Jan Geisbauer - About IT from Redmond and Elsewhere

Outlook embedded Anhänge vs. angehängte Anhänge

noreply@blogger.com (Jan Geisbauer) — Fri, 25 Jul 2008 07:41:00 +0000

Ich gebe ja zu: “angehängte Anhänge” ist keine wirklich schöne Umschreibung für alle Attachments, die NICHT im Body der Email auftauchen. Aber ein passenderer fällt mir gerade nicht ein. Damit habe ich aber auch schon definiert, was “embedded” Anhänge sind. Wie, nicht richtig aufgepasst? Also: embedded zeigt z.B. ein Bild im Body und angehängt zeigt es im “Attached” Feld. Für alle visuell veranlagten Leser ein paar Beispiele in den unterschiedlichen Mailformaten:

1. Plain Text mit angehängtem Anhang (bei Plain Text die einzige Möglichkeit)

2. Rich Text mit embedded Anhang (bei Rich Text die einzige Möglichkeit) – per Drag & Drop des Files oder per Fileauswahldialog

3. Rich Text mit embedded Anhang (Copy & Paste aus z.B. Word)

4. HTML mit embedded Anhang (eine von zwei Möglichkeiten bei HTML) – per Copy and Paste aus z.B. Word

5. HTML mit angehängtem Anhang (per Drag & Drop des Files oder per Fileauswahldialog)

Irgendwo “da draussen” gibt es immer Probleme mit embedded Anhängen. Beklagt sich ein User, dass sein externes Gegenüber, die versendeten Email Anhänge nicht sehen kann, sollte man empfehlen die Mail erneut mit “angehängtem Anhang” zu versenden – also entweder Möglichkeit 1. oder 5.

Eine Frage der Ehre

noreply@blogger.com (Jan Geisbauer) — Wed, 23 Jul 2008 05:59:00 +0000

Das Microsoft Exchange Team hat auf seinem bekannten Ehlo Blog einen link auf diesen Blog hier eingerichtet:

Danke ! (Hauptsächlich geht mein Dank hierfür an Joey Masterson)

Windows 2008 Workstation

noreply@blogger.com (Jan Geisbauer) — Tue, 22 Jul 2008 09:45:00 +0000

Daniel weist mich auf folgendes geniale Tool hin und bringt meine Überlegungen damit weiter voran:

http://www.win2008workstation.com/wordpress/lang/en-us/2008/07/17/windows-server-2008-workstation-converter/

Email ist langsam

noreply@blogger.com (Jan Geisbauer) — Tue, 22 Jul 2008 07:54:00 +0000

Hat jemand schonmal einen solchen Satz gehört? Wenn "das Email" nur bestimmter User langsam ist, könnte es am Client liegen. Genauer gesagt gibt es da vor allem 2 Ansatzpunkte:

1. Cached Mode ist nicht eingeschaltet
2. Netzwerk Adapter Speed ist nicht richtig eingestellt

Beides - und noch viel mehr - fragt folgender Einzeiler ab:

Get-Mailbox -resultsize unlimited Get-LogonStatistics -erroraction silentlycontinue ft username, adapterspeed, clientmode, clientname, clientversion

Übrigens: die Erroraction "Silentlycontinue" hilf immer dann weiter, wenn im ersten Command(get-mailbox) mal ein Fehler beim Lesen eines Objekts gibt - eine art OnErrorResumeNext also. Danke hierfür an Reuben.

Probleme zwischen Exchange und dem iPhone

noreply@blogger.com (Jan Geisbauer) — Thu, 17 Jul 2008 13:56:00 +0000

Allen, die sich in der glücklichen Lage sehen, bereits ein neues iPhone ihr eigen zu nennen, könnte dieser Link hier hilfreich sein:

http://sites.google.com/site/iphoneexchangeissues/

In einem Workflow an mehrere User eine Email schicken

noreply@blogger.com (Jan Geisbauer) — Thu, 17 Jul 2008 10:48:00 +0000

Prinzipiell ist es kein Problem per Workflow Activity an meherer User eine Email zu verschicken, wenn man eine fixe Liste von Empfänger hat. Man benutzt einfach die eingebaute "Send Email" Activity. Was aber tun, wenn die Liste der Empfänger dynamisch sein soll?

