Hallo liebe Helfer,

ich habe einen Exchange Server 2016 mit zwei Adressbuchrichtlinien. Jede Adressbuchrichtlinie hat eine eigene GAL und zwei Adresslisten. Wenn jetzt eine universelle Verteilergruppe erstellt wird, welche neben Exchange Postfaechern auch im Exchange angelegte Kontakte fuer externe Empfaenger enthaelt, sieht man diese nicht beim Erstellen einer E-Mail wenn man die Mitglieder mit dem "+" aufklappt. Fuege ich die Kontakte zu der GAL der Adressbuchrichtlinie hinzu werden die Kontakte aufgelistet. Soweit so gut, logischerweise tauchen diese  jetzt aber auch in der GAL auf was nicht gewuenscht ist. Blende ich die Kontakte aus den Adresslisten aus, tauchen diese aber nicht mehr beim Aufgliedern der Verteilerliste auf. Hat jemand eine Idee was ich falsch mache oder was ich aendern muss?

Danke und Gruss Marc

moin,

kann bitte jemand nachsehen ob ihr dieses Verzeichnis bei eurem Exchange habt und ob es im ECP Script Dateien gibt?

C:\inetpub\temp\IIS Temporary Compressed Files\MSExchangeECPAppPool\$^_gzip_C^\PROGRAM FILES\MICROSOFT\EXCHANGE SERVER\V15\CLIENTACCESS\ECP

Chris

Hallo zusammen, 

auf Grund des aktuellen Angriffs auf Exchange-Umgebungen wollen wir OWA abstellen. Allerdings habe ich nur eine Anleitung gefunden wo man bei einem einzelnen Postfach OWA abschalten kann. Gibt es eine Möglichkeit generell für alle das OWA abzuschalten ohne dass ich jeden Benutzer anpacken muss?

Vielen Dank für Eure Hilfe im Voraus.

Viele Grüße

Tom

Hallo Zusammen,

wir haben den Auftrag bekommen, bestimmte Verteilergruppen einzuschränken:

1. Sollen nur noch bestimmte Absender E-Mails über den Verteiler schicken können
2. Die Möglichkeit, die Empfänger in Outlook aufzuklappen, soll deaktiviert werden

1. Kann man natürlich durch eine Moderation oder globale Nachrichtenregel oder ähnlich lösen.

2. Wie könnte man verhindern, dass man den Verteiler in Outlook aufklappen kann? Ich habe mal getestet, was passiert, wenn man einen Verteiler vor dem eigentlichen Verteiler stellt. Hier scheint es dann tatsächlich so zu sein, dass nur der erste Verteiler als Absender angezeigt wird. Allerdings kann man den dann wieder aufklappen und den eigentlichen Verteiler sehen.

Dazu kommt noch, dass wir die E-Mail Adresse der eigentlichen Verteiler, gar nicht ändern können, weil die an sehr vielen Stellen eingebunden sind. Also könnte man darüber auch wieder die Empfänger in Outlook aufklappen.

Wie habt Ihr das Problem gelöst? Gibt es hier elegantere Wege?

Viele Grüße

Manuel

Hallo Zusammen,

wir haben den Auftrag bekommen, bestimmte Verteilergruppen einzuschränken:

1. Sollen nur noch bestimmte Absender E-Mails über den Verteiler schicken können
2. Die Möglichkeit, die Empfänger in Outlook aufzuklappen, soll deaktiviert werden

1. Kann man natürlich durch eine Moderation oder globale Nachrichtenregel oder ähnlich lösen.

2. Wie könnte man verhindern, dass man den Verteiler in Outlook aufklappen kann? Ich habe mal getestet, was passiert, wenn man einen Verteiler vor dem eigentlichen Verteiler stellt. Hier scheint es dann tatsächlich so zu sein, dass nur der erste Verteiler als Absender angezeigt wird. Allerdings kann man den dann wieder aufklappen und den eigentlichen Verteiler sehen.

Dazu kommt noch, dass wir die E-Mail Adresse der eigentlichen Verteiler, gar nicht ändern können, weil die an sehr vielen Stellen eingebunden sind. Also könnte man darüber auch wieder die Empfänger in Outlook aufklappen.

Wie habt Ihr das Problem gelöst? Gibt es hier elegantere Wege?

