Categories
General

AutoMapping bei Postfachvollzugriffen nachträglich entfernen

Wird über das ECP ein Postfachvollzugriff gewährt, so wird im Hintergrund automatisch der Parameter -AutoMapping auf $true gesetzt. Da dies immer wieder zu Problemen mit den Outlook-Clients führt, möchte man dieses Verhalten eventuell unterbinden.

Nun ist es so, dass man diesen Parameter nicht in bestehenden Regelsätzen verändern kann. Man kann ihn ohne weiteres nicht einmal anzeigen. Daher kann es bei etwas umfangreicheren Berechtigungen durchaus passieren, dass die Änderung mit hohem Aufwand verbunden ist, muss man doch jeden Regelsatz einmal löschen und neu anlegen.

Folgender Code-Schnipsel schafft hier Abhilfe (Erfordert die geladenen Exchange CmdLets):

$Mailbox = "[Name des Postfachs]"
$Permissions = Get-MailboxPermission $Mailbox | Where {$_.User -LIKE "[Optionaler Filter, ansonsten Where-Clause weglassen]"}
foreach ($Permission in $Permissions){
  $PerIdent = $Permission.User
  $PerAccessRights = $Permission.AccessRights
  Remove-MailboxPermission -Identity $Mailbox -User $PerIdent -AccessRights $PerAccessRights -InheritanceType All -Confirm:$false
  Add-MailboxPermission -Identity $Mailbox -User $PerIdent -AccessRights $PerAccessRights -InheritanceType All -AutoMapping $false
}

Dadurch ersetzen Sie die alten Regelsätze durch neue mit deaktiviertem -AutoMapping-Parameter

Categories
General

SharePoint Bibliothek – Passwortabfrage bei “Mit Explorer öffnen”

Wir hatten vor einiger Zeit das Problem, dass Anwender immer nochmals eine Passwortabfrage bekamen, wenn Sie eine Bibliothek aus der SharePoint-Weboberfläche heraus im Explorer öffnen wollten. Dies geschah, obwohl sich die SharePoint-Adresse in der Liste der “Vertrauenswürdigen Seiten” befindet.

Der Grund für dieses Verhalten lässt sich bei dem Dienst “WebClient” suchen. Dieser Dienst ist für den Aufruf der Bibliothek im Explorer zuständig und ignoriert die Vertrauenswürdigen Seiten, sobald sich in der SharePoint-URL ein Punkt befindet. Ist dies der Fall, so geht er automatisch von einer externen Seite aus.

Um dies zu umgehen, müssen wir einen Registry-Eintrag erstellen, der dem WebClient-Dienst vorschreibt, bei genannten Seiten die Authentifizierung durchzureichen:

  1. Rufen Sie den Registry-Editor auf ([Windows-Taste] + [R] → regedit → [OK])
  2. Navigieren Sie zu folgendem Pfad:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters
  3. Rechtsklicken Sie in den freien Bereich und wählen Sie Neu → Wert der mehrteiligen Zeichenfolge. Benennen Sie den Schlüssel wie folgt:
    AuthForwardServerList

    … und tragen Sie darin Ihre SharePoint-URL ein. Beispiel: “https://sharepoint.domain.tld” (ohne Anführungszeichen).

  4. Starten Sie im letzten Schritt den WebClient-Dienst neu. (Start Windows-Verwaltungsprogramme → Dienste Rechtsklick auf WebClient → Neu starten)

Dies sollte helfen, um künftig ohne Passwortabfrage Ihre Bibliotheken im Explorer öffnen zu können.

Um eine solche Konfiguration für ein ganzes Unternehmen zu übernehmen, empfiehlt sich der Einsatz einer GPO, die den Registry-Eintrag setzt:

Categories
CRM Server Windows

Dynamics CRM / 365 – Migration (Aktualisierung) einer Instanz und mögliche Probleme

Möchte man eine Instanz in eine andere Infrastruktur migrieren (möglicherweise aufgrund einer Aktualisierung), sollten folgende Schritte beachtet werden.