Glücklicherweise bietet der Sharepoint Designer an, für das "To:" Feld einen Workflow Lookup zu machen. Im Klartext heißt das, dass ich ein Feld aus einer Liste auswählen kann, an das die Email geschickt werden soll. Sharepoint erkennt dabei den Feldtyp und bietet zu diesem Zweck nur die Felder der Liste an, an die eine Mail versandt werden kann - also Felder vom Typ User:

In den Properties eines User Feldes wiederum, läßt sich festlegen, ob mehrere User ausgewählt werden können oder nur ein einzelner:

Möchte man hier mehrere User angeben könnnen und diese später im Workflow als Verteiler benutzen, wird man von Sharepoint Designer enttäuscht. Dieser bietet als Lookup Feld nur dann ein User Feld an, wenn "Allow multiple Selections" auf "No" steht. Stellt man es auf "Yes" kann man es in der "Send Email" Activity nicht mehr in die "To:" Zeile einfügen.

Dazu ist mir ein Workaround eingefallen:

Angenommen unser User Feld heißt "Distribution List". Wir schauen uns also die Eigenschaften von "Distribution List" an und setzen "Allow multiple Selcetions" auf "Yes". Im Workflow erstellen wir dann eine neue Variable mit Namen "V_Distribution_List". Über die Activity "Build Dynamic String" schreiben wir das Feld "Distribution List" in die gerade erzeugte Variable. Die nächste Action wäre dann "Send Email". Im "To:" Feld fügen wir nun nicht "Distribution List" hinzu, sondern die Variable "V_Distribution_List". Das funktioniert und es werden auch alle Emails ordnungsgemäß versendet.

Neue Sharepoint Updates

noreply@blogger.com (Jan Geisbauer) — Wed, 16 Jul 2008 07:22:00 +0000

http://blogs.msdn.com/sharepoint/archive/2008/07/15/announcing-availability-of-infrastructure-updates.aspx

Übers Älterwerden – oder wie man alte Freundschaften belebt

noreply@blogger.com (Jan Geisbauer) — Tue, 15 Jul 2008 17:11:00 +0000

Wie es aussieht, fängt es mit 32 an. Zumindest bei mir – das Älterwerden. Gestern abend saß ich gemütlich bei einem Glas Rotwein vor dem Rechner und schaute mir LinkedIn an.

Ich habe gleich den Eindruck gewonnen, dass es eher seriös aufgebaut ist und man nicht – wie bei Facebook- täglich 25 Einladungen für ein Wochenendevent bekommt. Mir schien, LinkedIn ist bei unseren amerikanischen Freunden sehr viel stärker angesagt als Xing und so meldete ich mich an.

Natürlich gab es die Möglichkeit über ein Plug-in LinkedIn nach den eigenen Outlook Kontakten zu durchsuchen – was ich gleich nach der Anmeldung tat. Die Website zeigte dann an, welcher meiner Kontakte schon in LinkedIn war und welcher nicht. Ich markierte alle LinkedIn Kontakte und war im Begriff diese einzuladen MEINE Kontakte zu werden. Mit einer hübschen Fehlermeldung wies man mich daraufhin, dass dies erst möglich wäre, wenn ich die Mail, die man mir zwischenzeitlich geschickt hatte, bestätigen würde. Gesagt getan. Also zurück zur noch geöffneten LinkedIn Website und auf “Einladen” geklickt.

Welch verhängnisvoller, folgenschwerer Fehler.

Natürlich gab es zwischenzeitlich ein Refresh der Seite und es waren nicht nur die LinkedIn Kontakte sonderen ALLE meine Outlook Kontakte angehakt gewesen. Was ich leider erst nach dem Betätigen des Einladeknopfes bemerkte.

