Alle Beiträge von Thomas Joos

Öffentliche Ordner in der Exchange-Verwaltungskonsole verwalten

In Exchange 2013 können Sie über den Bereich „Ordnerberechtigungen“ auf der rechten Seite unten im Bereich „Öffentliche Ordner/Öffentliche Order“ Berechtigungen ändern.

Rufen Sie die Bearbeitung eines öffentlichen Ordners mit dem Stiftsymbol in der Exchange-Verwaltungskonsole auf, können Sie weitere Einstellungen anpassen.

Auf der Registerkarte „Allgemein“ steht noch die Option „Gelesen- und Ungelesen-Informationen pro Benutzer für diesen öffentlichen Ordner aufbewahren“ zur Verfügung. Aktivieren Sie dieses Kontrollkästchen, merkt sich der Ordner den Lesestatus der Elemente für einzelne Benutzer.

Auf der Registerkarte „Allgemeine E-Mail-Eigenschaften“ können Sie verschiedene Einstellungen für die Anzeige des öffentlichen Ordners und der E-Mail-Adresse vornehmen. Die Option „Aus Exchange-Adresslisten ausblenden“ verhindert, dass der Ordner in der globalen Adressliste und anderen Adresslisten angezeigt wird. 

Auf der Registerkarte „Zustellungsoptionen“ können Sie Einstellungen für den Nachrichtenfluss festlegen.Wichtige Einstellungen finden Sie auch über das Menü „Nachrichtenflusseinstellungen“. Hier lassen sich Einstellungen ebenso vornehmen wie für normale Benutzer,

 

Erstellen von Top-Level-öffentlichen Ordnern

Standardmäßig dürfen nur Administratoren öffentliche Ordner direkt im Root der Öffentliche Ordner-Struktur anlegen. Sie sollten einen Personenkreis definieren, der das zukünftig tun soll, wenn Sie sich nicht selbst darum kümmern wollen.

Legen Sie dazu am besten eine eigene Sicherheitsgruppe in Windows an, der Sie dann diese Berechtigung erteilen. Sie müssen dazu lediglich Benutzer in diese Gruppe aufnehmen , wenn diese öffentliche Stammordner erstellen sollen. Damit die Anwender kein Rechte mehr zum Anlegen öffentlicher Top-Level-Ordner haben, entfernen Sie das Benutzerkonto aus der Gruppe.

Um die Berechtigung zum Anlegen von öffentlichen Rootordnern zu verändern, fügen Sie am besten eine neue Gruppe hinzu. Dazu klicken Sie in der Exchange-Verwaltungskonsole auf „Öffentliche Ordner/Öffentliche Ordner“ und klicken dann auf „Weitere Optionen (…)“ und anschließend auf „Stammberechtigungen“. Nehmen Sie den Benutzer oder die Gruppe auf und weisen Sie den Konten die Berechtigungen zu, die diese für öffentliche Ordner auf oberster Ebene erhalten sollen. Starten die Anwender Outlook neu, dürfen diese öffentliche Ordner auf oberster Ebene anlegen.

Private Clouds mit SCVMM

Sie können  bei der Erstellung von Clouds in SCVMM 2012 R2 auch VMware-Ressourcenpools auswählen. Der nächste Schritt besteht darin, dass Sie die logischen Netzwerke von SCVMM an die Cloud anbinden.

Setzen Sie Lastenausgleichsmodule ein, können Sie diese an die private Cloud anbinden. Hier haben Sie auch die Möglichkeit das NLB-Modul von Windows Server 2012 R2 verwenden.

In weiteren Einstellungen legen Sie Vorlagen für die Cloud fest und die Portklassifizierungen der Cloud. Diese können Sie jederzeit ändern. Danach legen Sie fest, wo SCVMM die VMs speichern soll, die Sie in dieser Cloud erstellen. Sie können entweder den lokalen Speicher verwenden, den der Assistent zusammengefasst für alle Hyper-V-Hosts anzeigt, oder Sie lassen die VMs im Netzwerk speichern.

Sobald die Cloud erstellt ist, können Sie im Assistenten zum Erstellen von neuen VMs auch die Clouds als Speicherort der VM auswählen, nicht nur Hostgruppen und Bibliotheken. Die Erstellung von VMs in private Clouds entspricht der Erstellung einer VM direkt in einer Hostgruppe. Clouds können mehrere Hostgruppen überspannen und daher auch VMs auf verschiedenen Hosts in unterschiedlichen Hostgruppen speichern.

Clouds erscheinen im Bereich „VMs und Dienste“ im oberen Bereich bei „Clouds“. Sie können im Unternehmen mehrere Clouds erstellen. Die Einstellung der Cloud ändern Sie ebenfalls an dieser Stelle.

