Mittwoch, 23. November 2011

Exchange ActiveSync Mailbox Policies and Exchange Remote Wipe

Exchange Active Policies help you to remotely configure Android, iPhone and Windows Phone smartphones and Exchange Remote Wipe allows you to remotely erase all data on a lost smartphone.
Since the uptake of smartphones has become more widespread, it is more than likely that your end users will require access to their corporate email via their smartphones. Whether or not the smartphone is company supplied . It is certainly a sensible idea to make sure that we have policies in place to protect our data should it end up in the wrong hands.

Exchange ActiveSync Mailbox Policies

Exchange 2010 has a feature called “Exchange ActiveSync Mailbox Policies”. You can find this in the Exchange Management Console, within the “Organization Configuration\Client Access” node from the tree view. You will notice that within the Exchange ActiveSync Mailbox Policies tab, you can create multiple policies – these can then be applied to different groups of users. I just want a common policy throughout my entire organization, so I will just modify the default policy that is already listed.
Exchange ActiveSync Mailbox Policies
Exchange ActiveSync Mailbox Policies
Using the policy properties, you can force devices to use a passcode, set the minimum length or enable encryption, and so on.We can disable some function of an smartphone such as its camera, or Wi-Fi should this be a requirement in your organization.
Once a compatible ActiveSync device is synchronized with your Exchange organization, the appropriate policy will be applied, and the smartphone will react accordingly. It should be noted though that these policies do not apply to all devices , so it’s important to check it out first. The vast majority of smartphones in our organization are iPhones – Apple published a list of the supported policies on their developer site.

Exchange Remote Wipe

Should the inevitable happen, and a user loses their phone with all their company emails and trade secrets on it, and it doesn’t look like it’s coming back any time soon, we have a couple of ways of performing a remote device wipe. Firstly, the end user can do it on their own via Outlook Web Access (great if they lose the device when the helpdesk isn’t yet open!). The user will need to log into OWA, and select options from the top right, then select “see all options” from the menu. Once you’re in the OWA options screen, select phone from the right, and you should be presented with a list of mobile devices associated with your Exchange account. From the list of devices, simply select the device in question, and click the “wipe device button”.
Chances are that the end users will just ring the helpdesk to request that the device be remotely wiped. An Exchange administrator can easily do this from the Exchange Management Console. Navigate to the Recipient Configuration\Mailbox node from the tree view. In the main area of the console, right click the user in question, then select “manage mobile phone” from the context menu. You will be presented with a list of mobile devices that are associated with the user’s Exchange account – select the appropriate device, click the “remote wipe” radio button, then click the “clear” button.
Exchange Remote Wipe
Exchange Remote Wipe
Shortly after this, the mobile device should perform a full wipe and erase all data. If your staff are accessing your corporate emails via their personal smartphones, it might be an idea to let them know that you have the ability to wipe mobile devices should they be lost – many users might lose their smartphones and never tell you otherwise!

Dienstag, 22. November 2011

In SBS2008 selbst erstellte Zertifikate nutzen

Es tauchen immer wieder Probleme mit SBS2008 um Bezug selbsterstellte Zertifikate und „Sites“ auf.
Dieses Problem ist wie folgt zu lösen.

Folgende Schritte sind zu machen:

1.       Zertifikat mit mehreren DNS-Namen erstellen (z.B.
2.       Zertifikat in das IIS einbinden
3.       Zertifizierungsstellenzertifikat exportieren
4.       Zertifizierungsstellenzertifikat  auf externen Clients installieren (nur nötig wenn der PC NICHT in der Domäne ist)

Zertifikat erstellen
Zertifikat in IIS einbinden
Zertifizierungsstellenzertifikat exportieren
Zertifikat auf NICHT DomänenPC’s oder Telefonen installieren

Zertifikat erstellen

Auf dem Server MMC ausführen und die Snapins Zertifikate (Computerkonto) und Zertifikatvorlagen hinzufügen.


Jetzt müssen die Rechte für die Vorlage „Webserver“ anpassen.  In den Eigenschaften muss der SBS-SERVER und der ADMINISTRATOR hinzugefügt werden. Beide müssen „Lesen“ und „Registrieren“ können.

Jetzt können wir das Zertifikat erstellen. Dazu bitte in „Zertifikate -> eigene Zertifikate -> Zertifikate“ rechte Maustaste „Alle Aufgaben -> Neues Zertifikat anfordern…“ anklicken.
Jetzt weiter klicken, dann auf „Webserver“ klicken, dann hier klicken.

Jetzt werden die internen und externen Namen vergeben. Wichtig bei SBS ist der Eintrag „Sites“.

Folgende Namen sollten drin sein:
Servername FQDN
Servername NetBios

Und nach belieben weitere. Danach auf “ok” und dann auf “Registrieren” klicken. Das Zertifikat wurd jetzt angelegt.

Zertifikat in IIS einbinden

Jetzt müssen wir das Zertifikat in den Webserver einbinden. Dazu bitte die IIS-Konsole starten.
In der Konsole den Punkt „Sites -> SBS Web Applications“ gehen. Jetzt rechts auf „Bindungen“ klicken.
Auf den Typ „https“ gehen und auf „Bearbeiten“ gehen. Hier jetzt das neue Zertifikat auswählen.
Jetzt bitte den IIS neu starten (Start -> Ausführen -> iisreset).

Zertifizierungsstellenzertifikat exportieren

Zum exportieren des Zertifizierungsstellenzertifikat folgende Adresse eingeben:

Dort auf „Download eines Zertifizierungsstellenzertifikat, einer Zertifikatskette oder einer Sperrliste“ klicken.

Jetzt auf „Download des Zertifizierungsstellenzertifikats“ und das Zertifikat im Ort des Wunsches abspeichern.

Zertifikat auf NICHT DomänenPC’s oder Telefonen installieren

Das Zertifikat einfach auf den PC kopieren und dort mit einem Doppelklick ausführen.

Das „Zertifikat installieren…“  klicken und das Zertifikat in die „Vertrauenswürdigen Stammzertifizierungstellen“ kopieren.

Jetzt kann man vom IE oder Outlook via RPC-over-http auf den Server von Extern ohne Zertifikatsfehler zugreifen.

Dienstag, 15. November 2011

Disable permanently Outlook Team Calendar

Team Calendars , star popping up from people outlook. –Reason: the
AD Attribute called “Manager” is populated see picture
When manager is listed for given user,  outlook is automatically creating calendar in this format  Team: Name of the manager Calendar inside peoples outlook see picture

Fire up reg edit on the problem workstation…..Drill down to fallowing directory
  • Software
  • Microsoft
  • Office
  • 14.0
  • Outlook
  • Options
  • WunderBar
Create reg key if one does not exist “Value disablereportinglinegroupcalendar”
  • This policy setting prevents Reporting Line Group Calendar from appearing in the navigation pane.
    If you enable this policy setting, Reporting Line Group Calendar will not appear in the navigation pane.
    If you disable or do not configure this policy setting, My Reporting Line Group
    Calendar will appear in the navigation pane.

Rename Onedrive Business root folder

Rename Onedrive Business root folder Here is what I remember: In the Office 365 web admin pages, change the organization name to a shorte...