Du sollst nicht immer im IIS rumspielen. Wie oft willst du es noch hören?
Alles was Exchange im IIS konfiguriert, sollst du über die Exchange Werkzeuge tun:
In deinem Fall also:
Get-ActiveSyncVirtualDirectory | set-ActiveSyncVirtualDirectory -ClientCertAuth "ignore" -BasicAuthEnabled $true
Wobei das eigentlich der Standard ist und ich mich eher frage, warum das bei dir schon wieder verkonfiguriert ist.
Bye
Norbert
Habe es nur im Exchange Action Center (EAC) angepasst. Es wurde dieses Mal nie was im IIS angepasst!
Ich höre auf den Profi. Habe die Config oben nur eben über die Exchange Web Seite konfiguriert. 😉
Jedenfalls tut jetzt alles so wie es soll.
Ist es immer noch so, dass der Server gesichert werden will, damit die DB logs bereinigt werden?
Exchange Action Center (EAC)
Exchange Admin Center ;)
Ist es immer noch so, dass der Server gesichert wer
Ja. Es sei denn du aktivierst die umlaufprotokollierung. Und bei deiner Installation führ auf jeden Fall mal den Exchange Health checker durch und beseitige alles rote.
https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/
. Moin, hatte ich schon mal. Da sind Punkte, die ich nicht beheben kann..128GB RAM wird er nie bekommen und die NIC Treiber sind in der VM so alt wie sie sind. Ich lasse ihn am Wochenende aber noch mal rennen. Danke dir aber schon mal bis hier! Ich gebe noch mal ein Update wenn ich so weit bin.
128GB RAM wird er nie bekommen und die NIC Treiber sind in der VM so alt wie sie sind
Die sind ja auch nicht rot sondern gelb. Also alles was rot ist ist wichtig, dass es nicht mehr rot ist.
Na lecker, das muss ich mir dann mal Stück für Stück zu Gemühte führen.
Da sind Pünktchen bei, bei denen ich mal wieder alles Schrotten kann 🙄 .
1. Einfacher Punkt, PageFile, da ist es so, das es momentan vom System verwaltet wird und der Wert der aktuell genutzt wird bei 10000MB liegt, 25% wären aber nur 3000MB. Macht das sinn den Wert so runter zu ziehen?
2. Powermanagement ist "ausbalanciert". Das gefällt ihm nicht, da steht aber nicht was er will um grün zu werden. Ich denke mal Leistung, korrekt?
3. TCI/IP Setting KeepaliveTime. Möchte ich eigentlich ungern in der Reg anpassen, Ich verstehe den Einwand, aber wie oft tritt es auf, dass eine App Einschläft bevor der Server den Connect trennt?
4. Crypt Einstellungen in der Reg, da lese ich mich noch ein, um das dann zu machen. v4.0.30319 SchUseStrongCryptoValue: NULL --- Error: Value should be defined in registry for consistent results.
v4.0.30319 WowSchUseStrongCryptoValue: NULL --- Error: Value should be defined in registry for consistent results. (TLS.1.2 testet er weiter oben als "Enabeled")
5. Da kommt mein Endgegner, bei dem ich mir wieder mein Web zerschmettern kann. "Download Domains are not configured." -> Anleitung gelesen und gleich das Zucken im Auge gehabt. Ja ich weiß, mach es in der Shell wie beschrieben und es geht, aber trotzdem ungut.
6. und als letztes, "Missing Web Application Configuration File": Web Application: 'Default Web Site/CertSrv' Attempting to use config: 'C:\inetpub\wwwroot\web.config' -> ja, wie, warum, hm. Es tut alles, aber das File fehlt. Das müsste ja eigentlich "Die Startseite" vom Inet Pub sein, da gab es immer ein. Aktuell lande ich direkt auf der OWA Seite wenn ich auf dem Server nur localhost eingebe. Liegt das an der fehlenden "Main Paige"?
Ich hätte mich so gerne gelangweilt. :/ Gruß Wolf
Da müsste dann ja auch fehlen, dass die Extended Protection nicht aktiviert ist. Alles in allem ne Sache von ein paar Minuten und deinen Einwand
Möchte ich eigentlich ungern in der Reg anpassen
kann ich nicht nachvollziehen. Gibt’s Gründe das nicht zu konfigurieren? Ich denke nein.
bye
norbert
Bezüglich der meisten genannten Punkte: Frank hat hier auf seiner Seite in 2022 ein Skript erstellt/hochgeladen, dass die HealthChecker Empfehlungen umgesetzt hat, u.a. auch die Sache mit den Download Domains, die werden dadurch soweit ich mich erinnere auf die Autodiscover URL eingerichtet, für die man ja schon ein Zertifikat hat.
