Granikos Technology Blog

Bei der Ausführung eines Migrations-Batches kann es beim Verschieben eines Postfaches zu einem SourceMailboxAlreadyBeingMovedTransientException Fehler kommen.

Dieser Fehler tritt auf, wenn für ein Quell-Postfach bereits das InTransit-Flag gesetzt wurde und es während der Ausführung des Migrations-Batches zu Problemen kommt. Dieses Flag signalisiert, dass bereits eine Postfach-Verschiebung aktiv ist. 

Dieses Flag ist ein sog. In-Memory-Flag und bleint auch u.U. gesetzt, wenn Sie den Migration-Batch abbrechen und löschen. 

Das Flag lässt sich nur durch einen den Neustart des Exchange Informationsspeichers bzw- durch ein Fail-Over der Postfach-Datenbank des betroffenen Postfaches löschen.

Für den Neustart des Exchange Informationsspeichers führen Sie folgenden Befehl in einer administrativen PowerShell-Sitzung aus:

Restart-Server MSExchangeIS

Der Fehler kann tritt technisch unabhängig von der Postfachgröße auf. Jedoch sind große Postfächer naturgemäß, durch die zeitliche Dauer der Migration, anfälliger für Fehler durch Probleme bei der Netzwerkverbindung. Selbst wenn die standardmäßige TCP KeepAliveTime von Windows Server von 2 Stunden auf 5 Minuten angepasst wird, wie im Blog-Artikel von Brad Hughes beschrieben. 

Ebenso tritt der Fehler bei Migration von On-Premises Exchange Server zu Exchange Online, wie auch bei lokalen Cross-Forest Migrationen auf.

Links

• Source mailbox already being moved errors while moving mailboxes
• It's always the Load Balancer

Enjoy Exchange!

Und weiter einmal...

Die neue Version von .Net Framework wurde veröffentlicht und von Microsoft per Windows Update bereitgestellt. Das Exchange Team wiederum hat sich überlegt, die Version 4.7.2 nicht offiziell zu unterstützen. Das bedeutet, dass Sie .Net Framework 4.7.2 auf Exchange Server Systemen nicht installieren dürfen. 

Da die Verteilung per Windows Update erfolgt, müssen Sie die Installation per Registrierungsschlüssel auf jedem Exchange Server blockieren. 

Mit der folgenden BlockNetFramework472.reg Datei können Sie den Registrierungsschlüssel schnell und einfach setzen.

Links

• Do Not Install .NET Framework 4.7.2 on Exchange Servers
• How to temporarily block the installation of .NET Framework 4.7.2

Weiterhin Viel Spaß mit Exchange Server!

Das Blog Cumulative Update für April 2018 (CU0418) fasst interessante Themen rund um Cloud Sicherheit, Exchange Server, Office 365, Azure und Skype for Business des Monats April 2018 zusammen.

Exchange Server

• Outlook License Requirements for Exchange Features
• Exchange Server TLS guidance Part 2: Enabling TLS 1.2 and Identifying Clients Not Using It
• How-to - Load Remote Exchange PowerShell Session on Exchange 2010, 2013, 2016, Exchange Online (O365)
• Exchange Server 2013 Enters Extended Support Lifecycle Phase
• Exchange 2010 End of Support Is Coming
• Generic Toolbox script for using EWS to enumerate Folders and Items in an Exchange Mailbox
• OffCAT’s replacement – Microsoft Support and Recovery Assistant (SaRA)
• Source based routing in Exchange
• How to copy single items from one mailbox to another by using EWS Editor
• Changes coming to the SMTP Authenticated Submission client protocol