Nunja. Heute, nach einem Tag voller neuer Erfahrungen, die vom gestrigen Geschehen ausgegangen sind möchte ich resümieren:

Natürlich bleibt einem im ersten Moment das Herz stehen und das Gehirn browst in Lichtgeschwindigkeit alle betroffenen Kontakte durch und kategorisiert sie in “kein Problem” bis “oberpeinlich”. Aber im Endeffekt hat es mir und meinen alten Kontakten mehr gebracht als jede andere Aktion. Ich war heute mit so vielen Leuten mal wieder in Kontakt wie lange nicht mehr. Freunde haben sich gefreut, dass “ich” mich mal wieder gemeldet habe und ein früherer Kunde hat mir eventuell ein Projekt in Aussicht gestellt.

Fast komme ich in Versuchung dieses Vorgehen zu empfehlen :-)

Die neuen Maße des Topmodels

noreply@blogger.com (Jan Geisbauer) — Thu, 10 Jul 2008 11:35:00 +0000

Ich hatte mich bezüglich der Performance Thresholds für Exchange 2007 an den Empfehlungen von Exchange 2003 und dem Performance Troubleshooter orientiert.

Kurze Zeit später hat Microsoft einen langersehnten Artikel über dieses Thema (und zwar für Exchange 2007) veröffentlicht.

Hier nun eine neue, kurze Zusammenfassung der - meiner Meinung nach - wichtigsten Performance Thresholds für einen Exchange 2007 Mailbox Server:

Processor(_Total)\% Processor Time: kleiner 75%
Memory\Available Mbytes: größer 100 MB

Memory\Pages/Sec: kleiner 1000
MSExchange ADAccess(DC)\LDAP Search Time und LDAP Read Time: kleiner 50ms

LogicalDisk(*)\Avg. Disk sec/Read: kleiner 50 ms (DB Platte)
LogicalDisk(*)\Avg. Disk sec/Write: kleiner 100 ms ( DB Platte)
LogicalDisk(*)\Avg. Disk sec/Read: kleiner 20 ms (Logfile Platte)
LogicalDisk(*)\Avg. Disk sec/Write: kleiner 10 ms (Logfile Platte)
MSExchangeIS\RPC Averaged Latency: kleiner 25 ms

Exchange 2007 SP1 Rollup Pack 3 freigegeben

noreply@blogger.com (Jan Geisbauer) — Wed, 09 Jul 2008 12:13:00 +0000

Heute wurde das Rollup Pack 3 für Exchange 2007 SP1 freigegeben:

http://support.microsoft.com/kb/949870/en-us/

Server 2008 Hyper-V oder Microsoft Hyper-V

noreply@blogger.com (Jan Geisbauer) — Tue, 08 Jul 2008 19:53:00 +0000

Wer - wie ich - bis vor kurzem glaubte, das sei das selbe - täuscht sich! Wie Paule schreibt ist ersteres ein Feature (das kürzlich fertiggestellt wurde) von Windows 2008 während das zweite ein Produkt ist, das Ende des Jahres auf den Markt kommt (!) Was genau das werden wird, weiß man noch nicht.

Außerdem beschreibt Paule, wie performant die fertige Version von W2k8 Hyper-V ist und wie hauptsächlich die neuen Microsoft Betriebsysteme als Gast von dieser Performance profitieren.

Vielleicht sollte man doch darüber nachdenken W2k8 auf den Client ... ;-)

Facelift

noreply@blogger.com (Jan Geisbauer) — Mon, 07 Jul 2008 15:08:00 +0000

Das war mal wieder nötig.

Nein, ich rede nicht von mir sondern von meinem Blog. Dieses hat ein Facelift bekommen. Ich bilde mir ein, dass alles nun übersichtlicher, aufgeräumter wirkt und, dass das um was es hier eigentlich geht, mehr in den Vordergrund gerückt werden konnte: die Posts.

Außerdem führe ich jetzt ein Blogroll und Google Adsense ein. Das Blogroll zeigt die meisten deutschsprachigen Blogs, die ich regelmäßig lese. Mit Adsense möchte ich mal experimentieren.