Updaterollups und Servicepacks installieren

Updaterollup 3 für System Center 2012 R2 (http://support.microsoft.com/kb/2965090/de) laden Sie direkt bei Microsoft herunter.

Rufen Sie die Seite des Updaterollups auf, können Sie für die einzelnen Produkte im System Center die Updates herunterladen. Das spezielle Updaterollup für SCVMM 2012 R2 finden Sie auf der Seite http://support.microsoft.com/kb/2965414. Hier lesen Sie auch alles über behobenen Fehler.

Die Installation von Updaterollups läuft immer identisch ab. Sie laden die Installationsdateien für den Verwaltungsserver und die Verwaltungskonsole herunter. Zunächst installieren Sie das Updaterollup für den Verwaltungsserver und danach die Aktualisierung für die Verwaltungskonsole.

Haben Sie diese auch auf Arbeitsstationen oder anderen Servern installiert, müssen Sie auch auf den Servern und Computern mit den Verwaltungstools die Aktualisierung installieren. Zur Installation verwenden Sie einfach die MSP-Datei, klicken doppelt auf diese und führen den Installationsassistent durch. Auch wenn es oft nicht gefordert ist, sollten Sie den Server nach der Installation von Updatrollups neu starten lassen. Auf der Internetseite des Updates lesen Sie häufig auch Anleitungen zur Installation.

Viele Updates werden auch über die Befehlszeile installiert. In  diesem Fall öffnen Sie auf dem Server eine Eingabeaufforderung, wechseln in das Verzeichnis mit dem Update und geben den folgenden Befehl ein:

msiexec /update <Name der Installationsdatei>

Achten Sie außerdem auf zusätzliche Anforderungen, wie die Ausführung von Abfragen für den SQL-Server, auf dem die Daten von SCVMM gespeichert sind.

 

Windows Server Update Services – Erweiterte Möglichkeiten

Das CMDlet get-wsuscomputer zeigt die angebundenen Computer an. Get-wsusserver zeigt die WSUS-Server an, die Patches im Netzwerk verteilen. Ebenfalls interessant ist get-wsusproduct. Dieser Befehl zeigt die Produkte und Patches , die WSUS verteilen kann. 

Setzen Sie mehrere WSUS-Server im Unternehmen ein, ist es nicht notwendig, dass sich alle Server direkt bei Microsoft synchronisieren. Sie können auch einen Upstream-Server festlegen, von dem andere WSUS-Server ihre Updates beziehen.Sobald Sie den Quell-WSUS-Server eingerichtet haben, rufen Sie auf den untergeordneten WSUS-Servern Optionen\Updatequell und Proxyserver auf. Aktivieren Sie die Option Von einem anderen Windows Server Update Services-Server synchronisieren.

Standardmäßig nutzt WSUS für die Kommunikation mit den Clients und der Verwaltungskonsole das HTTP-Protokoll. In sicheren Umgebungen sollten Sie hier SSL aktivieren. Dazu müssen Sie auf dem Server zunächst ein Serverzertifikat installieren. Danach aktivieren Sie im IIS-Manager für die folgenden Webs SSL:

  • ApiRemoting30
  • ClientWebService
  • DssAuthWebService
  • ServerSyncWebService
  • SimpleAuthWebService

Damit die Konsole wieder funktioniert öffnen Sie zunächst eine Befehlszeile und wechseln in das Verzeichnis C:\Programme\Update Services\Tools. Geben Sie den Befehl wsusutil Configure SSL <Name des Zertifikats>.

 

 

 

Office 2010/2013 automatisiert installieren

Mit dem Microsoft Office-Anpassungstool (Office Customization Tool, OCT) passen Sie über eine grafische Oberfläche die Installation von Office 2010/2013 an und automatisieren Installation und Einstellungen für die Benutzer. Das Tool ersetzt die Office 2003-Werkzeuge zur automatischen Office-Installation, den Custom Installation Wizard und Custom Maintenance Wizard.

Änderungen, die Sie mit dem Microsoft Office-Anpassungstool am Office-Setup vornehmen, speichert das Programm in einer Setupanpassungsdatei (Setup Customization File). Die Datei erhält als Endung .msp. Beim Start des Office-Setupprogramms führt das Programm die Änderungen in dieser Datei automatisch aus. Die Datei muss dazu im Unterordner \Updates des Installationsordners gespeichert sein. Befindet sich eine .msp-Datei in diesem Ordner, verwendet das Office-Setup diese automatisch bei der Installation, unabhängig davon, ob es sich um eine Installationsdatei oder einen Patch handelt.