Viele Grüße

Manuel

Servus Community,

am 05.03 wurde auf unserem Exchange-Knoten (Exchange 2016 CU14), der aus dem Internet erreichbar ist, die Backdoor aus dem Hafnium Exploit installiert. Die Lücke wurde von uns am 10.03 gepatcht und seitdem bin ich auf der Suche nach eventuellen Post-Exploit Aktivitäten. Im MSExchange Management Log habe ich ab dem 05.03 bis Ende 06.03 recht ungewöhnliche Logeinträge gefunden:

Beim OAB habe ich sogar eine erfolgreiche Ausführung des CMD-Lets gefunden:

Diese Einträge habe ich vor dem 05.03 nicht gefunden.

• Besteht da ein kausaler Zusammenhang mit dem Hafnium Exploit?
• Welche Ziele wurden mit dem Absetzen der Kommandos konkret verfolgt?
• Gibt es Stellen wo man weiter suchen kann, um die og Ziele zu verfolgen?

Sind im Allgemeinen weitere Post-Exploit Aktivitäten bekannt, die man prüfen sollte?

Thx & Bye Tom

moin,

gibt es eine einfache Möglichkeit herauszufinden wer am Exchange arbeitet? Damit ich sie informieren könnte das der Exchange rebootet wird.

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox,SharedMailbox | Get-MailboxStatistics | Sort-Object lastlogontime -Descending | Select-
Object -First 10 -Property DisplayName,LastLogonTime

eigentlich interessieren mich nur die Outlooks am PC. Obiger Befehl ist mehr zu ungenau. Da sind ja auch alle Handy Sync dabei. Und wenn ich ihn in 10min nochmals starte sieht das Output sehr anders aus.

Hallo,

wie wertet man Ergebnisse aus diesem Test-ProxyLogon Script bzg. eines HAFNIUM Angriffs aus?

ProxyLogon Status: Exchange Server MAIL-CONTOSO
  Log age days: Oabgen -204,0 Ecp -234,5 Autod -204,0 Eas -204,0 EcpProxy -204,0 Ews -204,0 Mapi -204,0 Oab -204,0 Owa -
204,0 OwaCal -204,0 Powershell -204,0 RpcHttp -204,0
  Report exported to: C:\Users\administrator.contoso\Desktop\Test-ProxyLogonLogs\MAIL-CONTOSO-LogAgeDays.csv
  [CVE-2021-26855] Suspicious activity found in Http Proxy log!
  Report exported to: C:\Users\administrator.CONTOSO\Desktop\Test-ProxyLogonLogs\MAIL-CONTOSO-Cve-2021-26855.csv

  Other suspicious files found: 37
  Report exported to: C:\Users\administrator.CONTOSO\Desktop\Test-ProxyLogonLogs\MAIL-CONTOSO-other.csv

Wurde die Sicherheitslücke CVE-2021-26855 schon ausgenutzt? Oder können es auch nur Angriffsversuche sein?