Office 365 | OneDrive | Exchange Online | and more

• [STICKY] Office 365-Trust Center
• [STICKY] Office 365 URLs and IP address ranges
• Office 365 Support and Recovery Assistant (aka SaRA)
• A new architecture for Exchange hybrid customers enables Outlook mobile and security
• Cross-Premises Mailbox Delegation in Hybrid Office 365
• Announcing: Office 365 endpoint categories and Office 365 IP Address and URL web service
• Office 365 Exchange Hybrid: When Autodiscover and legacy PF impacting Outlook performance
• What’s new in Microsoft Teams – April update
• Customizing ADFS To Match Azure AD Centered User Experience
• Office 365: Licensing mail users results in mailbox objects
• Office 365: Internal forwarding and remote domains
• Office 365: Auto-Expanding Archives FAQ
• Office 365: Detecting and preventing duplicate mailboxes between On-Premises and Exchange Online
• Building controlled user identity with AzureAD (OAuth/OpenID Connect)
• Intelligently Using Migration Endpoints to Speed up Migrations to Exchange Online - Part 2
• Azure AD Connect version 1.1.751.0 released for download only
• Office 365: Trusting application emails sent through internal relay
• Announcing the increase of the Public Folder limit in Exchange Online from 250,000 to 500,000 folders
• OneDrive Brings New Sharing and Collaboration Features to Mac, iOS and Android

Skype for Business, Lync Server & Communication

• Download: Skype for Business Network Assessment Tool
• Lync 2013 / SfB 2015 Client Update – April 2018
• The 5 Modes - How Migrating from Skype for Business to Microsoft Teams will work
• Skype for Business Updates

Microsoft Azure

• [STICKY] Microsoft Azure Trust Center
• Azure Architecture Center
• Virtual Machines Licensing FAQ
• Printing to on-prem printers from Azure AD-joined devices

Cloud Themen & Cloud Sicherheit

• [STICKY] Microsoft Security TechCenter
• Take these steps to stay safe from counterfeit software and fraudulent subscriptions
• The CLOUD Act is an important step forward, but now more steps need to follow
• Announcing: new British Standard for cyber risk and resilience
• Hunting down Dofoil with Windows Defender ATP
• Defend yourself from cybercrime with new Office 365 capabilities
• Security baselines should underpin efforts to manage cybersecurity risk across sectors
• Microsoft to deliver new products and strategies for security innovation at 2018 RSA Conference
• Microsoft Security Intelligence Report volume 23 is now available
• Preparing for a new era in privacy regulation with the Microsoft Cloud
• Tapping the intelligent cloud to make security better and easier
• Password-less Sign-In to Windows 10 & Azure AD using FIDO2 is coming soon (plus other cool news)
• Microsoft releases biannual digital trust reports
• The facts about a recent counterfeiting case brought by the U.S. government

Knowledge Base & TechNet

• Managing Office 365 endpoints
• Modern Auth for SfB OnPrem with AAD
• Allow or Block Guest Users from a Specific Team in Microsoft Teams

Allgemein

• How to install SysInternals using PowerShell package management
• LPWA (Low Power Wide Area) Will Be the Key to Efficient, Affordable and Globally Available IoT
• Automation, Machine Learning, and AI: Is the Sysadmin Becoming Obsolete?
• Announcing the Defending Democracy Program
• PowerShell - Script to export events to screen and/or to a CSV file from one or multiple machines
• 5 Important Steps to Survive an IT Emergency

Replay

• Juni 2017: Getting the best connectivity and performance in Office 365

Podcast Empfehlungen

• Exchange Exposed

Tools

• Mailscape 365 - Exchange Online Monitoring und Reporting
• Mailscape - Exchange Monitoring und Reporting
• Uniscope - Lync Monitoring und Reporting
• Compass - Active Directory Monitoring und Reporting
• ForeSite - SharePoint Monitoring und Reporting
• ISESteroids - PowerTheShell
• Microsoft Azure, Cloud and Enterprise Symbol / Icon Set - Visio stencil, PowerPoint, PNG, SVG
• Active Directory Migration Tool version 3.2
• ADFS Rapid Restore Tool

Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform.

Sie möchten mehr über Exchange Server 2016 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

Die Aktivierung der Kerberos Authentifizierung für Exchange Server 2013/2016 wird in diversen Artikeln im Internet beschrieben. In diesem Blogartikel geht es heute um ein Phänomen, das mir in einer Exchange Server 2013 Umgebung (8 Server DAG) begegnet ist. 

Alle Outlook 2010 Clients verwenden OutlookAnywhere für den Exchange Server Zugriff aus dem internen Netz. MAPI over Http ist sowohl auf der Organisationsebene als auch auf Postfachebene deaktiviert, da noch ein Problem mit der Kompatibilität einer Drittanbietersoftware existiert.

