Exchange 2007 Rollup Update 13 silently fixes KB 2866064 issue “Can't load OWA Premium by using Internet Explorer 11 in an Exchange Server environment”

Posted by O.Sommer

Since the beta of IE11 and since Win8 got released with IE11 user complained about OWA Premium, which is the name for the fancy Outlook Web App Version where for example it is possible to use right clicks and other stuff that helps a lot being more productive with email, not been loaded, but instead they got the basic OWA experience that looks a lot like OWA from Exchange 2003 or older and is way less productive to use!

Microsoft KB 2866064:
Can't load OWA Premium by using Internet Explorer 11 in an Exchange Server environment
(german: OWA Premium kann in einer Exchange Server-Umgebung mithilfe von Internet Explorer 11 nicht geladen werden.)
http://support.microsoft.com/kb/2892464
http://support.microsoft.com/kb/2891587

image
Image: OWA Premium of Exchange 2007

image
Image: OWA Basic of Exchange 2007

Recently administrators who updated their Exchange 2007 Server with the latest RU13 which is available here

Update Rollup 13 for Exchange Server 2007 Service Pack 3
http://support.microsoft.com/kb/2917522

might have noticed that user complaints stopped and in fact users now got their OWA Premium experience back, despite the fact that Microsoft announced that Exchange 2007 is in extended support for some time now already and therefore would only get security updates but no non security relevant fixes (like this IE11 OWA issue)!

Nevertheless RU13, or CU13 as it sometimes is called also, silently, because nothing of this is mentioned anywhere nor does Microsoft support services have had any information about it, patches two files to integrate a fix for the IE11 issue:

jscript and microsoft.exchange.clients.owa.dll

This got discovered and proven with reverse engineering RU13 by the German MS Support Team in a Microsoft Support Call I recently had for a customer.
Microsoft Services escalated this information to update the KB and RU information to include information about the fix like I would have expected in first place.

How to: implementing external Autodiscover using DNS

Posted by O.Sommer

In the KB Article http://support.microsoft.com/kb/940881 MS talks about enabling the external autodiscover functionality for Outlook 2007 using a Service Record in DNS. This KB article is a little cryptic to me an therefore I'd like to write down the phrase one needs to add to a DNS servers zone table to make autodiscvocer work without the need of additionl external resources like SAN Certificate, multiple IP Adresses nor websites.

One simply needs to add the following line which represents a service record to the DNS zone of your company.tld Email Domain:

_autodiscover._tcp       IN SRV     0 5 443 externalurl.company.tld.

From there on Outlook will detect the autodiscover setting using DNS and redirect the users to the externalurl.company.tld which in most SBS and EBS cases should be something like remote.company.com.

SBS2008 nach Ausfall in derselben Domäne neu installieren - Besonderheit Exchange

Posted by t.brinkmann

Folgendes Szenario: Es existiert ein SBS2008 der für Exchange / WSUS genutzt wird, weitere Server (DC, Terminalserver, SQL, File, Kommserver, Branchenanwendungen etc) mehrere Dutzend Computer- sowie Benutzerkonten im AD, aufwendig gesetzte NTFS-Berechtigungen etc.

Der SBS wird nicht (wie von MS vorgesehen) über die Windows-Server Sicherung gesichert, es existiert lediglich eine Sicherung des Exchange. Wenn der SBS2008 ausfällt sind einige Schritte notwendig um diesen wieder erfolgreich in die Domäne zu integrieren. Ohne einige Vorarbeiten wird die Migration des neuen SBS2008 nicht erfolgreich verlaufen (u.a. Reste vom Exchange im AD, keine FSMO-Rollen etc.)

Die Schritte sind im Groben:

  • FSMO Rollen per NTDSUTIL auf verbliebenem DC neu anlegen.
  • DNS bereinigen (alle Verweise und NS Einträge des SBS2008 entfernen)
  • SBS-spezifische GPO und WMI-Filter löschen.
  • Neuen TEMP-Server (z.Bsp. 2008R2 Trial) mit dem alten Namen des SBS2008 aufsetzen und in Domäne aufnehmen.
  • TEMP-Server in die Gruppe der Exchange-Admins und der Domänen-Admins aufnehmen.
  • Exchange 2007 Trial auf diesem Server installieren (mit der Option “setup.exe /m:recoverserver” – sollte das Setup wird Fehlern abbrechen wird wahrscheinlich die Exchange-Verwaltungsshell trotzdem installiert.) Mit der Shell können unter anderem verwaiste OWA-Objekte aus dem AD gelöscht  werden.
  • Wenn die Exchange Installation fehlerhaft abgeschlossen wurde und ein weiteres Setup nicht möglich ist muss der TEMP-Server erneut mit dem alten Computernamen des SBS2008 installiert und in die Domäne gehoben werden. Das Exchange 2007-Setup wieder mit /m:recoverserver starten. Das Setup MUSS fehlerfrei durchgeführt werden.
  • Als nächstes Exchange 2007 DEINSTALLIEREN – Die Deinstallation ist die einzige Möglichkeit die Exchange-Einträge sauber aus dem AD zu entfernen (einzige von MS empfohlene Methode– bei Eingriffen mit ADSIEDIT besteht die Gefahr dass Exchange NICHT installiert werden kann. Die Deinstallation muss fehlerfrei und komplett abgeschlossen werden.)
  • TEMP-Server aus Domäne entfernen.
  • SBS2008 Antwortdatei für eine Migration erstellen (selber Computername und IP wie ausgefallener SBS).
  • SBS2008 im Migrationsmodus installieren.
  • Benutzerrollen neu zuweisen.
  • Zertifikate etc. einlesen.
  • Microsoft-Updates installieren.
  • SBS-BPA / Exchange BPA / dcdiag etc. ausführen.
  • Sichtung der Ereignisprotokolle auf Fehler (besonders DNS, Dateireplikation, Verzeichnisdienst).
  • DNS prüfen (NS-Einträge, _msdcs ,etc.).
  • Gruppenrichtlinien prüfen (Berechtigungen auf verwaiste SID’s etc.).
  • Neues Outlookprofil an allen Clients erstellen.

