Granikos Technology Blog

When you configure an Outlook profile to use Cached Mode the client software uses a special address book to resolve email addresses and other information. This address book is named Offline Address Book (OAB) and is built and provided by the Exchange Organisation hosting the mailbox. The client downloads OAB changes when Outlook starts and checks for further OAB changes in intervals. 

OAB provides address resolver capabilities when there is no network connection to Exchange Server or a domain controller available. In addition to resolver capabilities, the OAB contains other important information, e.g., send-as permissions and information regarding public folders.

For security reasons it might be necessary to disallow the download of the Offline Address Book by an Outlook Client. In this case, you control the download functionality with the Windows System Registry. You can disable the OAB download using the following registry key:

Path: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Outlook\Cached Mode
Value type: REG_DWORD
Value name: DownloadOAB
Value: 0 to not download the OAB

Replace <version> with the appropriate Office version number.

With a deactivated OAB download name resolution in Outlook Cached Mode requires network access to an Exchange Server

Links 

• Administering the offline address book in Outlook

Enjoy Exchange Server.

Damit Outlook im "Cached-Mode" E-Mail-Adressen und andere Adressinformationen auflösen kann, wird von Exchange Server eine Offline-Variante des Adressbuches zur Verfügung gestellt, dass sog. "Offline Adressbuch" (OAB). Dieses Adressbuch wird im Regelfall durch den Outlook Client mit einer einer zeitlichen Verzögerung nach dem Start von Outlook heruntergeladen. Während der Ausführungszeit von Outlook erfolgt eine Prüfung auf Änderungen des OAB.

Das OAB ermöglicht die Auflösung von Adressen, wenn keine Verbindung zu einem Exchange Server oder Domänencontroller zur Verfügung steht. Neben der reinen Auflösung von Adressen beinhaltet das OAB auch Informationen zu Senden-Als Berechtigungen und Öffentlichen Ordnern, sofern diese in der Exchange Organisation existieren.

Wenn Sie aus Sicherheitsgründen den Download des OAB auf den Outlook Client verhindern möchten, so müssen Sie den Download über einen benutzerbezogenen Eintrag in der Windows Systemregistrierung (Registry) deaktivieren.

Path: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Outlook\Cached Mode
Value type: REG_DWORD
Value name: DownloadOAB
Value: 0 to not download the OAB

Ersetzen Sie <version> durch die Versionsnummer der installierten Office Version auf dem Client.

Mit einer Deaktivierung der OAB-Download-Funktion kann ein Outlook Client eine Namensauflösung im Cached Mode nur durchführen, wenn eine Verbindung zum Exchange Server besteht.

Links 

• Administering the offline address book in Outlook

Im Februar 2019 erscheint mein Buch Exchange Server 2019 - Das Handbuch für Administratoren im Rheinwerk Verlag. 

In diesem Handbuch gebe ich Ihnen Empfehlungen zur Implementierung einer Exchange Server 2019 Plattform. Diese Empfehlungen basieren auf meiner langjährigen Erfahrung als Berater im Bereich Exchange Server, Exchange Online und Office 365.

Aus dem Inhalt:

• Exchange Server 2019 - Versionen, Funktionsumfang und Neuerungen
• Bare Metal, virtualisiert, in der Cloud oder integriert in Office 365: Was ist die richtige Basis für Ihre Konfiguration?
• Planung: Migration, Lizenzen, Berechtigungen
• Installation und Konfiguration
• Administration: Exchange Administrative Center, PowerShell und RBAC
• Betrieb: Wartungsszenarien, Sicherheit, CALs
• Exchange und Compliance: Rights Management, Data Leakage Prevention, Legal Hold
• Exchange Worst Practices
• Checklisten 

• ISBN-10: 3836256436
• ISBN-13: 978-3836256438

Links

• Weitere Informationen und Vorbestellung beim Rheinwerk Verlag
• Weitere Informationen und Vorbestellung bei Amazon

Ich wünsche Ihnen schon jetzt viel Spaß mit Exchange Server 2019.

Buchcover © Rheinwerk Verlag

In der heutigen Zeit ist die skriptbasierte Verwaltung von Server-Softwarelösungen aus der Arbeitswelt von Administratoren nicht mehr wegzudenken. Immer mehr Produkte und cloudbasierte Dienste lassen sich nur per PowerShell und individuelle Skripte sinnvoll administrieren. Gerade Office 365 ist hier ein unrühmliches Beispiel, da jeder Dienst über eine individuelle PowerShell-Schnittstelle verfügt.

Dieser Umstand hat zur Folge, dass Sie als Administrator oft Skripte zur Verwaltung komplexer Umgebungen einsetzen müssen, die Sie nicht selbst geschrieben haben. Die Skripte werden entweder von externen Dienstleister programmiert oder einfach aus dem Internet heruntergeladen. Hierbei implementiert jedes Skript, im Idealfall, eine eigene Protokollierung der ausgeführten Aktionen. 

Das Problem

Die PowerShell-Skripte sind in den meisten Fällen für die individuelle Ausführung durch einen Administrator konzipiert und weniger für die regelmäßige und vollautomatische Ausführung. Als Administrator möchten Sie sich aber um wichtiger Dinge kümmern, als z.B. die Anlage von Benutzerkonten im Active Directory, die E-Mail-Aktivierung von Konten oder die Erstellung von SharePoint Team-Sites.

Sie stehen u.a. vor folgenden Problemen:

• Wie können Sie die Ausführung der PowerShell-Skripte automatisieren?
• Wie können Sie die Eingabe benötigter Skript-Parameter sinnvoll mit einer Automatisierung kombinieren?
• Wie können Sie die unterschiedlichen Skript-Anmeldeinformationen sicher verwalten?
• Wie können Sie die Ausführung der PowerShell-Skripte delegieren?
• Wie können Sie alle Ausführungen der Skripte einheitlich und auditfähig protokollieren?