MAIL-CONTOSO-Cve-2021-26855

#TYPE Selected.System.Management.Automation.PSCustomObject"DateTime","RequestId","ClientIpAddress","UrlHost","UrlStem","RoutingHint","UserAgent","AnchorMailbox","HttpStatus""2021-03-03T07:39:35.462Z","ada06ff2-b086-40c6-a822-fdf2f81ab3a0","86.105.18.116","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-03T11:11:25.805Z","817af99f-9b83-4e7b-921d-e1b9a95e7f9d","86.105.18.116","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-03T15:23:59.081Z","56326087-b648-43e9-b71e-2092f2b74c7a","182.18.152.105","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:26.723Z","f4cbde07-a6f0-4f01-9aae-a8b5f5372e04","210.91.184.216","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:30.112Z","cebf0739-c792-456d-9243-f6ee3cdaed5e","210.205.231.232","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:33.980Z","d7dbd637-c510-415a-9534-3c5541895af3","42.151.105.181","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:37.428Z","c92d71ce-7874-4474-9729-d0b872b3779e","14.245.75.119","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:40.857Z","5465f3e9-55d7-4b4d-bb57-69769a0c6b67","180.66.215.223","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:44.507Z","34a1a4f7-8e42-4b99-a3bc-d125bc3f36e6","1.236.112.189","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:49.231Z","c8e01a1e-e88b-44a8-87ee-93f2dba07c58","190.95.77.16","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:53.912Z","2b1aacd9-f468-4bbf-953b-5f4c21cab4cb","188.247.67.170","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:42:58.555Z","8ad6a336-935f-4f06-b030-fc8971758447","61.64.84.161","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:43:02.600Z","0185a9e8-8a41-438d-9bd1-8e8ff429087d","138.97.130.237","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:43:07.797Z","af1c98ec-a273-480b-b484-54fe21fe0a57","186.6.251.102","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:43:12.372Z","f38f298a-2921-4f9d-91f3-2f4499e8929d","117.221.225.135","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-05T19:43:14.830Z","a4f47a75-113a-4401-98e5-585c5839f7ac","46.118.55.181","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:18.362Z","009b70aa-11b0-4f4e-ab5b-c2482d886453","116.124.119.65","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:21.653Z","ecd358b1-8936-4552-a47d-bc70a1980f79","92.101.162.223","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:26.497Z","14b3fe8d-f594-4338-80c6-518d9bed4611","218.250.97.107","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:33.724Z","b7bf44a0-bf75-4d67-9e43-768236f3ab27","114.30.167.106","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:37.185Z","32ffe416-793f-4bac-b1da-4d8cf2be2522","112.169.159.60","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:42.085Z","d355bbbb-a5f9-482c-81c0-6638d765a7df","213.112.125.55","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:44.535Z","63aebe7b-14d5-4749-9902-4bbafd58f80e","35.135.236.173","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-05T19:43:49.298Z","d5cd3b2e-b755-4ea7-abba-b470ca923fe0","177.87.40.62","XXX.XXX.XXX.XXX","/ecp/program.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO/autodiscover/autodiscover.xml#","401""2021-03-06T17:12:56.431Z","21033199-faa8-46ad-86f8-a16372d1f9d5","141.164.40.193","XXX.XXX.XXX.XXX","/ecp/x.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~akak]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-06T21:51:42.602Z","c10b976e-ebde-42e2-8bb6-24f41aa855a5","172.105.87.139","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-06T21:51:42.648Z","7e9c69b8-cea1-46bc-a849-cfb9df5f3746","172.105.87.139","XXX.XXX.XXX.XXX","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@MAIL-CONTOSO.CONTOSO.local:444/autodiscover/autodiscover.xml?#","200""2021-03-07T00:58:02.968Z","0a96d1e5-4ba6-4a9b-90e1-1ddcbdaf67b0","104.225.219.16","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-07T01:06:08.437Z","9d394dcb-cb18-4dc9-b317-6abbc796c912","159.89.95.163","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 zgrab/0.x","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-07T14:43:44.184Z","384126fa-9fc8-4e2a-875a-cbb26d09341e","5.189.162.164","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/69.0.3497.81 Safari/537.36","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-07T19:49:53.919Z","51ab819e-801a-4214-9ccf-ab6dbbd4ff5e","104.225.219.16","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-08T02:20:30.211Z","9e695271-e8e0-4edd-9102-814e680e5730","5.189.181.43","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/69.0.3497.81 Safari/537.36","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-08T09:18:48.692Z","11ca37a4-81ad-4ff4-9d41-6aef80fa21e6","128.90.21.223","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/41.0.2228.0 Safari/537.36","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-08T12:09:47.646Z","feb5c64e-45f6-4795-9ef9-5cf8f5bd92a9","128.90.21.223","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30)","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-08T13:33:44.513Z","89bc0c34-60e5-4a2b-8242-fbef8044cf16","35.198.94.7","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/88.0.4324.182 Safari/537.36 Edg/88.0.705.81","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-09T00:06:36.137Z","95a73f87-a9da-4b1f-a06d-d39f638edba3","71.6.135.131","localhost","/ecp/default.flt","X-BEResource-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0","ServerInfo~localhost/owa/auth/logon.aspx?","500""2021-03-07T00:58:02.971Z","0a96d1e5-4ba6-4a9b-90e1-1ddcbdaf67b0","104.225.219.16","mail.contoso.de","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)","ServerInfo~localhost/ecp/default.flt?","500""2021-03-07T01:06:08.438Z","9d394dcb-cb18-4dc9-b317-6abbc796c912","159.89.95.163","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 zgrab/0.x","ServerInfo~localhost/ecp/default.flt?","500""2021-03-07T08:51:38.796Z","147b39f5-2013-4bf4-baad-abfa6eb2edf5","198.46.233.13","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/74.0.3729.108 Safari/537.36","ServerInfo~burpcollaborator.net/ecp/default.flt?","200""2021-03-07T14:43:44.185Z","384126fa-9fc8-4e2a-875a-cbb26d09341e","5.189.162.164","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/69.0.3497.81 Safari/537.36","ServerInfo~localhost/ecp/default.flt?","500""2021-03-07T16:52:31.396Z","4a8fa7c9-5c04-477b-aba5-436f66495cd2","185.173.235.54","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/74.0.3729.108 Safari/537.36","ServerInfo~burpcollaborator.net/ecp/default.flt?","200""2021-03-07T19:49:53.920Z","51ab819e-801a-4214-9ccf-ab6dbbd4ff5e","104.225.219.16","mail.contoso.de","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)","ServerInfo~localhost/ecp/default.flt?","500""2021-03-08T02:20:30.213Z","9e695271-e8e0-4edd-9102-814e680e5730","5.189.181.43","mail.contoso.de","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/69.0.3497.81 Safari/537.36","ServerInfo~localhost/ecp/default.flt?","500""2021-03-08T09:18:48.693Z","11ca37a4-81ad-4ff4-9d41-6aef80fa21e6","128.90.21.223","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/41.0.2228.0 Safari/537.36","ServerInfo~localhost/ecp/default.flt?","500""2021-03-08T12:09:47.648Z","feb5c64e-45f6-4795-9ef9-5cf8f5bd92a9","128.90.21.223","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; SV1; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30)","ServerInfo~localhost/ecp/default.flt?","500""2021-03-08T13:33:44.514Z","89bc0c34-60e5-4a2b-8242-fbef8044cf16","35.198.94.7","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/88.0.4324.182 Safari/537.36 Edg/88.0.705.81","ServerInfo~localhost/ecp/default.flt?","500""2021-03-09T00:06:36.137Z","95a73f87-a9da-4b1f-a06d-d39f638edba3","71.6.135.131","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0","ServerInfo~localhost/ecp/default.flt?","500""2021-03-09T00:44:02.715Z","48deb27c-8221-4f7f-a71f-039c96821fe3","193.160.32.138","XXX.XXX.XXX.XXX","/owa/auth/x.js","X-AnonResource-Backend-Cookie","Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML  like Gecko) Chrome/74.0.3729.108 Safari/537.36","ServerInfo~burpcollaborator.net/ecp/default.flt?","200"