Sportcommunity baut Kartennetz

noreply@blogger.com (Jan Geisbauer) — Mon, 07 Jul 2008 11:49:00 +0000

Superidee – und die logische Weiterentwicklung für die Sportszene. Mit Bikemap.net und den beiden Ablegern "Runmap” und “Inlinemap” wird es dem technophilen Sportler leichter gemacht mehr Abwechslung in sein Trainingsprogramm zu bringen:

Source: http://www.bikemap.net/

Exchange Artikel fürs Wochenende #1

noreply@blogger.com (Jan Geisbauer) — Fri, 04 Jul 2008 15:07:00 +0000

Eine neue Rubrik! Ab sofort möchte ich versuchen Freitags eine Liste mit -meiner Meinung nach - interessanten Exchange Artikeln zu listen:

Paul Robichaux über Verbesserungsvorschläge in Exchange 2007

Page File Sizing in Exchange 2007

Microsoft pusht Exchange Online

Windows 2008 Read Only Domain Controller und Exchange 2007

Continuous Replication Whitepaper

Viel Spass beim lesen - schönes Wochenende !

Master Programme

noreply@blogger.com (Jan Geisbauer) — Thu, 03 Jul 2008 11:43:00 +0000

Microsoft hat vor kurzem ein neues Certification Programm eingeführt: Das Master Programm. Was das genau ist und wie es sich vom Architect Programm unterscheidet beschreibt der Programm Owner Per Farny "himself".

Für "Exchange-Guys" (Wie die jungen Kollegen sagen würden ;-)) bedeutet das legere gesagt folgendes:

- MCSE: muss sein
- MCITP Messaging: ist neuer Standard
- Microsoft Certified Master - Messaging: ist für die technische Elite
- Microsoft Certified Architect - Messaging: verlangt zwar auch technische Tiefe aber zusätzlich
noch Projectmanagement Skills.

Hier der ausführliche Artikel von Per:

http://blogs.msdn.com/trika/archive/2008/06/26/more-on-the-certified-master-programs-from-me-per-the-program-owner.aspx

Danke Microsoft !

noreply@blogger.com (Jan Geisbauer) — Tue, 01 Jul 2008 19:41:00 +0000

Das ging aber schnell:

http://technet.microsoft.com/en-us/exchange/bb201720.aspx

heute Mittag habe ich mir darüber noch Gedanken gemacht.

Redmond's current Topmodel: 90-20-50

noreply@blogger.com (Jan Geisbauer) — Tue, 01 Jul 2008 12:02:00 +0000

Ganz schön mager, diese Topmodels.

Exchange 2007 ist das augenblickliche Messaging Topmodel aus Redmond. Viele Artikel beschäftigen sich mit dem Sizing von Exchange 2007 Mailbox Servern oder mit deren Troubleshooting. Man findet hingegegen wenig Informationen über Thresholds. Jene niedlichen, kleinen Werte also, die uns verraten, wie es um unser System steht und wievel Wachstum es noch verträgt.

Für Exchange 2003 gibt es ein "Performance Whitepaper". Die darin beschriebenen Performance Counter treffen größtenteils auch auf Exchange 2007 zu. Allerdings behauptet es, dass die Leseverzögerung der Logfile Partition unter 5ms liegen sollte. Hat man ein paar (>1000) User in den Datenbanken, nimmt man erschreckt zur Kenntnis, dass man darüber liegt. Im Gegensatz zu dem Performance Whitepaper behauptet die Exchange 2007 MOM Management Pack Page, dieser Wert muss unter 20ms liegen - was einen wieder durchschnaufen lässt.

Selbst der eingebaute "Performance Troubleshooter" aus der Toolbox moniert die 5ms als Bottleneck. Schaute man sich hier die Hilfe an ("Tell me more about this issue and how to resolve it") ist plötzlich wieder von 20ms die Rede.

Ebenso verwirrend ist der Wert "RPC Operations / sec / user". Um auf diesen Wert zu kommen, empfiehlt Microsoft den per Perfmon gemessenen Wert "RPC Operations / sec" durch einen der folgenden Werte zu teilen:

Total Mailbox Count
Perfmon Counter: Active Client Logons
Perfmon Counter: Active User Count

Diese Werte können stark variieren (z.B. von 800 bis 8000) - was natürlich das Ergebnis stark beeinflusst. Der "Performance Troubleshooter" nimmt den Wert "Active User Count".