  • Bevor die Instanz in der “alten Umgebung” abgeschaltet wird, sollte der aktuelle Schlüssel für die Datenverschlüsselung kopiert werden. Diesen finden Sie ab Dynamics CRM 2011 unter Einstellungen > Datenverwaltung > Datenverschlüsselung > [X] Schlüssel anzeigen. Sie benötigen diesen nach der Migration, um die Datenverschlüsselung wieder zu aktivieren.
  • Stellen Sie zudem sicher, dass es einen CRM-User gibt, der alle der folgenden Eigenschaften besitzt.
    • Zugriffsmodus: Lesen-Schreiben (NICHT Administrator und erst recht nicht Lesezugriff)
    • Rolle: Mindestens Systemadministrator
  • Anschließend können Sie auf dem Anwendungsserver die Instanz deaktivieren und löschen. Hierbei wird die Datenbank nicht gelöscht.
  • Besagte Datenbank können Sie anschließend auf dem SQL-Server entweder im Rahmen eines Backups sichern, oder aber die Datenbank einfach aushängen.
  • In beiden Fällen können Sie die Datenbank entweder durch simples Wiedereinhängen oder durch das Wiederherstellen der Sicherung im neuen SQL-Server einhängen.
  • Auf dem neuen CRM- / Dynamics 365-Server können Sie dann die Organisation importieren. Nach der erneuten Eingabe der Namen sowie der Auswahl des Report-Servers kommen wir hier zum Benutzermapping. Dies können Sie automatisiert durchlaufen lassen, sofern die Domäne gleich bleibt. Anderenfalls müssen Sie die CRM-Benutzer manuell den AD-Benutzern zuweisen.
  • Im Falle des Fehlers “You must map your Active Directory user account to at least one enabled Microsoft Dynamics CRM user who has the System Administrator role before the organization can be imported” sind folgende Ursachen möglich:
    • Sie führen den Import mit einem Benutzer durch, den Sie nicht gemappt haben > Sie müssen sich entweder den Import mit dem Benutzer durchführen, auf den die Anforderungen aus Schritt 2 passen, oder Ihren aktuellen Benutzer auf den besagten CRM-User mappen.
    • Sie führen den Import mit einem Benutzer durch, dessen CRM-User nur administrativen Zugriff auf das CRM hat > Führen Sie folgende Query in der Datenbank Ihrer Instanz aus:
      UPDATE SystemUserBase
      SET AccessMode = 0
      WHERE DomainName = 'DOMAIN\User'
    • Sie führen den Import mit einem Benutzer durch, dessen CRM-User deaktiviert ist > Führen Sie folgende Query in der Datenbank Ihrer Instanz aus:
      UPDATE SystemUserBase
      SET IsDisabled = 0
      WHERE DomainName = 'DOMAIN\User'

      Es kann sein, dass Sie davor einen anderen Benutzer deaktivieren müssen, um die maximale Anzahl von Benutzern nicht zu überschreiten:

      UPDATE SystemUserBase
      SET IsDisabled = 1
      WHERE DomainName = 'DOMAIN\OtherUser'
  • Danach wird der Import durchgeführt. Dies lief bei uns fehlerfrei durch. Sollten uns bei kommenden Migrationen noch gängige Fehler auffallen, werden wir diese an der Stelle ebenfalls festhalten.
  • Nach dem erfolgreichen Umzug müssen Sie bei der Verwendung von ADFS spätestens jetzt die alte Instanz löschen. Aktualisieren Sie anschließend beide Relying Party Trusts (mangels deutscher Server fehlt mir hier die Übersetzung) – die der alten Instanz und die der neuen.
  • Der A-Record muss ebenfalls auf die neue Infrastruktur zeigen.
  • Tragen Sie nach dem erfolgten Zugriff auf das neue CRM den in Schritt 1 gespeicherten Verschlüsselungskey wieder unter Einstellungen > Datenverwaltung > Datenverschlüsselung ein. Danach ist das CRM / Dynamics 365 wieder voll benutzbar.
Categories
Linux

/boot Partition läuft voll

Wenn die /boot Partition nur noch über wenig freien Speicher verfügt, reicht es meistens aus, die alten Kernel Versionen zu löschen.

Gehen Sie hiebei wie folgt vor:

Mit folgendem Befehl kann man sich alle installierten – jedoch nicht verwendeten – Kernel anzeigen lassen:

kernelver=$(uname -r | sed -r 's/-[a-z]+//')
dpkg -l linux-{image,headers}-"[0-9]*" | awk '/ii/{print $2}' | grep -ve $kernelver

Alle in dieser nun angezeigten Liste können gelöscht werden. Um Diese zu löschen, muss folgender Befehl verwendet werden (Hier am Beispiel mit linux-image-4.4.0-104-generic):

sudo apt-get purge linux-image-4.4.0-104-generic

Man kann sich wenn man die letzten 2 Kernel behalten möchte, jedoch nicht sicher ist ob schon genug Speicher freigegeben wurde, mit folgendem Befehl die aktuellen Daten für die /boot Partition ausgeben lassen:

df -h /boot
Categories
Clients Server Windows

Manuell oder per GPO: “Dieser PC” statt “Schnellzugriff” beim Öffnen des Explorers anzeigen

Bei frisch installierten Windows 10- und Windows Server 2016-Systemen wird beim Öffnen des Explorers der “Schnellzugriff” statt “Dieser PC” angezeigt. Diese Änderung sorgte für viel Unmut, auch weil nicht sofort ersichtlich war, wie man das ändert.