Gruß

SirNibo

Habe eine Anfrage von einem Kunden erhalten, dessen Exchange Server 2013 unter Windows 2008 R2 war am 03.03. (wurde noch am selben Tag gepatched) vom Internet her erreichbar (Port 443), JEDOCH war der Admin-Modus mit "Set-EcpVirtualDirectory -Identity"my-exchange\ecp (Default Web Site)" -AdminEnabled $false" auf DISABLED gesetzt.

Im Log-File hat der Kunde nur diese 2 Einträge (leider vor dem Patchen) gefunden:

"2021-03-03T08:02:42.208Z","214f76d3-9645-47e3-9001-a2487560f75e","xx.xx.xx.xx","exchange1.xxxxx.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@my-exchange.locdomain.loc:444/autodiscover/autodiscover.xml?#","200"
"2021-03-03T11:30:03.202Z","86a15a31-eb7a-417a-a54d-ee3dbe973235","xx.xx.xx.xx","exchange1.xxxxx.de","/ecp/y.js","X-BEResource-Cookie","ExchangeServicesClient/0.0.0.0","ServerInfo~a]@my-exchange.locdomain.loc:444/autodiscover/autodiscover.xml?#","200"

Eine Überprüfung mit MSERT ergab keine Funde -> alles OK. Anscheinend auch keine Veränderungen an den Files auf den ersten Blick.

Unter IIS-IUSRS wurde folgender Eintrag (siehe Bild unten) gefunden.

Ich selbst unterhalte in einer Testumgebung auch einen Exchange Server 2013 und da ist dieser Eintrag interessanterweise nicht vorhanden.