Prinzipiell lassen sich folgende, wichtige Werte zusammenfassen:

Prozessor Time: <90%

Disk (DB und Log Disks): Av.Disk sec/Read: < 20ms

MSExchangeIs\RPC Average Latency: <50ms

Memory: Pages /sec: <1000

MSExDSAccess\LDAPReadTime + LDAPSearchTime <50ms

... and life is easy :-)

Links in Workflow Emails

noreply@blogger.com (Jan Geisbauer) — Wed, 25 Jun 2008 13:57:00 +0000

In Sharepoint Workflows werden gerne Emails verschickt. Die enthalten oft Links - meist zu Sharepoint Seiten. Mir ist bisher noch nie wirklich aufgefallen, dass alle pre-Outlook-2007 Produkte einen solchen Link nicht als Hyperlink rendern.

Outlook 2007 tut das. Man schreibt lediglich z.b. http://blog.geisbauer.de in den Body.

Mit den früheren Versionen muss man HTML sprechen:

[a href="http://blog.geisbauer.de"]http://blog.geisbauer.de[/a]

(wie immer: ersetze das Eckige durch das Spitze)

Die Geister die ich rief ...

noreply@blogger.com (Jan Geisbauer) — Wed, 25 Jun 2008 11:29:00 +0000

... werd ich jetzt nicht los. Denkt sich vielleicht Steve Ballmer in ein paar Jahren wenn der heraufbeschworene "Ghost" zu einer ernstzunehmenden Konkurrenz wird. Momentan meint er noch:

"We are glad to have good competitors pushing technology innovation... "

Aber vielleicht schaut man sich auch das Pflänzchen an, wie es wächst und gedeiht, bevor man es dann in ein paar Jahren pflückt?

GHOST (g.ho.st) (Danke für den Hinweis Rudi) ist ein Web-Betriebssystem und bietet 5 GB Speicher, Email Verwaltung, Office Apps und vieles mehr. Anschauen lohnt sich - auch wenn die Performance noch etwas holprig ist.

Von Grillen und Zikaden

noreply@blogger.com (Jan Geisbauer) — Mon, 23 Jun 2008 06:50:00 +0000

Völlig unglaublich. Herr Scheel ordnet seine Web 2.0 Welt. Andere definieren längst Version drei. Kinokarten bestellt man online, zahlt online, lässt sich den Buchungscode aufs Handy schicken und holt die Tickets bequem kurz vor Vorstellungsbeginn am Automaten.

Kleine Taschendisplays (iPhones) zeigen uns die Welt in 3D. Kurzum: Eine unglaubliche Welt, die ich mir in meiner Jugend als ich noch mit Akustikkopplern hantierte, nicht hätte vorstellen können.

Und dann sowas: am Wochenende wollte ich, nach einem Lauf, die Daten meines Laufcomputers
auf meinen Laptop übertragen. Polar bietet da mit dem Personaltrainer eine nette online Plattform um seine wöchentliche Laufleistung im Internet festzuhalten und zu analysieren:

Aber wie kommen die Daten von der Uhr auf den Laptop? Die Anforderung in der Bedienungsanleitung "ein Computer mit Microfon und Soundkarte wird vorausgesetzt" hätte mich stutzig machen sollen :-)

Übertragen die, die Daten tatsächlich akustisch (!). Man drückt auf den Knopf und das hightec Gerät fängt an zu zirpen wie eine Grille. Andererseits ist das natürlich pragmatisch. Bluetooth täte der Batterie nicht gut und für einen USB Anschluss gibt es keinen Platz.

VB.net in C# Convertieren und umgekehrt

noreply@blogger.com (Jan Geisbauer) — Fri, 20 Jun 2008 09:25:00 +0000

Nobert Eder informiert in einem aktuellen Post über eine Website, die VB.net code in C# code umwandelt und umgekehrt. Das ist sehr hilfreich, besonders, wenn man ein Snippet im "falschen" Code hat:

http://labs.developerfusion.co.uk/convert/csharp-to-vb.aspx

Sharepoint Dateien verschlüsseln (Teil 2)

noreply@blogger.com (Jan Geisbauer) — Thu, 19 Jun 2008 14:31:00 +0000

Hier gehts zu Teil 1

Im ersten Teil des Artikels haben wir u.a. gesehen, dass EFS, von einem User benutzt, eine feine Sache ist. Meldet sich am gleichen Rechner ein weiterer Benutzer an und will dieser auch auf die verschlüsselten Files zugreifen, wird das ganze schon komplizierter. Ein Shared Certificate ist dazu notwendig.