Zu finden hier: https://www.frankysweb.de/exchange-health-checker-empfehlungen-per-script-umsetzen/
Das habe ich damals bei uns verwendet, das war sehr komfortabel, da man so nicht die ganzen Einstellungen manuell suchen und setzen musste. Im Artikel beschreibt er das Skript auch. Alles in allem war das Ganze sehr unspektakulär und auch relativ schnell erledigt. Danach war bei uns alles im HealthChecker grün (bis auf die Warnungen bezüglich VM und die Beschwerde mit dem RAM, da wir auch keine 128GB zugewiesen haben).
@dartzen Danke, ich gucke mir das mal an. Das hört sich schon mal gut an.
@dartzen Da habe ich mal den Snapshot von gestern wieder aktiviert. Das ging in die Hose.
Mit dem Virtuellen Speicherchen ist er nicht klar gekommen und er konnte das Script zum Einrichten der Download Domäne nicht sauber verarbeiten. Ein Wert sorgte allerdings dafür, dass ich beim Versuch auf das Admin Web zu kommen aus der Remote Session geflogen bin und selbst der VNC Zugriff vom VM Server nicht mehr klappte. Nach x Versuchen die einzelnen Schritte rückgängig zu machen, oder die Werte für die Downloaddomäne händisch einzurichten haben ich nen Snapshot von gestern wieder eingespielt.
Werde jetzt den Wert des vorhandenen virtuellen Speichers, der bei 10GB liegt und nicht bei 3, manuell eintragen und werde über das Powermanagement den Wert anpassen. Den Rest werde ich mir später zu Gemüte führen.
So, 1. 2. und 4. sind jeweils per Hand angepasst, bzw. in der Reg ergänzt und es gibt keine Probleme.
Werde nun das MS Script für die ExchangeExtendedProtection laufen lassen. Dann sind schon mal ein paar Punkte erledigt.
Das Thema Download Domain gehe ich dann später mal an. Vielleicht mach ich das mit Dem Franky Script, in der Hoffnung, dass es sauber durch läuft.
Was das in 6. mit meiner "Missing Web Application Configuration File" ist, gucke ich mir dann mal an.
So, habe dann jetzut 3. in die Reg geschrieben und das ExchangeExtendedProtection Script von MS ohne Beanstandung laufen lassen. Zur Vorbereitung der Script haben ich noch wie benötigt CMDlet im Exchange Shell laufen lassen.
Set-OutlookAnywhere -Identity "EXCH1\rpc (Default Web Site)" -SSLOffloading $false -InternalClientsRequireSsl $true -ExternalClientsRequireSsl $true
Der Server hat kein Problem und läuft. k.a. was das mit dem Script war. Scheinbar hatte es sich irgendwo verschluckt.
Somit ist nun laut dem Checker noch offen:
Download Domain einrichten -> Da will ich vielleicht noch mal das Apply-ExchangeHealthChecker-Recommendations Script probieren, bevor ich die alle einzeln per CMDlet eintrage
und
Das Thema "Missing Web Application Configuration File" -> Hat hier jemand ne Idee zu?
Noch eine Frage, Ist das Download Domain Thema Teil von Extendet Protection, oder kann ich CU 14 schon mal installieren? Stand jetzt habe ich CU13 mit allen Patches.
Download Domain Thema Teil von Extendet Protection
Nein, das ist was vollkommen anderes:
https://www.nobbysweb.de/blog/index.php?entry/59-sicherheitsanf%C3%A4lligkeit-in-microsoft-exchange-server-bez%C3%BCglich-spoofing-cve-2021/ Wie du anhand des Datums sehen kannst, ist das deutlich vor dem Thema Extended Protection angesiedelt. ;)
@norbertfe Update auf CU14 ist durch und der Checker mault noch immer nur über
"Security Vulnerability: Download Domains are not configured."
und
Missing Web Application Configuration File:
Web Application: 'Default Web Site/CertSrv' Attempting to use config: 'C:\inetpub\wwwroot\web.config'
Ja, wenn du es nicht behebst, ist es immer noch nicht korrekt. Was erwartest du?
@norbertfe Wollte damit "nur" sagen, das auch nach dem Update nichts unerwartetes dazugekommen ist.
Die Themen werden die Tage noch gemacht, wobei ich zum "missing Web App Conf" keine Idee habe.
Wenn man natürlich alle Rolle auf eine Kiste installiert (dc, Exchange und ca mit web enrollment), dann gibts schon mal quereffekte. Bleibt ja eher die Frage: wozu brauchst du ne ca und dann noch mit webenrollment?