Kann dieser Eintrag durch o.a. Zeilen im Log entstanden sein, bzw. hat jemand von Euch diesen Eintrag auch unter IIS-IUSRS stehen (mit einem 'sauberen' Log) ?
...bzw. kann dieser Eintrag gefahrlos gelöscht werden (nicht dass dieser Eintrag vielleicht für die Funktionalität des Servers notwendig ist) ?

Hallo ,

ich bin gerade an einer Exchange Migration von 2010 auf 2019. Imn ersten Schritt habe ich alles auf 2013 migriert. Auf den ersten Blick hat alles geklappt. Aber nun sind Probleme aufgetreten. Selbst interne Mails brauchen ewig bis sie zugetsellt werden. Von Kopierern die Mails versenden können werden auch sporadisch immer wieder Fehler generiert. Ich habe ein Get-HealthReport laufen lassen. Dort wird Network, Outlook und Compliance als Unhealthy ausgegeben. Im Log habe ich immer wieder folgende Fehler:

 HealthSet Compliance 

   Subject Fehler von ComplianceOutlookLogonToArchiveRpcCtpMonitor auf SERVERNAME. 

   Message Fehler bei Schritt EMSMDB.Connect() von ComplianceOutlookLogonToArchiveRpcCtpProbe/Mailbox Database 0652625243 für den Proxyvorgang von SERVERNAME.domaion.local zu Unknown für HealthMailboxbccb741ba9c84e3db3ec8bbc45dabf51@domain.de. 
   Wartezeit: 00:01:24.0510000 ActivityContext: Gliederung: [32]12.03.2021 19:31:11 Überprüfung der RpcProxy-Konnektivität; [84018]12.03.2021 19:31:11 [FAILED!] EMSMDB.Connect(); 
   Wahrscheinliche Fehlerursache: UnknownIssue 
   Details: Fehler: Error 0x6bf (Der Remoteprozeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt) from ClientAsyncCallState.CheckCompletion: RpcAsyncCompleteCall EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Status: 0x000006BF EEInfo: Detection location: 1710 EEInfo: Flags: 0 EEInfo: NumberOfParameters: 1 EEInfo: prm[0]: Long val: 0 (0x00000000) EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Status: 0xC002100A EEInfo: Detection location: 1464 EEInfo: Flags: 0 EEInfo: NumberOfParameters: 0 Protokoll: Überprüfung der RpcProxy-Konnektivität Von der Task erzeugte Ausgabe - TaskStarted = 12.03.2021 19:31:11 - TaskFinished = 12.03.2021 19:31:11 - ErrorDetails = - Latency = 00:00:00.0326243 - RequestUrl = http://SERVERNAME.domaion.local/rpc/rpcproxy.dll?518524ca-3aa8-488e-94e3-014562d53569@domain.de:6001 - ResponseStatusCode = OK - RequestedRpcProxyAuthenticationTypes = ntlm - RespondingHttpServer = SERVERNAME - RespondingRpcProxyServer = SERVERNAME.domaion.local - ResponseHeaderCollection = request-id: b93795b6-e263-45e6-9c5f-3ccdb3a7ab9b X-CalculatedBETarget: SERVERNAME.domaion.local X-DiagInfo: SERVERNAME X-BEServer: SERVERNAME Persistent-Auth: true X-FEServer: SERVERNAME Connection: close Content-Length: 20 Cache-Control: private Content-Type: application/rpc Date: Fri, 12 Mar 2021 18:31:11 GMT Server: Microsoft-IIS/8.5 X-AspNet-Version: 4.0.30319 X-Powered-By: ASP.NET Überprüfung der RpcProxy-Konnektivität erfolgreich abgeschlossen. Überprüfung der Postfachanmeldung EMSMDB.Connect() Von der Task erzeugte Ausgabe - TaskStarted = 12.03.2021 19:31:11 - TaskFinished = 12.03.2021 19:32:35 - Exception = Microsoft.Exchange.Rpc.RpcException: Error 0x6bf (Der Remoteprozeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt) from ClientAsyncCallState.CheckCompletion: RpcAsyncCompleteCall EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Status: 0x000006BF EEInfo: Detection location: 1710 EEInfo: Flags: 0 EEInfo: NumberOfParameters: 1 EEInfo: prm[0]: Long val: 0 (0x00000000) EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Status: 0xC002100A EEInfo: Detection location: 1464 EEInfo: Flags: 0 EEInfo: NumberOfParameters: 0 bei Microsoft.Exchange.Rpc.ClientAsyncCallState.CheckCompletion() bei Microsoft.Exchange.Rpc.ExchangeClient.ClientAsyncCallState_Connect.End(IntPtr& contextHandle, TimeSpan& pollsMax, Int32& retryCount, TimeSpan& retryDelay, String& dnPrefix, String& displayName, Int16[]& serverVersion, ArraySegment`1& segmentExtendedAuxOut) bei Microsoft.Exchange.Rpc.ExchangeClient.ExchangeAsyncRpcClient.EndConnect(ICancelableAsyncResult result, IntPtr& contextHandle, TimeSpan& pollsMax, Int32& retryCount, TimeSpan& retryDelay, String& dnPrefix, String& displayName, Int16[]& serverVersion, ArraySegment`1& segmentExtendedAuxOut) bei Microsoft.Exchange.RpcClientAccess.Monitoring.EmsmdbClient.ConnectCallContext.OnEnd(ICancelableAsyncResult asyncResult) bei Microsoft.Exchange.RpcClientAccess.Monitoring.ClientCancelableCallContext`1.<InternalEnd>b__3(ICancelableAsyncResult r) bei Microsoft.Exchange.RpcClientAccess.Monitoring.ClientCancelableCallContext`1.DeferExceptions[TArgIn](Action`1 guardedAction, TArgIn arg) - ErrorDetails = - RequestUrl = http://SERVERNAME.domaion.local/rpc/rpcproxy.dll?518524ca-3aa8-488e-94e3-014562d53569@domain.de:6001 - RespondingHttpServer = <null> - RespondingRpcProxyServer = <null> - ResponseHeaderCollection = - ResponseStatusCode = 0 - ResponseStatusCodeDescription = <null> - RequestHeaderCollection = - Latency = 00:01:24.0184974 EMSMDB.Connect() fehlgeschlagen. Von der Task erzeugte Ausgabe - TaskStarted = 12.03.2021 19:31:11 - TaskFinished = 12.03.2021 19:32:35 - Exception = Microsoft.Exchange.Rpc.RpcException: Error 0x6bf (Der Remoteprozeduraufruf ist fehlgeschlagen und wurde nicht ausgeführt) from ClientAsyncCallState.CheckCompletion: RpcAsyncCompleteCall EEInfo: ComputerName: n/a EEInfo: ProcessID: 11800 EEInfo: Generation Time: 2021-03-12 18:32:35.859 EEInfo: Generating component: 2 EEInfo: Sta 