Manuell:

  • Rechtsklicken Sie auf “Schnellzugriff” in der linken Navigationsleiste des Explorers und gehen Sie auf “Optionen”.
  • Wählen Sie im Reiter “Allgemein” unter der Einstellung “Datei-Explorer öffnen für:” die Option “Dieser PC”.
  • Bestätigen Sie mit Klick auf “OK”.

Gruppenrichtlinie:

  • Erstellen Sie eine neue Gruppenrichtlinie mit einem treffenden Namen.
  • Navigieren Sie in der GPO zu folgender Einstellung: “Computer Configuration” -> “Preferences” -> “Windows Settings” -> “Registry”
  • Rechtsklicken Sie in den freien Raum und wählen dann “Neu” -> “Registry Item”
  • Füllen Sie die Maske wie folgt aus:
    Action: “Update”
    Hive: “HKEY_LOCAL_MACHINE”
    Key Path: “SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced”
    Value Name: “LaunchTo”
    Value type: “REG_DWORD”
    Value data: “1”
    Base: “Decimal”
  • Diese Eingaben per Klick auf “OK” bestätigen.
  • Die restlichen Fenster können geschlossen werden.
Categories
Clients Office Windows

Outlook 2016: Keeps asking for password

Lately we received a high amount of calls regarding issues with the repeatedly appearance of the password prompt of Outlook 2016. Our customers verified the correctness of their password by using OWA before, so this couldn’t be the root cause. Apparantly some clients were still able to send and receive mails, too.

As we actually did some infrastructural changes recently, we tried to find the cause of error on our Exchange-Infrastructure first. We’ve also enrolled the latest cumulative update, but no matter what we tried to do, the problem persisted.

What we could find out, was, that the problem came with Build 1711 of Outlook 2016. A downgrade to Build 1710 allowed us to get rid of that password prompt. So we’ve asked our customers to downgrade Outlook until we were able to find out the actual reason of this behaviour. Well, this didn’t work out well, most of the clients were updated over night to Build 1711 again…

This morning we found an reddit-post, that helped us a lot: https://www.reddit.com/r/sysadmin/comments/7pk33j/outlook_2016_password_prompt/

Apparently Microsoft patched in some changes for Office 365. The following registy-record:

[HKEY_CURRENT_USER\Software\Microsoft\Office\X.0\Outlook\AutoDiscover]
"ExcludeExplicitO365Endpoint"=dword:00000001

prohibits requests to Office 365-Endpoints during the Autodiscover-Procedure. It seems like Outlook tries to authenticate itself on those servers, which – logically – doesn’t work as we have our own infrastructure.

We’ve also created a ZIP-Archive with registry-files for Outlook 2010 – 2016. So if you don’t want to add this entry manually, you can download and unzip the package from http://c4y.eu/passfix. Then you can run the file belonging to your Outlook version.

Categories
Linux CentOS Zabbix

CentOS Zabbix Proxy: Neustartskript

Wir haben mehrere CentOS-basierte Zabbix-Proxies. Damit diese auch nach dem Neustart noch ihren Zweck erfüllen und nicht irgendwie in der Luft hängen, haben sich folgende Schritte etabliert.

nano /etc/rc.d/rc.local

Hinter diesem Pfad verbirgt sich ein Startup-Script. Dieses kann schon einige Zeilen enthalten. Wir ergänzen es einfach um folgende Einträge:

# eth1 ist die NIC in unser Netzwerk. eth0 ist die NIC mit Default Gateway in das zu überwachende Netz
# Zu Beginn starten wir diese NIC einmal neu, um sicherzustellen, dass sie aktiv ist
ifdown eth1
ifup eth1

# Dann setzen wir die Route für das Netz, in dem der Zabbix-Server letztendlich steht
ip route add [MgmtNetz]/[Hostbits] via [IP des Gateways der NIC] dev eth1 proto static metric 10
# Bsp.: ip route add 192.168.1.0/24 via 172.16.1.1 dev eth1 proto static metric 10

# SELinux Konfiguration “Eine Bastion gegen Angriffe”
setsebool zabbix_can_network 1
setsebool httpd_can_connect_zabbix 1

# Sicherstellen dass die Dienste laufen
systemctl start zabbix-proxy
systemctl start zabbix-agent
systemctl start postgresql

Anschließend stellen wir sicher, dass das Script ausführbar ist:

chmod +x /etc/rc.d/rc.local

Damit sollte der Proxy künftige Neustarts überleben.