Heute wollen wir noch einen Schritt weiter gehen (!). Dateien sollen nicht lokal sondern auf einem Fileserver verschlüsselt werden. Wir nehmen also an, es wurde ein Shared Cetificate mit dem Display Namen “SharedCert” ausgestellt und an unsere Testuser UserA und UserB verteilt. Verbindet sich einer der User mit dem Fileshare, erstellt eine Datei und verschlüsselt diese, wird das File mit einem neu generierten self-signed Certificate verschlüsselt – und nicht mit dem “SharedCert”.

Die Begründung dafür ist “ganz einfach”: EFS über SMB funktioniert so, dass auf der Remotemaschine ein Profil des Users hochgezogen wird (Ja, man sieht dann unter “Documents and Settings” einen Profile Folder für jeden User, der das versucht). In diesem Profil –das gerade erstellt wurde- sucht EFS dann nach einem Certificate, mit dem es das File verschlüsseln kann. Man glaubt es kaum: es findet kein Certificate, das Profile wurde ja eben erst erstellt und unser Certificate liegt local auf dem Client. Da kein Certificate gefunden wurde, wird ein neues, self-signed Certificate generiert und das File damit verschlüsselt.

Die Ursprüngliche Idee, mit einem Shared Certificate zwei User mit den selben verschlüsselten Files auf einem Fileserver arbeiten zu lassen scheint erstmal geplatzt.

Aber es gibt ja ausser SMB noch weitere Möglichkeiten. Allen voran: WEBDAV.

Das oben beschriebene Szenario mit UserA und UserB und dem SharedCert per Webdav abgebildet bringt erste Fortschritte. Um Webdav auf einem Server nutzen zu können, muss man den Webdav Status im IIS des Servers in den “Web Service Extensions” auf allowed setzen:

Anschließend kann man einen Folder im Filesystem in dessen Properties über “Websharing” für Webdav Clients zur Verfügung stellen.

In einem solchen Webdav Szenario können UserA und UserB auf den selben Folder zugreifen und Files erstellen und verschlüsseln. Leider sehen sie – in meiner Testumgebung – jeweils nur die Files, die sie selbst angelegt haben. Legt beispielsweise UserA das File Test1.txt an sieht UserB das nicht. Versucht UserB ein File mit dem selben Namen anzulegen, bekommt er ein “Access Denied”. Sagen wir, wir sind ein Schritt weiter: Wir haben ein gesharetes Verzeichnis auf einem Fileserver, das Files enthält, die von remote mit unserem “SharedCert” von zwei unterschiedlichen Usern verschlüsselt werden können.

EFS über Webdav arbeitet nämlich anders als EFS über SMB. Während SMB ein Userprofile auf dem Server hochzieht und deshalb auch auf dem Server ver- und entschlüsselt (was übrigens auch heißt, dass hier im Plaintext übertragen wird) managed EFS die Verschlüsselung bei Webdav so, dass sie lokal auf dem Client stattfindet. Es werden also nur verschlüsselte Daten übertragen.

Leider können unsere UserA und UserB jeweils nur mit ihren eigenen Files arbeiten, was den Sinn eines Shares generell in Frage stellt. Aus dem Kollegenkreis erhielt ich den Hinweis, dass dies ein Caching Problem des IIS sein könnte und man dieses eventuell lösen könnte.

Bis dieses aber gelöst wird, schauen wir uns das ganze aber ersteinmal per Sharepoint an:

Sharepoint spricht ja auch Webdav. Manchmal zumindest. Wenn auf dem Client beispielsweise der “WebClient” Service (Die Webdav Client Komponente) gestoppt ist, spricht er nicht mehr Webdav sondern FPRPC (Frontpage RPC).

