Exchange 2013/2016 IMAP funktioniert nicht mehr (MSExchangeIMAP4 Event 1011)

Problem

Auf einem Exchange 2013/2016 funktioniert IMAP „auf einmal“ nicht mehr. Alle IMAP-Verbindungen brechen sofort ab. Eine TCP-Verbindung wird zwar hergestellt, jedoch kommt es zu keinem Nachrichtenaustausch und die Verbindung wird sehr schnell wieder beendet. IMAP-Tools an der Kommandozeile geben den „Error: ReadLine“ zurück, also „keine Daten erhalten“.

Zudem wird (oder wurde …) im Ereignisprotokoll das MSExchangeIMAP4 Ereignis 1011 protkolliert.

Lösung

In diesem Fall war der interne IMAP-Proxy für den Frontendserver ausgeschaltet. Die Ursache dafür haben wir noch nicht gefunden, aber es kommen Updates (CU) und gehäufte Verschlüsselungsfehler bei IMAP-Verbindungen in Frage.

Status prüfen:

[PS] C:\>Get-ServerComponentState -Identity <SERVERNAME>

Im Fehlerfall ist der Proxy hier als „inactive“ zu sehen. Dann werden keine Mails ausgetauscht.

Status ändern:

[PS] C:\>Set-ServerComponentState -Identity <SERVERNAME> -State Active -Requester HealthAPI -Component ImapProxy

Danach klappt’s sofort wieder.

VW kann auch keine E-Mails schreiben

Neben den nicht-ganz-so-tollen Diesel-Motoren hat VW offenbar auch Problem mit der Konstruktion von (Massen-)E-Mails. Diese E-Mail sah genau so aus, enthielt keine Informationen und keinen einzigen Link. Nicht mal die Socialbullshitbuttons sind verlinkt. Abgesehen davon das ich auch sicher keine „car net“ E-Mails bestellt habe. Aber: Die Mail ist echt und kam tatsächlich von einem echten Carnet-Account.

Symantec Endpoint Protection Manager RESETPASS.BAT (Kennwort zurücksetzen) Script herunterladen

Der „Symantec Endpoint Protection Manager“ (SEPM) in der Version 12.x hat so ein prakisches kleines Script, das dem Administrator erlaubt, sein Kennwort „hart“ auf einem lokalen Server zurück zu setzen. Das ist unter anderem hilfreich, wenn der Admin wechselt, ein Kennwort verloren geht oder der Endpoint-Client von einem Virus mißbraucht wurde.

Das Script ist nur leider nicht mehr im Lieferumfang enthalten und man müsste erst umständlich einen Support-Case öffnen um das Script zu bekommen. Wenn es nicht ugg.li gäbe!

  • Download SEP 12.x RESETPASS.BAT (RESETPASS.CMD)
  • Im .\tools-Verzeichnis der SEPM-Installation ausführen
  • Benutzername und Kennwort laten dann „admin“ (in Zeile 7 am Ende änderbar – keine Sonderzeichen!)
  • NICHT unter 14.x ausführen! Das zerschießt die Datenbank

Der Inhalt des Scripts ist relativ übersichtlich:

@echo off
REM /* RESETPASS.CMD für Symantec Endpoint Protectoin Manager 12.x */

set CATALINA_HOME=%CD%\..\tomcat
set JRE_HOME=%CD%\..\jre

"%JRE_HOME%\bin\java.exe" -Xms64m -Xmx256m -XX:MinHeapFreeRatio=30 -XX:MaxHeapFreeRatio=40 -classpath "%CD%\..\bin\inst.jar;%CD%\..\bin\inst-res.jar" -Dcatalina.home="%CATALINA_HOME%" -Djava.library.path="%CATALINA_HOME%\bin;%CATALINA_HOME%\..\ASA\win32" com.sygate.scm.tools.DatabaseFrame setpassword admin admin
endlocal

Danke Symantec …

Pack for ProLiant (SPP) Version 2017.10.1 FTP/HTTP Download Mirror

Weil wir EWIG nach einem direkten Download für das aktuelle HP SPP gesucht haben, hier endlich ein funktionierender Link. NICHT (also NIEMALS) das SPP Version 2017.07.1 nehmen. Da ist die Firmware drin, die die QLogic 10GBE-Adapter endgültig zerstört.

HPE Service Pack for ProLiant (SPP) Version 2017.10.1 download und alle so *yeah*
Current Production Versions:  2017.10.1, 2017.07.2, 2017.04.0
Post-Production Versions: Gen8.1 G7.0

Hat jemand für die HPE SPP’s eine zuverlässige FTP-Quelle? Diese Einloggen-Klicken-Klicken-Cookie-Warenkorb-Fuckup ist für die Kommandozeile ein Alptraum. Über Links in den Kommentaren würden wir uns freuen.