Sie kommen mit der Nutzung der Windows Bordmitteln, wie dem Task Scheduler, schon recht weit. Aber Sie werden mir zustimmen, dass dieses Tool nicht gerade die bequemste Art ist, um PowerShell-Skripte sinnvoll und sicher zu automatisieren. 

Die Lösung

Ein Lösung für dieses Dilemma ist die Nutzung einer Softwarelösung, die uns ein Trennung zwischen dem ausführenden Skript-Kontext und dem Kontext des Anwenders, der ein Skript startet, bietet. Mit einem Rollen- und Berechtigungssystem kann ein Skript, in Abhängigkeit der Rollenzuweisung, unterschiedlich ausgeführt werden.

WIr benötigen also ein Lösung, die uns folgende Funktionen bietet:

• Einfache und sichere Konfiguration von Benutzerkonten zur Skriptausführung, je nach Zielsystem
  • Active Directory
  • SharePoint Server
  • Exchange Server
  • Office 365 mit seinen unterschiedlichen Workloads
  • usw.
• Einfache Automatisierung von PowerShell-Skriten
  • Zeitplänen 
  • individuelle externe Trigger, z.B. PRTG 
  • manueller Start
• Rollenbasierte Delegierung von Skript-Konfigurationen
  • Helpdesk- und Support-Mitarbeiter (intern/exterm)
  • Regionale Administrator-Teams
  • IT-affine MIttarbeiter, z.B. DV-Ansprechpartner
• Einheitliche und auditfähige Protokollierung aller Aktivitäten, der zugriffsberechtigten Personen und der Skripte
• Eingehende und Ausgehende Schnittstellen mit anderen Softwarelösungen
  • dynamischen Auswahl von Skript-Parametern
  • Start von PowerShell-Skripten in Abhängikeit von externen Parameter
• Webbasiertes Interface zur intuitiven Ausführung von delegierten Aufgaben
• Minimierung des Sicherheitsrisikos
  • keine Installtion von PowerShell-Module auf den Arbeitsplätzen-PCs

Mit ScriptRunner steht eine professionelle Softwarelösung zur Verfügung, die uns all diese Möglichkeiten bietet. ScriptRunner ist ein sehr umfangreiches und leistungsfähiges Produkt zur PowerShell-Automatisierung. Aus meiner Sicht ist das Sicherheitskonzept, das für die Delegierung der Skript-Ausführungen eingesetzt wird, einer der Hauptgründe für das Produkt.

Das folgende Schaubild vereutlicht die Isoliserung von ScriptRunner für die sichere Ausführung von PowerShell-Skripten.

Grafik © ScriptRunner

Die einzelnen Schritte sind:

1. Administratoren und DevOps entwickeln PowerShell-Skripte für die Nutzung mit ScriptRunner
2. ScriptRunner-Administratoren implementieren die Skripte und konfigurieren die Nutzergruppen
3. Anwender können PowerSkripte entsprechend ihrer Rollenzugehötigkeit ausführen
4. ScriptRunner führt die Scripte mit individuellen Anmeldeninformationen gegen lokale Systemen oder Cloud-Ressourcen aus
5. Die Skript-Ergebnisse werden von ScriptRunner erfasst und protokolliert

Die Vorteile

Die Automatisierung und die wiederkehrende Ausführung führt zu einer Reduzierung der Betriebsrisiken und minimiert kostenintensive manuelle Nacharbeiten. Dies gelingt durch die hohe Reproduzierbarkeit der immer gleichen Aufgaben (Stichwort: Erstellung von Benutzern mit unterschiedlichen Attributen, je nach Fachabteilung). Durch ein Zonenmodell und die strikte Trennung der Ausführungsberechtigungen (Anwender, Automatisiserungsdienst, Skript-Credentials) erreichen Sie ein Maximum an Betriebssicherheit. 

Mit solch einer Aufteilung können Sie die Ausführung von Skripten nicht nur an das Helpdesk-Team delegieren, sondern sogar an DV-Ansprechpartner in Fachabtielungen. Die Weboberfläche ist intuitiv bedienbar und führt den Anwender sucher durch alle konfigurierten Eingabe- und Auwahlschritte. 

Ab Q1 2019 werden Sie speziell für Exchange Server, Exchange Online und Office 365 entwickelte Skripte zur Nutzung mit ScriptRunner in diesem Blog finden.

Links

• Mehr über ScriptRunner erfahren
• ScriptRunner testen

Viel Spaß bei der Automatisierung!

Manchmal ist es notwendig, das Offline Adressbuch (OAB) für den Outlook E-Mail Client manuell herunterzuladen.

Kommt es beim Herunterladen des OAB zu einem Fehler, in diesem Fall 0x80200051, wird durch den First-Line Support gerne zwischen dem Online- und dem Cached-Modus von Outlook hin und her gewechselt. Leider behebt dieses Vorgehen den Fehler nicht.

Nach dem erneuten Aktivieren des Cached-Modus, muss das OAB vollständig neu heruntergeladen werden. Leider ist im Outlook-Diaglog zum manuellen Download des OAB die Checkbox "Änderungen seit der letzten Übermittlung herunterladen" standardmäßig aktiv. Diese Option muss abgewählt werden, um einen vollständigen Download es OAB durchführen zu lassen.

Mit dieser Download-Einstellung kommt es nicht mehr zu einem Fehler.

Viel Spaß mit Outlook.