   Monitor ComplianceOutlookLogonToArchiveRpcCtpMonitor

Kann mir da jemand helfen? Ich weiß nicht so richtig wo ich da weiter forschen kann

Vielem Dank schon im Voraus

Liebes Forum,

ist es sinnvoll, nicht nur wegen "Hafnium", sondern überhaupt, des "Namen" für OWA zu ändern?

Also von https://[mail-domain]/owa

zu so etwas wie

https://[mail-domain]/apfelbaum

das keinerlei Bezug zu Exchange oder OWA hat.

Oder ist der owa-Name sowieso durch eine Abfrage an den Exchange-Server/IIS herauszubekommen?

Viele Grüß
Davorin

Hallo,

bei einem Kunden musste ich nun feststellen, dass scheinbar in der Outlook-APP auf Smartphones o. Tablets, freigegebene Kalender anderer Benutzer nicht angezeigt werden können.

Dies scheint im speziellen dann so zu sein, wenn es sich um einen "On Premises Exchange" handelt und somit um keinen Exchange aus der M365-Cloud.

Bei einem Exchange aus der M365-Cloud kann man in der APP nach Personen suchen und die Kalender dann je nach Berechtigung hinzufügen, hierzu gibt es ja sogar eine Anleitung von Microsoft im Netz. Bei lokal installierten Exchange scheint dies aber nicht zu funktionieren.

Dieser Button mit Personen suchen fehlt aber komplett bei Kunden ohne Exchange aus der Cloud sondern eben bei lokal installierten Exchange-Systemen. Dies konnte ich sowohl bei Exchange Server 2019 sowie 2016 testen.