Um das Office Customization Tool zu verwenden, starten Sie das Setupprogramm mit der Option /admin. Rufen Sie den Befehl setup /admin bei einer nicht kompatiblen Office-Edition auf, erscheint eine Fehlermeldung.

Neben .msp-Dateien können Sie auch die Standardkonfigurationsdatei Config.xml von Office 2010/2013 für die Installation anpassen. Die Datei gehört zum Installationsumfang von Office 2010/2013.

Neben den Möglichkeiten, die Office 2010/2013-Installation über .msp-Dateien und das Administrationsprogramm zu beeinflussen, können Sie das Setupprogramm auch mit speziellen Optionen starten. Mit der Option /adminfile <.msp-Datei> wendet das Installationsprogramm die angegebene .msp-Datei an. Mit der Option /config <Konfigurationsdatei> weisen Sie das Setupprogramm an, eine andere Konfigurationsdatei zu verwenden, als bei einer normalen Installation.

SharePoint-Datenbanken auf dem SQL-Server überprüfen

Folgende Datenbanken werden durch SharePoint auf den SQL-Servern angelegt:

  • Konfigurationsdatenbank — In dieser Datenbank speichert SharePoint alle Einstellungen der Farm, Daten der einzelnen Websites und weitere Daten, welche die ganze Farm betreffen, und anderen SharePoint-Datenbanken. Diese Datenbank gibt es nur einmal in jeder Farm.
  • Zentraladministrationsdatenbank — Hierbei handelt es sich um die Datenbank der Zentraladministration, welche die Inhalte enthält. Im Vergleich zu den Inhaltsdatenbanken von anderen Websitesammlungen gibt es auch diese nur einmal pro Farm. Die Datenbank sollte auf dem gleichen Datenbankserver liegen als die Konfigurationsdatenbank der Farm.
  • Inhaltsdatenbanken — In diesen Datenbanken liegen die Inhalte und Dateien der einzelnen Websites, Bibliotheken, Listen und Blogs. Von dieser Datenbank und ihrer Größe hängt in erster Linie die Leistung der verschiedenen Bereiche ab. Aus diesem Grund sollten Sie die Datenbanken nicht zu groß werden lassen und weitere Datenbanken anbinden. Webanwendungen verwenden immer mindestens eine Inhaltsdatenbank. Sie können aber jederzeit weitere Inhaltsdatenbanken einer Webanwendung zuordnen.
  • Verwendungs- und Integritätsdatenerfassung — Hier speichert SharePoint die Daten der Überwachung in SharePoint. In jeder Farm gibt es nur eine solche Datenbank.
  • Business Data Connectivity Service (BCS) — Arbeiten Sie mit Daten von außerhalb von SharePoint und arbeiten Sie dabei mit BCS, erhält dieser Dienst eine eigene Datenbank.
  • Die erwähnten Datenbanken gibt es in SharePoint Foundation 2010 und in SharePoint Server 2010. Allerdings existieren in SharePoint Server 2010 noch weitere Datenbanken, die Sie berücksichtigen sollten:
  • Suchdienstverwaltungsdatenbank (Search Service Administration Database) — Diese Datenbanken speichert die Konfiguration der SharePoint-Suche. Jede Suchanwendung, die Sie in der Farm erstellen, erhält eine eigene Datenbank.
  • Durchforstungsdatenbank (Crawl Database) — Die Durchforstungsdatenbank speichert den Index und den Verlauf der einzelnen Quellen, die SharePoint durchsucht.
  • Eigenschaftsdatenbank (Property Store Database)–Auch diese Datenbank dient zur Unterstützung der Suche in SharePoint. Diese Datenbank speichert alle Eigenschaften und Metadaten der indexierten Daten. In großen Umgebungen kann es sinnvoll sein, die verschiedenen Datenbanken der Suche auf mehrere SQL-Server aufzuteilen.
  • Benutzerprofildatenbank (User Profile Database) — Diese Datenbank speichert die Benutzerprofile und alle Einstellungen der Benutzer. Die Größe steigt mit der Anzahl der Benutzer an.
  • Synchronisationsdatenbank (Synchronization Database) — Die Datenbank speichert die Synchronisierung der Benutzerprofile mit Active Directory.
  • Verwalteter Metadatendienst (Managed Metadata Service) — Hier speichert SharePoint alle Daten der verwalteten Metadaten. Jeder Dienst erhält seine eigene Datenbank.
  • Web Analytics — Diese Datenbank speichert die Ergebnisse der Webanalyse.

Neben diesen Datenbanken erhält jede Dienstanwendung, die Sie in SharePoint erstellen, seine eigene Datenbank, auch dann, wenn Sie eine zweite Instanz des Diensts erstellen.