 

Debian 9.0 Stretch feste IP-Adresse konfigurieren

Weil ich schon wieder einen Schritt vergessen hatte, hier die schnelle Checkliste um einem Debian eine fest IP-Adresse zu vergeben.

nano /etc/network/interfaces

Die Datei sollte (statisch) so aussehen:

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens192
# iface ens192 inet <- Das wäre DHCP
iface ens192 inet static
   address 192.168.0.44
   netmask 255.255.0.0
   gateway 192.168.1.50

Dann das Netzwerk neu starten, das Interface aktualisieren und die aktive Konfiguration anzeigen:

service networking restart
ifup ens192    <-- Name des Interfaces aus der interfaces, z.B. eth0
ip addr

Lancom All-IP Router registriert sich nicht an Telekom SIP Trunk sip-trunk.telekom.de

Problem

Nach der Umstellung auf einen IP-basierten Anlagenanschluss der Telekom, kann es vorkommen das sich der bisherige LANCOM All-IP Router nicht an der Domäne sip-trunk.telekom.de anmelden kann.
Im LANmonitor meldet die Leitung u.a. IP-Adresse der Gegenstelle: transport not ready.

Lösung

Nach der Ausführung des LANCOM Wizards muss die Signalisierungs-Verschlüsselung für die SIP-Leitung manuell auf „Keine (TCP)“ gesetzt werden.
Die Option befindet sich unter Voice Call Manager -> Leitungen -> SIP-Leitungen -> betroffene Leitung

 

Veraltete Computerkonten im Active Directory finden

Problem

Eine wiederkehrende und frustrierende Verwaltungsaufgabe für das Active Directory ist, alte Computerkonten (Server, Desktop-PCs, Laptops … ) sauber zu entfernen. Viele Admins fügen eigentlich immer nur hinzu, alte Konten werden nicht aufgeräumt. Einen eingebauten Automatismus dafür gibt es nicht.

Ein Blick auf die Registerkarte „Objekt“ eines Computerkontos zeigt zwar, wann die Update-Sequenznummer (USN) aktualisiert wurde, aber nicht wann sich der Computer das letzte mal bei der Domäne angemeldet hat.

Lösung

Es gibt verschiedene Möglichkeiten, um festzustellen, ob ein Computerkonto in Active Directory veraltet ist. Der empfohlene („Best Practice“) Ansatz besteht darin, eine Richtlinie für Ihre Active Directory-Domäne einzurichten, in der die Regeln erläutert werden. Das Problem dabei sind aber remote-Systeme, wie zum Beispiel ein Laptop, wo der entsprechende Benutzer in der Lage ist, alles zu tun, was er über eine Webanwendung benötigt.

Inaktive Computer im AD mit dsquery suchen

C:\> dsquery computer -inactive <WOCHEN>

Der Befehl wird so für die gesamte Domäne (des ausführenden Computers) ausgeführt. Einschränkungen sind aber möglich:

C:\> dsquery computer OU=Hiersuchen,DC=domain,DC=local -inactive <WOCHEN>

Leider kann dsmove nicht mit dieser Liste direkt gepiped werden, da ist die Powershell etwas komfortabler. Um also ältere Computer in eine eigene OU zu verschieben, ist an der CMD-Shell ein Dreizeiler erforderlich:

dsquery computer -inactive <WOCHEN> > liste.txt
FOR /f %%i in (liste.txt) do dsmove %%i -newparent OU=<INACTIVE-OU>,DC=domain,DC=local
del liste.txt

 

 

Inaktive Computer im AD mit der PowerShell suchen

Das geht sogar in Tagen, nicht nur in Wochen. Dafür muss die Variable entsprechend geändert werden (-60).

PS C:\> $then = (Get-Date).AddDays(-60)
PS C:\> Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $then}

Die ausgegebenen Objekte lassen sich so direkt weiterpipen.

Mehr Beispiele an der Powershell

# Ausgabe veralteter Computerkonten als halbwegs sinnvolle Liste
PS C:\> Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $then} | Sort-Object -Property "lastLogonDate" | FT Name,lastLogonDate
# Veraltete Computerkonten im AD deaktivieren
PS C:\> Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $then} | Set-ADComputer -Enabled $false
# Veraltete Computerkonten im AD löschen
PS C:\> Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $then} | Remove-ADComputer