Exchange-Federation: Free/Busy Zugriffsprobleme auf andere Organisation (“Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht”)

Zwei Exchange 2010 basierende Organisationen sind per Exchange-Federation und einer Exchange-Organisationsbeziehung miteinander “verknüpft”, damit die Anwender der Organisationen die Free/Busy-Zeiten von Anwendern der jeweils anderen Organisation einsehen können. Diese Konfiguration funktionierte etwa 2 Jahre lang, bis Organisation A plötzlich nicht mehr die Free/Busy Zeiten der Organisation B abrufen konnte. Die Outlook-Fehlermeldung beim Öffnungsversuch eines anderen Kalenders lautete: “konnte nicht aktualisiert werden”:
OutlookError

Im Ereignisprotokoll des Exchange-Servers der Organisation A wurde bei jedem vergeblichen Free/Busy Versuch ein Error (MSAxchange Availability, Error 4001, Availability Service) eingetragen; in den Details dieser Fehlermeldung fand sich dieser Hinweis:

“Process Microsoft.Exchange.InfoWorker.Common.Delayed`1[System.String]: <vs@b.com>SMTP:vs@b.com failed. Exception returned is Microsoft.Exchange.InfoWorker.Common.Availability.AutoDiscoverFailedException: Autodiscover failed for e-mail address <vs@b.com>SMTP:vs@b.com with exception System.Web.Services.Protocols.SoapHeaderException: Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht.”

Beim Exchange Server der Organisation B wurden zum gleichen Zeitpunkt keine sachdienlichen Ereignisse protokolliert. Eine Erhöhung des Diagnostic Levels brachte keine weiteren Erkenntnisse.

Ein “Test-FederationTrust” beim Exchange Server A ergab ein “Succes”, die Federation (zum Microsoft Federation Gateway, kurz MFG) schien in Ordnung zu sein. Aber der Event-Hinweis “Fehler beim Verarbeiten der Sicherheitstoken in der Nachricht” (Original: An error occurred when processing the security tokens in the message) deutete auf ein Problem mit dem Sicherheitstoken hin das vom MFG empfangen wurde. Lösung dieses Problems war, die Metadaten der Federation zu erneuern. Hierzu ist auf beiden beteiligten Exchange Servern (A und B) eine administrative Exchange-PowerShell zu öffnen und den Refresh auszuführen (im Erfolgsfall gibt das nachfolgende Cmdlet nichts aus):

Get-Federationtrust|Set-Federationtrust -RefreshmetadataRefreshMetadata

Nach einiger Zeit (in unserem Fall etwa eine Stunde nach dem beidseitigen Ausführen des o.g. Cmdlets) funktionierten die Free/Busy Abfragen von Organisation-B Mailboxen wieder.

Details hierzu siehe auch: http://johanveldhuis.nl/en/tag/federation/

Neuigkeiten von KEMP Technologies

clip_image002

Neuigkeiten gibt es bei unserem Partner für Loadbalancer – KEMP Technologies. Zum einen sind neue Produkte erschienen, der Einstiegs-Loadbalancer KEMP LoadMaster 2400 hat mehr Leistung als sein Vorgänger und verfügt nun serienmäßig über das ESP-Package, zudem wurde sein Preis gesenkt.

Der VLM-200 (virtuelle Appliance) sowie der LM-2400 (Hardware Appliance) verfügen seit dem 1.4.2014 standardmäßig über das Edge Security Pack (ESP). Das ESP bietet viele der bekannten Merkmale des abgekündigten Microsoft TMG 2010 Servers und schützt mit seiner Reverse Proxy Funktion vor Sicherheitslücken. Einige der ESP-Features sind:

  • Preauthentifizierung
  • Logging und Reporting für Clientzugriffe
  • LDAP Authentifizierung über KEMP LoadMaster und Active Directory
  • Basic und NTLM Authentifizierung zwischen Client und LoadMaster

Das KEMP Edge Security Pack (ESP) ist Bestandteil der LoadMaster Software und in fast allen Appliances verfügbar.