Gruppenrichtlinien für Dynamic Access Control

Damit Claim und Claim Types funktionieren, müssen Sie Einstellungen in den Gruppenrichtlinien vornehmen. Dafür stehen die Einstellungen über Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\KDC\Unterstützung des Kerberos-Domänencontrollers für  Ansprüche, Verbundauthentifizierung und Kerberos-Schutz zur Verfügung. Aktivieren Sie diese Richtlinie und setzen Sie die die Option Unterstützt oder Immer Ansprüche liefern. Die Einstellung muss auf den Domänencontrollern gesetzt sein, welche die DAC-Infrastruktur mit Daten beliefern.

Legen Sie eigene Resource Property Lists an, müssen Sie diese über Gruppenrichtlinien auf die Dateiserver mit den Dokumenten verteilen.  Die Einstellungen dazu finden Sie über  Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Dateiklassifizierungsinfrastruktur\Dateiklassifizierungsinfrastruktur: Liste der Klassifizierungseigenschaften angeben.

Nachdem Sie Client Access Rules erstellt haben, legen Sie auf deren Basis Client Access Policies fest. Setzen Sie auf Dateiserver, müssen Sie auch hier Gruppenrichtlinien nutzen. Die Einstellungen dafür finden Sie unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Dateisystem\Zentrale Zugriffsrichtlinie.

Zertifizierungsstellenverwaltung delegieren

Klicken Sie in der Verwaltung der Zertifizierungsstelle auf der Registerkarte „Zertifikatverwaltungen“ auf „Zertifikatverwaltungen einschränken“, und überprüfen Sie, ob der Name der Gruppe oder des Benutzers angezeigt wird.

Klicken Sie unter „Zertifikatvorlagen“ auf „Hinzufügen“ und wählen Sie die Vorlage für die Zertifikate aus, die von diesem Benutzer oder dieser Gruppe verwaltet werden sollen. Über „Berechtigungen“ konfigurieren Sie die Rechte auf die einzelnen Gruppen. In Windows Server 2012 R2 sind Zertifikatvorlagen enthalten, die unterschiedliche Registrierungs-Agenttypen aktivieren.

Die Einstellungen für diese Agents werden auf der Registerkarte „Registrierungs-Agents“ durchgeführt. Klicken Sie im Bereich „Registrierungs-Agents“ auf „Hinzufügen“ und geben Sie die Namen des Benutzers oder der Gruppen ein.

Auf der Registerkarte „Überwachung“ werden die zu überwachenden Ereignisse ausgewählt. Die generellen Optionen der Überwachungsrichtlinie können in Gruppenrichtlinie unter „Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien“ eingestellt werden. Die Ereignisse werden im Überwachungsprotokoll der Ereignisanzeige festgehalten

SSL für Zertifikatdienste einrichten und Zertifikate nutzen

Wenn Sie ein Zertifikat über diese URL abrufen wollen, erhalten Sie aber die Meldung, dass Sie erst SSL für den Webdienst aktivieren müssen. Dazu gehen Sie folgendermaßen vor:

  1. Klicken Sie im Internetinformationsdienste-Manager auf „Sites/Default Web Site“.
  2. Klicken Sie rechts auf „Bindungen“.
  3. Klicken Sie im neuen Fenster auf Hinzufügen und wählen Sie https aus.
  4. Wählen Sie bei „SSL-Zertifikat“ ein Zertifikat aus. Sie können das Zertifikat jederzeit anpassen.
  5. Klicken Sie zweimal auf „OK“, um die Änderungen zu speichern.

Sobald Sie die Bindung definiert haben, können Sie bereits auf die Seite per SSL zugreifen.  Dazu verwenden Sie den Link https://<Servername>/certsrv.

Die Installation der Zertifikate von internen Zertifizierungsstellen findet über die Gruppenrichtlinie in Active Directory statt. Arbeiten Sie mit einer Zertifizierungsstelle eines Drittanbieters, müssen Sie das Zertifikat der Zertifizierungsstelle in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Zertifikate überprüfen Sie auf folgendem Weg:

  1. Geben Sie „certlm.msc“ auf der Startseite ein.
  2. Erweitern Sie in der Konsole „Zertifikate/Vertrauenswürdige Stammzertifizierungsstellen/Zertifikate“.
  3. Überprüfen Sie an dieser Stelle ob das Zertifikat der Zertifizierungsstelle hinterlegt ist. Finden Sie das Zertifikat nicht, dann geben Sie in einer Eingabeaufforderung „gpupdate /force“ ein, um per Gruppenrichtlinie das Zertifikat abzurufen. Erscheint auch dann das Zertifikat nicht, exportieren Sie dieses auf dem Zertifikatserver selbst und importieren es auf dem Server.