Scheint immer der Fall zu sein.

Kann diese Thematik durch Jemanden bestätigt werden? Bzw. ist das bei euch auch so?

Wenn ja, dann natürlich die Frage, ob das jemand ändern konnte, denke aber, dass sich hier der Cloud-Exchange von Microsoft von der lokal installierten Variante unterscheidet.

Hallo zusammen,

ich weis nicht ob ich hier im Bereich Exchange richtig bin.

ich habe folgendes Problem:

Umgebung: 2016er AD mit 2016er Exchange und Outlook 2016

Ein Postfach:

Anzeigename:TestPostfach

Hauptadresse: aaa@test.de 

Alias: bbb@test.de, ccc@test.de

Wenn ich jetzt von Outlook (absender@test.de) eine EMail an bbb@test.de versende ( versenden möchte ) ändert Outlook automatisch die eingegebene E-Maladresse in den Anzeigenamen TestPostfach und ändert die an-Adresse in aaa@test.de

Frage: Wie kann man dem System dies abgewöhnen ? Wir benötigen die eingegebene E-Mailadresse in der empfangenen EMail und darf nicht geändert werden, da darauf Auswertungen laufen.

Ich bin für jeden Tipp dankbar.

Gruß, Carsten

Hallo,

ich habe eine Frage. Wenn Kollegen bei uns längere Zeit abwesend sind (Mutterschutz, Elternzeit - diese Kategorie) wird bei uns der Nutzer aus dem Adressbuch ausgeblendet und die Narichtenzustellung für das Postfach gesperrt - es sollen eben keine Mails mehr in das PF eingehen. 

Wenn nun ein Nutzer, intern oder extern, eine Mail an das PF schreibt bekommt er die Meldung.

Ihre Nachricht kann nicht zugestellt werden, weil Sie keine Berechtigung zum Senden an diese E-Mail-Adresse besitzen. Bitten Sie den Administrator des E-Mail-Empfängers, Ihnen Berechtigungen zu erteilen, und versuchen Sie es dann noch mal. Weitere Informationen zu diesem Problem finden Sie unter DSN-Code 5.7.1 in Exchange Online.

Kann ich das irgendwie anders steuern?

Mein Hintergrund ist, dass ich dem Sender gerne eine Mail antworten möchte in der Form:

Vielen Dank...im Moment nicht erreichbar...bei Fragen telefonisch: 02255 - 111 222 333. .

Mir ist bekannt, dass man die DSN Code anpassen kann. Aber dann bekommt ja auch ein Nutzer die angepasste Meldung wenn er an eine Verteilergruppe schreibt an die er nicht mailen darf.

Wie macht ihr das? Gibt es einen anderen Weg? Danke für Tipps.

Toni

Hallo,

ich habe ein einem Netzwerk gemäß https://www.frankysweb.de/erweiterung-der-kleinen-exchange-organisation-teil-3/ einen zusätzlichen Exchange Server hinzugefügt. Es handelt sich dabei um Exchange 2016 CU19 auf Windows Server 2016. Die DNS-Einträge für autodiscover.externedomäne.de und mail.externedomäne.de habe ich als jeweils eigene nicht-AD-integrierte Zonen im DNS hinzugefügt. Diese DNS-Namen entsprechenden den Adressen der Exchange-URLs (mail) bzw. dem SCP-Eintrag (autodiscover).

Seit dieser Änderung brauchen die meisten (nicht alle) Outlook-Installationen mehrere Minuten um zu starten.

Im Verbindungsstatus wird angezeigt, dass die Verbinung zum Postfach und verbundenen Funktionspostfächern zunächst auf einen Authentisierungsfehler läuft bis sich der Status dann in "hergestestellt" mit Authn "Nego*" und Verschlüsselung "SSL" ändert. Dieser Vorgang ist wohl die Ursache der langen Startdauer des Outlook-Clients.

Auch während des Betriebs friert Outlook immer wieder ein und bringt die Meldung "Outlook versucht Daten vom Server abzurufen".

Sämtliche Outlook-Clients sind im Cache-Modus konfiguriert.

Zum Eingrenzen des Fehlers habe ich die MAPI-Logs auf den Exchange-Servern ausgewertet, bin aber abgeshen von der Erkenntnis, dass die Benutzer scheinbar auf beiden Knoten der DAG verbinden zu keiner weiterführenden Erkenntnis gekommen.