Der LoadMaster LM-2400 ist mit 1000 SSL-TPS das Multicore-Einstiegsgerät und ausgelegt für einen steigenden HTTPS-Verbindungsbedarf. Der LM-2400 wurde zum 1.4.2014 im Preis gesenkt, der neue Listenpreis beträgt 1.990 EUR. clip_image003

E-Mail Archivierung (Teil 3): Metalogix Enterprise-Archivsystem

Von unserem Mitarbeiter Rainer Sommer

In Teil 1 und Teil 2 dieses Archivierungs-Blogs wurden Kriterien für eine Enterprise Archivlösung aufgezeigt und die in Exchange 201x enthaltene Archivfunktionalität untersucht, die – entgegen landläufiger Meinung – nicht gratis ist, sondern pro beteiligter Mailbox eine Enterprise User-CAL benötigt, keine Deduplizierung beherrscht und hauptsächlich bei der Ablösung von PST-Files behilflich sein soll. Wird mit der Archivierungslösung auch eine Speicherplatzersparnis erwartet, führt kein Weg an einer Drittherstellerlösung vorbei.

Um unseren Kunden eine geeignete Archivierungslösung bieten zu können, haben wir diverse Archivierungs-Anbieter verglichen und uns für die Metalogix-Archivierungslösung der Firma Heilig & Schubert entschieden. Continue reading

E-Mail Archivierung (Teil 2): Kriterien eines Enterprise-Archivsystems

Von unserem Mitarbeiter Rainer Sommer

Die Hauptgründe für eine Archivierungslösung sind die Rechtskonformität und/oder die Speicherplatzersparnis. Die in Exchange 2010 bzw. 2013 integrierte Archivlösung ist vor allem zur Ablösung der PST-Dateien entworfen worden und bietet bei entsprechender Konfiguration eine rechtskonforme Archivierung. Wie bereits in Teil 1 dieses Blogs erläutert, ist ein großer Nachteil der Exchange-Archivlösung die fehlende Deduplizierung der Daten, was zu einem deutlich erhöhten Speicherplatzbedarf führt. Weiter sind die fehlenden Stubs sowie die Extra-Lizenzkosten der Exchange-Archivierung in der Praxis Gründe gegen einen Einsatz der Microsoft Lösung. Um Alternativen bewerten zu können, sind die Auswahlkriterien für ein geeignetes Enterprise E-Mail-Archivsystem zu bestimmen.
Continue reading

E-Mail Archivierung (Teil 1): PST-Dateien und die Exchange-Archivfunktion

Von unserem Mitarbeiter Rainer Sommer
In der Vergangenheit bedeutete E-Mail-Archivierung meist, dass ältere Mails in sogenannte PST-Dateien ausgelagert wurden. Anwender verschoben Mails – auf freiwilliger Basis oder weil Mailboxlimits erreicht wurden – in PST-Dateien. Manche Anwender verwenden mehrere solcher PST-Dateien, in die sie z.B. jeweils die Mails eines gesamten Jahrgangs verschieben. Werden die PST-Dateien auf dem PC oder Notebook abgelegt, besteht die latente Gefahr, dass sie bei einem Festplattendefekt verloren gehen. Eine Speicherung von PST-Dateien in Netzwerk-Shares ist nicht unüblich, kann allerdings zu Problemen führen und wird deshalb von Microsoft nicht unterstützt (http://blogs.technet.com/b/askperf/archive/2007/01/21/network-stored-pst-files-don-t-do-it.aspx „PST files on a LAN/WAN is an unsupported configuration“). Des Weiteren wird durch das Verschieben von Mails in PST-Dateien die Mail-Datenmenge nicht verringert, sondern nur verlagert. Bei einer Ablage der in Fileshares wird weiterhin Speicherplatz (auf Fileservern) belegt und das Unternehmensbackup belastet.
Continue reading

Exchange Federation & organisationsübergreifende Kalendereinsicht

In diesem Artikel lesen sie, wie sich zwei Organisationen eine gegenseitige Kalendereinsicht ermöglichen können. Wir beschreiben dies am Beispiel von Microsoft Exchange 2010 SP1. Mit der Exchange 2010 RTM Version wurden noch öffentliche Zertifikate für die “Federation” benötigt und es gab weitere Unterschiede. Viele im Internet verfügbare Beschreibungen zu einer Exchange 2010 Federation beruhen auf der Exchange 2010 RTM Version, auch die beiden derzeit (Stand 10.3.2012) von Microsoft verfügbaren Exchange 2010 Federation Webcasts. Wenn sie eine Federation mit Exchange 2010 SP1 planen sollten sie nur die zu dieser Version passenden Dokumentationen verwenden um Missverständnisse zu vermeiden.

Continue reading