Categories
Exchange Server Windows

Exchange antwortet mit “SMTP 5.7.1 Client does not have permissions to send as this sender” für eigene Adresse

Szenario:

Über ein beliebiges Tool wird versucht, per SMTP eine Mail unter Verwendung des Exchange-Servers als Relay zu versenden. Die Authentifizierung klappte tadellos und als Absenderadresse wird die Antwortadresse des Accounts verwendet, mit dem man sich zuvor angemeldet hat. Und doch sagt der Exchange-Server:

5.7.1 Client does not have permissions to send as this sender

Grund / Lösung:

Man muss obige Fehlermeldung nur in Google eingeben, um herauszufinden, dass es so einige Ansätze zur Problemlösung gibt. Bei uns war es jedoch ein sehr unüblicher Grund: Vor zwei Tagen hatte ich die Domain, die die Mailadresse des Benutzers hinter dem @ stehen hat, als “External Relay” definiert. Damals wollte ich sicherstellen, dass der Exchange immer versucht, die Mail über das Internet zu versenden, auch wenn das Empfängerpostfach lokal vorliegt. Das oben beschriebene Szenario ist hier jedoch ein unangenehmer Nebeneffekt. Verwendet man also den Exchange-Server als Relay für andere Programme, so sollte die sendende Domain immer als “Authorative” oder “Internal Relay” eingerichtet sein.

Categories
3CX Third-Party Software

3CX Multinline TAPI auf Terminalserver einrichten

Multiline TAPI Installieren:

  • Zuerst müssen alle 3CX Plugins deinstalliert und anschließend der Terminalserver neugestartet werden.
  • Danach muss der Installer für die Multiline heruntergeladen werden.
  • Wenn Sie dann die Installation ausführen, erscheint ein kleines Fenster wo Sie die Nebenstellen Nummern und den Namen eintragen können.
  • Danach die aktuelle Version des 3CX Clients installieren.
  • Um die anderen Nebenstellen einzutragen, müssen sie die 3CXTAPI.ini unter C:\ProgramData\3CXMultiLineTapi editieren.
  • Es muss sichergestellt werden, dass es für jeden Benutzer in der INI-Datei, eine Windows Session gibt mit provisionierten Client des Benutzers.

Outlook Integration:

  • Für die Outlook Integration, muss in der Nebenstelle unter dem Reiter “Integration” die “Outlook.zip” ausgewählt werden.
  • Anschließend muss der Client neugestartet bzw. neu provisioniert werden.
  • Wenn Sie Outlook nun öffnen, dann wird die 3CX ein Plugin installieren wollen.
  • Dieses Plugin muss installiert werden, danach kann aus Outlook gewählt werden.

Mögliche Fehler:

  1. Sollte die TAPI einen Fehler werfen, kann es sein, dass es in der 3CXWin8Phone.user.config Datei einen Fehler gibt.
    • Wir hatten das Problem, dass hier im Text anstatt “Plugin” ->“Plugi” stand.
  2. Wenn Sie aus Outlook heraus wählen, und das Rufnummernformat nicht stimmt, dann müssen Sie folgendes tun:
  • Schauen Sie in der Anrufliste der 3CX nach, ob die 3CX das “+” bei “+49” möglicherweise nicht erkannt hat bzw. es eine Regel gibt welche das “+” abfängt.
    • Falls nicht, entweder
      1. eine Ausgehende Regel erstellen, welche dann aus “+” eine “00” macht.
      2. in dem Client unter “Konten” -> auf das Konto Klicken->  “Erweitert” -> ganz unten “+ ersetzen durch 00”.
  • Wenn Sie die falsche Vorwahl haben, müssen Sie dies in der Telefon und Modem Einstellungen ändern.
    • Hier gehen Sie zu diesen Einstellungen “Telefon und Modem” -> “Bearbeiten” und ändern die “Amtskennziffer für Ortsgespräche”  ab.
    • Ihnen wird in dem sich öffnenden Fenster unten angezeigt, wie die Nummer dann beim wählen aussieht, während Sie das Format ändern.
Categories
3CX Third-Party Software

Einrichtung Behnke SIP-Sprechstelle mit der 3CX

  • In der 3CX eine Nebenstelle anlegen, welche von der Behnke SIP-Sprechstelle verwendet werden kann
  • IP Adresse auf statisch setzen
  • In dem Reiter “Netzwerk” auf “SIP-Einstellungen”
    • Dort in dem Feld “SIP Authentifizierungs ID” die Nebenstellen Nummer eingeben
    • In dem Feld “SIP Authentifizierungs Kennwort” das Kennwort der Nebenstelle eingeben
    • Unter “SIP Domain” und “SIP Server” die IP-Adresse des 3CX Servers eingeben
  • Danach auf der Seite unten auf “Übernehmen” klicken