Die Exchange Organisation bekommt standardmäßig den Namen “FIRST ORGANIZATION”, wenn die Organisation vorher anders hieß, und eine alte edb-Datei wiederhergestellt werden muss bleibt nur der Weg:

  • Neuen Temp-Server aufsetzen (nicht in das SBS-Netzwerk)
  • dcpromo ausführen, neue Domäne erstellen
  • Exchange 2007 installieren, Organisationsname passend wählen
  • Vorhandene EDB-Mailboxdatei (z.Bsp aus Backup, oder aus Dateisystem des defekten SBS) mounten
  • Benutzerpostfächer anlegen
  • Postfächer wiederherstellen
  • Postfächer exportieren
  • Postfächer auf SBS wieder importieren

Einen 100% Erfolgsgarant kann es bei den ganzen Schritten nicht geben, allerdings wird deutlich dass es sehr aufwändig ist einen ausgefallenen SBS wieder als neuen SBS in die Ursprungs-Domäne “zurückzumigrieren”. Alternativ kann natürlich die gesamte Domäne neu aufgesetzt werden…………

All diese Schritte kann man sich durch die Nutzung der integrierten Windows-Sicherung und einer USB-Festplatte sparen, und eine USB-Festplatte lässt sich in jedem SBS-Projekt unterbringen.

SBS Migrationsproblem: ADSI Edit - Exchange Mail Enabled Public Folders

Posted by o.sommer

Robert strikes again:
Um ein bekanntes Problem mit emailaktivierten öffentlichen Ordnern während einer Migration von SBS 2003 nach SBS2011 zu lösen, hat der englische SBS MVP Kollege Robert Pearman ein Powershellscript veröffentlicht, welches dieses Problem lösen kann:

ADSI Edit - Exchange Mail Enabled Public Folders
http://gallery.technet.microsoft.com/ADSI-Edit-Exchange-Mail-da735c16

/3GB und Domänencontroller? Exchange 200x auf DC installieren? Oder: Warum dauert das Herunterfahren meines Exchange 2003 oder 2007 Server ca. 20 Minuten?

Posted by o.sommer

Antworten auf alle diese Fragen gibt der TechNet Artikel:

Optimieren der Active Directory-Integration
http://technet.microsoft.com/de-de/library/bb123771(v=exchg.65).aspx

BTW: Bei Exchange 2010 wurde das Shutdown Problem gelöst, so dass SBS 2011 nun schnell herunterfährt auch wenn man vorher nicht die Exchange Dienste beendet hat.

Wie man einzelne Exchange 2010 Emails/Postfächer in SBS2011 wiederherstellt

Posted by o.sommer

Robert Pearman, SBS MVP Kollege der uns auch als Sprecher auf der UK SMB Roadshow begleitete, hat als Reaktion auf eine Teilnehmerfrage in Edinburgh, einen sehr feinen HowTo Blog über das Thema veröffentlicht, den ich, obwohl er englisch sprachig ist, hier referenzieren möchte:

SBS 2011 Standard : Exchange 2010 Single Message Restore
http://titlerequired.com/2011/11/29/sbs-2011-standard-exchange-2010-single-message-restore/

HP/Microsoft CoffeeCoaching zum Thema “Infrastrukturen für SBS 2011”

Posted by o.sommer

Unser Kollege Oliver Basarke von der HanseVision hat vor einiger Zeit einen ca. 10 Minütigen Webcast zum o.g. Thema bei und für Microsoft aufgenommen.
Unter anderem erklärt er dort auch wie eine Internetanbindung für SBS aussehen sollte. Sehr gelungen sind die Erläuterungen bzgl. DNS, MX und Co., sowie seine Erläuterungen zu POP vs. SMTP:

image

Oliver erwähnt z.B. im Webcast was wir MVPs auch immer wieder empfehlen:
Die Ablösung von POP Mailabholung durch direkte SMTP Zustellung und er erklärt gut wie dieses Auf der Infrastruktur-, auch Netzwerkseite genannt, umgesetzt werden sollte, sowie explizit für alle Zweifler noch einmal, dass der im SBS integrierte POP Connector wegen der prinzipiellen Probleme, die eine POP Abholung für einen Serverbetrieb mit sich bringen, nur für eine möglichst kurze Übergangszeit (Anm. von mir: “von wenigen Tagen, wenn überhaupt”) genutzt werden sollte.