Welchen Ansatz kann ich zur Identifizierung der Fehlerquelle weiter verfolgen ?

Grüße

Tobias

E2k10 (ich weiß)
Outlook365 16.0.12527.20612
Win 10

Hallo,

wir haben einen User, der sich die Frei/Gebuchtzeiten der andren User nicht ansehen kann. Außerdem sieht er auch die email Infos nicht. Er bekommt folgende Meldung:

"Es konnten keine Frei/Gebucht-Daten abgerufen werden. Ihr Serverstandort konnte nicht ermittelt werden"

- Autodiscover funktioniert bei ihm.
- Über OWA sieht er die Frei / Gebuchtzeiten der andren User 
- Neues Profil erstellen ändert nichts
- Parameter /CleansFreebusy gibt es ab O2k16 nicht mehr
- WinhttpProxy gibt es unter E2k10 noch nicht

Was ich zusätzlich im Web gefunden habe, konnte das Problem auch nicht lösen.
Hat jemand noch eine Idee?

Danke!

Hallo Community

ich habe hier einen Exchange, welcher seit von SBS 2003 auf mittlerweile 2019 immer wieder mal migriert wurde. Soweit auch nie Probleme gehabt. Allerdings wurden früher die Domains ja noch mit .local standardmäßig benannt, da damals noch keine Internetanbindung bestand. Es wurde dann mal ein Split-DNS eingeführt und später auch auf SSL umgestellt.

Obwohl eigentlich alle URLs im Exchange Server angepasst wurden (sofern es dafür UI-Felder oder Powershell-Befehle gibt), habe ich irgendwo noch eine alte Bezeichnung im AD und finde diese nicht! *grrr*

Das Problem ist nämlich, dass bei einem Outlookstart immer das Zertifikat angekreidet wird. Klar könnte man alternativ auch ein multisite Zertifikat beschaffen, was aber deutlich teurer ist.

Hier die Fehlermeldung:

Wenn man auf Zertifikat anzeigen klickt sieht man, dass schon das richtige Zertifikat (also für die externe Adresse) verwendet wird, jedoch verständlicherweise angekreidet wird, da die URL nicht zueinander passen:

Die Frage ist jetzt, wo bekommt Outlook noch die (alte) interne Adresse her (Autodiscover? - wobei ich hier auch nichts gefunden habe), also SERVER3.xxx.local und nicht die hh.xxx.de??

Hat jemand noch eine Idee was man prüfen könnte?

Danke Euch!

Hallo zusammen,

ich hoffe einer von euch kann mir helfen!

Wir haben einen Kunden der einen Exchange Server 2016 Essentials mit Build 15.1.1531.3 (CU10) hat.

Wenn wir versuchen ein CU-Update zu machen auf CU11,CU12, CU18 als auch CU19 kommt immer folgende Fehlermeldung im Schritt 16 von 18 :

Der folgende Fehler wurde generiert, als "$error.Clear();
 $CommandAppCmd = join-path $env:SystemRoot System32\inetsrv\appcmd.exe;

Start-SetupProcess -Name "$CommandAppCmd" -args "set site /site.name:`"Default Web Site`"
/[path='/'].applicationPool:MSExchangeOWAAppPool" -IgnoreExitCode @(183);
 " ausgeführt wurde:
"Microsoft.Exchange.Configuration.Tasks.TaskException: Fehler bei der Prozessausführung mit Beendigungscode 1168.
 bei
Microsoft.Exchange.Management.Tasks.RunProcessBase.InternalProcessRecord()
 bei
Microsoft.Exchange.Configuration.Tasks.Task.<ProcessRecord>b__91_1()
 bei
Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)".


Setup von Exchange Server wurde nicht abgeschlossen. Weitere Details finden Sie im Protokoll 'ExchangeSetup.log' im Ordner
'<SystemDrive>:\ExchangeSetupLogs'.

Hab die Installation des CU-Updates als Administrator gestartet als auch per CMD als \Upgrade leider beides ohne Erfolg.

Hat jemand eine Idee oder vielleicht sogar die Lösung was das sein könnte ? 

Vielen dank im Vorraus.

Pana