Problem

Nach der Aktivierung der Kerberos Authentifizierung verwenden alle Outlook Clients weiterhin nur die NTLM Authentifizierung, um sich am OutlookAnywhere Endpunkt anzumelden. Und dies, obwohl die Schritt-für-Schritt Anleitung aus dem TechNet befolgt wurde. Kerberos war für die Outlook Clients kein Thema. 

Ein Blick in die Übersicht des Outlook Verbindungsstatus (Strg + Rechter Mausklick auf des Outllok Symbol im System Tray) zeigt die Verwendung von NTLM.

Grund

Die Umstellung der Authentifizerung auf Kerberos für OutlookAnywhere erfolgt auf jedem CAS Server über das folgende PowerShell Cmdlet:

Get-OutlookAnywhere -Server CASSERVER | Set-OutlookAnywhere -InternalClientAuthenticationMethod  Negotiate

Alle acht Exchange 2013 Server boten auch nach gebotener Zeit keine Nego Authentifizierung an. Die Überprüfung der OutlookAnywhere Konfiguration mit Hilfe der PowerShell zeigte die korrekten Konfigurationswerte. Aber was nun?

Ein Kontrolle der Authentifizerungseinstellungen für das \Rpc virtuelle Verzeichnis der Front End Website in der IIS Management Console zeigte, dass das virtuelle Verzeichnis nur für NTLM konfiguriert war.

Lösung

Mit Hilfe der IIS Management Console wurde der Negotiate Authentifizierungsanbieter hinzugefügt in der Reihenfolge der Anbieter an die erste Stelle gesetzt..

Nach Anpassung der Authentifizierungsanbieter in der Front End Wesbite können sich Outlook Clients mit Kerberos Authentifizerung an den OutlookAnywhere Endpunkt verbinden.

Hinweis

Im Normalfall sollte die IIS Management Console nicht für die Konfiguration der virtuellen Verzeichnisse einer Exchange Server INstallation verwendet werden. Die Anpassung der Konfigurationen mit Hilfe IIS MMC sollte nur im Troubleshooting-Fall verwendet werden, wenn einem unerklärliche Phänomene begegnen.

Die bevorzugte Methode zur Konfiguration von Exchange Server Einstellungen für virtuelle Verzeichnisse ist die Exchange Management Shell.

Links

• Configuring Kerberos authentication for load-balanced Client Access services (Exchange 2016), https://technet.microsoft.com/en-us/library/ff808312(v=exchg.160).aspx
• Configuring Kerberos authentication for load-balanced Client Access servers (Exchange 2013), https://technet.microsoft.com/en-us/library/ff808312(v=exchg.150).aspx

Weiterhin viel Spaß mit Exchange Server

Microsoft hat die Exchange Updates für das 4. Quartal 2016 veröffentlicht.

Für den Betrieb von Exchange Server 2016 auf Windows Server 2016 wurde ein Knowledge Base Artikel veröffentlicht. Bei einer Installation von Exchenge auf Windows Server 2016 ist die Installation des Fixes zwingend. Das Setup wird ohne die Installation des Fixes nicht fortfahren.

• Download KB 3206632

Der Einsatz von .NET Framework 4.6.2 ist für die Q4 2016 Cumulative Updates noch optional, jedoch dringend empfohlen. Für die kommenden Cumulative Updates wird das .NET Framework 4.6.2 allerdings verpflichtend sein.

Die einzelnen Updates für Exchange:

• Exchange Server 2016 Cumulative Update 4 (KB3177106), Download, UM Lang Packs
• Exchange Server 2013 Cumulative Update 15 (KB3197044), Download, UM Lang Packs
• Exchange Server 2010 Service Pack 3 Update Rollup 16 (KB3184730), Download
• Exchange Server 2007 Service Pack 3 Update Rollup 22 (KB3184712), Download

Bei einem Hybrid Betrieb mit Office 365 und Exchange Server 2013/2016 muss entweder das jeweils das aktuelle CU oder nur das vorherige CU installiert sein. Dies entspricht dem N-1 Ansatz.

Für einen reinen On-Premises Betrieb von Exchange Server 2013/2016 gilt N-2. Es wird jeweils das aktuelle CU und die beiden letzten Vorversionen unterstützt.

Links

• EHLO Blog Post der Produktgruppe
• Microsoft Update-Katalog