Eingebettetes Video:

Kritik habe ich aber auch: Smiley
Leider empfiehlt er entgegen meiner Empfehlung den Port 80 (http) nicht auf den SBS weiterzuleiten, auch wenn die Einblendung den Port mit aufführt.
Ich bin der Meinung, dass auch Port 80 (http) an den SBS weitergeleitet werden sollte, da man damit den Benutzern das zwanghafte Eintippen von “HTTPS://” ersparen, also deren Produktivität erhöhen und Rückfragen bei der IT vermeiden kann, ohne dabei zusätzliche Sicherheitslücken aufzumachen, da der Webserver ja bereits unter HTTPS erreichbar ist.
Einem potenziellen Angreifer ist es jedenfalls egal ob er eine Sicherheitslücke auf dem Server verschlüsselt über Port 443 oder unverschlüsselt über Port 80 angreift, das Schließen von Port 80 hilft imo also nicht sich vor Angriffen zu schützen.

Rechte in öffentlichen Ordnern per Powershell vergeben

Posted by o.sommer

Mit dem Powershell Befehl

get-publicfolder –recurse

kann man den Namen des Ordners bestimmen:

image

Dann kann man den gewünschten Ordner inkl. Unterordner, mittels “get-publicfolder –recurse” an den Befehl Add-PublicFolderClientPermission übergeben (pipen, | ) und die gewünschten Rechte anwenden lassen.

get-publicfolder \NameDesÖffentlichenordners -recurse | Add-PublicFolderClientPermission -AccessRights EditAllItems –User Benutzerkonto

image

Allerdings bekommt ein User auch damit nicht vollständige Rechte, einzelne Berechtigungen müssen wie in http://technet.microsoft.com/de-de/library/bb310789(EXCHG.80).aspx angegeben einzeln zugewiesen werden.

z.B.

get-publicfolder \NameDesÖffentlichenordners -recurse | Add-PublicFolderClientPermission -AccessRights DeleteAllItems –User Benutzerkonto

Auf der TechNet Site gibt es eine Liste der Berechtigungen, allerdings mit einem Tippfehler in der ersten Zeile bei ReatItems die ich hier deshalb korrigiert angebe:

  • ReadItems Der Benutzer hat das Recht, Elemente in dem angegebenen Öffentlichen Ordner zu lesen.
  • CreateItems Der Benutzer darf im angegebenen Öffentlichen Ordner Elemente erstellen und E-Mail-Nachrichten an den Öffentlichen Ordner senden, wenn dieser für E-Mails aktiviert ist.
  • EditOwnedItems Der Benutzer hat das Recht, Elemente im angegebenen Öffentlichen Ordner zu bearbeiten, deren Eigentümer er ist.
  • DeleteOwnedItems Der Benutzer hat das Recht, die Elemente im angegebenen Öffentlichen Ordner zu löschen, deren Eigentümer er ist.
  • EditAllItems Der Benutzer hat das Recht, alle Elemente in dem angegebenen Öffentlichen Ordner zu bearbeiten.
  • DeleteAllItems Der Benutzer hat das Recht, alle Elemente in dem angegebenen Öffentlichen Ordner zu löschen.
  • CreateSubfolders Der Benutzer hat das Recht, Unterordner in dem angegebenen Öffentlichen Ordner zu erstellen.
  • FolderOwner Der Benutzer ist der Eigentümer des angegebenen Öffentlichen Ordners. Der Benutzer ist zum Anzeigen und Verschieben des Öffentlichen Ordners, zum Erstellen von Unterordnern und zum Festlegen von Berechtigungen für den Ordner berechtigt. Der Benutzer darf keine Elemente lesen, bearbeiten, löschen oder erstellen.
  • FolderContact Der Benutzer ist der Kontakt für den angegebenen Öffentlichen Ordner.
  • FolderVisible Der Benutzer kann den angegebenen Öffentlichen Ordner anzeigen, kann jedoch in diesem Ordner keine Elemente lesen oder bearbeiten.

Outlook-Daten zu Exchange portieren

Posted by t.brinkmann

Folgendes Problem kennen bestimmt Viele: Es sind mehrere PCs vorhanden, an jedem PC arbeiten mehrere unterschiedliche Personen mit unterschiedlichen Benutzeraccounts. Mails werden von jedem Benutzer über Outlook per POP3 abgerufen und lokal gespeichert. In der Vergangenheit war eine Migration dieser PST-Dateien zu Exchange doch recht mühsam, jede PST musste gesucht und importiert werden. Das hat jetzt ein Ende: Microsoft hat das Programm PST Importer 2010 der Firma redgate aufgekauft, aufgebohrt, und stellt es nun als Microsoft Exchange PST Capture kostenfrei zum Download bereit. Neben lokalen Exchange Servern können damit auch lokale PST-Dateien zu Office 365 portiert werden.

Infos zur Benutzung