der sich Kennworteinstellungen für Domänenbenutzer festlegen lassen, ist die Domänenebene – damit gelten die Vorgaben immer für die gesamte Domäne. Erst in Windows Server 2008 hat Microsoft mit den “Fine-grained Password Policies” eine Möglichkeit eingeführt, differenziertere Konfigurationen einzusetzen.

Die Besonderheiten gehen aber noch weiter. Entgegen der allgemeinen Empfehlung, die beiden vordefinierten GPOs “Default Domain Policy” und “Default Domain Controllers Policy” nach Möglichkeit unberührt zu lassen und für eigene Richtlinien zusätzliche GPOs zu definieren, sollte man Kennworteinstellungen ausschließlich in der “Default Domain Policy” setzen. Warum ist das so?

… weiterlesen

Skripten in VBScript fehlt eine Möglichkeit, Kennwörter mit einem verdeckten Eingabefeld einzutippen. Eine halbwegs elegante Methode bietet sich per HTML, denn dort gibt es einen speziellen Typ des Steuerelements “INPUT”, das verdeckte Eingaben ermöglicht. Nun eignet sich aber längst nicht jedes Skript dazu, in eine HTML-Seite eingebettet zu werden, denn der im Internet Explorer enthaltene Skript-Host kennt einige Funktionen des WSH nicht. Mit anderen Browsern geht es gleich gar nicht.

… weiterlesen

Bei der Migration von einem IMAP-basierten Mailsystem nach Exchange 2010 tut sich eine unerwartete Hürde auf: Für IMAP gelten nämlich eigene Begrenzungen in der Mailgröße. Wer also vorhandene Daten per IMAP4 bei Exchange abliefern will, erhält bei Mails über 10 MB Größe Fehlermeldungen, und diese Objekte lassen sich nicht importieren.

Die üblichen Limitierungen, die bei Exchange 2010 nach der Installation auch meist auf 10 MB stehen, helfen hier nicht: Auch wenn man auf der Organisations-, Server- und Datenbankebene die Größenbeschränkung erhöht, scheitert der IMAP-Import.

… weiterlesen

Die Gruppe “Prä-Windows 2000 kompatibler Zugriff” ist in der ersten Version von Active Directory unter Windows 2000 eingeführt worden, um die Kompatibilität des AD mit einigen Anwendungen aus Windows NT 4.0 zu gewährleisten. Mit Hilfe dieser Gruppe war es möglich, anonymen Zugriff auf einige AD-Daten zu gewähren.

Diese Gruppe hat auf viele Objekte in AD Lese-Zugriffsrechte. Sie ist als Container gedacht: Unter Windows 2000 wurde in diese Gruppe die Pseudogruppe “Jeder” eingefügt, die seinerzeit auch anonyme Benutzer umfasste (also solche, die sich nicht an AD angemeldet haben). In späteren AD-Versionen wurde diese Mitgliedschaft auf die Pseudogruppe “Authentifizierte Benutzer” geändert, weil die alte Regelung erhebliche Sicherheitsprobleme nach sich zog. (Parallel wurde übrigens mit SP2 für Windows XP auch die Gruppe “Jeder” verändert: Seitdem umfasst “Jeder” nicht mehr die anonymen Benutzer – damit ist sie faktisch gleichbedeutend mit “Authentifizierte Benutzer”. Man könnte jetzt einwenden, dass die Funktion der Gruppe “Prä-Windows 2000 kompatibler Zugriff” damit verschwunden ist – und hätte Recht mit dem Einwand.)

Obwohl Microsoft empfiehlt, dass der Gruppe “Prä-Windows 2000 kompatibler Zugriff” keine Mitglieder sein sollten, definiert auch ein frisch installierter Windows Server 2008 R2 in einem neuen AD die “Authentifizierten Benutzer” als Mitglied. Diese Tatsache kann sehr hinderlich sein, wenn man das AD mit angepassten AD-Zugriffsrechten absichern möchte.

… weiterlesen

Heute wollte ich einen Approval-Workflow erstellen und wurde von der Exchange Management Console auf das Fehlen der Arbitration-Mailbox hingewiesen. Unglücklicherweise fehlten nebst den Mailboxen auch die dazugehörigen AD-Accounts. Diese können jedoch sehr einfach wieder erstellt werden.

… weiterlesen

Wer unter Outlook 2010 HTML-Seiten in Öffentlichen Ordnern anzeigen lassen will, steht vor dem Problem, dass die Schaltfläche zwar vorhanden, aber ausgegraut ist. (Man muss das Recht „Besitzer“ haben, um den Menüpunkt angezeigt zu bekommen.) Wir veröffentlichen über diese Funktion zum Beispiel Kurzanleitungen oder auch Telefonlisten. Die Lösung dieses Problems haben wir zusammen mit dem Microsoft Support Team gefunden.

… weiterlesen

Windows Server 2008 R2 gibt (leider) viele Gründe für die alte Weisheit, dass man Server-Betriebssysteme in englischer Sprache installieren sollte. In der Lokalisierung des Systems ist nämlich an vielen Stellen eine Maschinen-Übersetzung zum Einsatz gekommen, die als Effekt das Troubleshooting schon mal deutlich erschweren kann.

Oder was haltet ihr von dieser Meldung?

Standort "ABC" verfügt über kein LDAP-Server für Nicht-Domänennameskontext "DomainDnsZones.xyz.domain.tld". LDAP-Server an Standort "Default-First-Site-Name" sollen Standort "ABC" für Nicht-Domänen- namenskontext "DomainDnsZones.xyz.domain.tld" aufgrund der konfigurierten Replikationskosten des  Verzeichnisservers automatisch verwalten.

Gut, diese Meldung taucht nur selten auf, daher lag hier offenbar keine Priorität in der Übersetzung. Nur wenn sie eben auftaucht – dann wird guter Rat bei dieser Sprache teurer, nicht günstiger …