Das äußerst sich z.B. wenn man in einer Document Library die Funktion “Open in Windows Explorer” wählt. Ist der Webclient gestoppt sieht das so aus:

Der Ordner stellt sich in gutem, alten Windows 98 Style dar und im Kontext Menü kann ich nur einen Folder, keine neuen Dateien anlegen. Was aber für unseren Fall noch viel wichtiger ist: Man hat hier keine Möglichkeit die Files per EFS zu verschlüsseln. Das ändert sich, wenn man den Webclient startet:

Der Folder zeigt sich in flottem 3D Design und das Contextmenü sieht auch anders aus. UND: wir haben einen Properties Button über den wir die Files verschlüsseln können.

Ich weiß, die Spannung ist nun unerträglich, deshalb möchte ich auch gar nicht mehr lange drumherum reden: Per Sharepoint, mit laufendem Webclient (d.h. über Webdav) können zwei (und wahrscheinlich auch mehr) User endlich mit verschlüsselten Files zusammenarbeiten. Jeder sieht auch die Files des anderen, kann diese öffnen und bearbeiten.

Der ein oder andere fragt sich jetzt vielleicht, warum es mit Sharepoint funktioniert und über das “normale” Webdav nicht. Erstens, besitzt Sharepoint eine eigene Webdav Server Komponente und nutzt also nicht die des IIS. Zweitens hat eventuell was mit Caching zu tun, muss aber noch geklärt werden.

Einschränkungen

Eines vorne weg: Webdav funktioniert mit Windows XP nur per HTTP – nicht per HTTPS. Vista kann das dann auch per HTTPS.

Einige Sharepoint Implementationen werden das Alternate Access Mapping so konfiguriert haben, dass HTTP Verbindungen auf HTTPS Verbindungen umgeleitet werden. In diesem Szenario funktioniert EFS über Webdav auf dem Sharepoint nicht. Marco Scheel hat mir gezeigt wie es aussehen muss, damit es funktioniert:

Wir brauchen also reinen HTTP Traffic, wenn unter XP per Webdav auf eine Document Library zugegriffen werden soll. Sonst spricht Sharepoint wieder FPRPC und die Verschlüsselung steht nicht zur Verfügung.

Übrigens, wer jetzt glaubt er könnte auch über den Browser mit den verschlüsselten Files arbeiten, den muss ich enttäuschen:

Hier können nur die RAW Daten dargestellt werden. Um mit den Filse zu arbeiten muss man immer den Weg über “Open in Windows Explorer” wählen.

In diesem Sinne: Happy Encrypting !

Sharepoint Dateien verschlüsseln (Teil 1)

noreply@blogger.com (Jan Geisbauer) — Tue, 17 Jun 2008 10:41:00 +0000

Hier gehts zu Teil 2

Einführung

Nicht jede Datei soll von jedem Sharepoint Admin immer lesbar sein. Wie auch in herkömmlichen Fileserver Anwendungen möchte man auch hier in manchen Fällen den Administratoren nicht die Möglichkeit geben sich Zugriff auf bestimmte Dokumente zu verschaffen. Vorsicht: Dieser Artikel ist kein reiner Sharepoint Artikel - eigentlich ist es eher ein Artikel über Microsoft Verschlüsselungs Möglichkeiten.

Microsoft empfiehlt in solchen Situationen immer sehr schnell die IRM (Information Rights Management) Technologie zu verwenden.

Hierzu gibt es zwei Möglichkeiten:

1. Serverseitige Konfiguration
2. Clientseitige Konfiguration

Bei der Serverseitigen Konfiguration, wird eine Document Library für IRM freigeschaltet (dazu setzt man einen Haken in den Properties der Doclib). Wird eine Datei aus einer IRM Document Library geöffnet, kontaktiert Sharepoint den IRM Server, fragt die entsprechendne Security Policies ab, verschlüsselt die Datei und schickt sie an den User.

Die Dateien liegen also im Plaintext auf dem Sharepoint. Der Administrator hat mehrere Möglichkeiten an die Files zu kommen. Die einfachste ist sicherlich in die Properties der Doclib zu gehen und den IRM Haken rauszumachen. Das kriegt keiner mit und – nach dem er alles gelesen hat – kann er ihn ja wieder reinmachen.

Die clientseitige Variante ist sicherer: Dazu braucht der User den IRM Client auf seinem Rechner. Die Dateien werden in der Applikation geschützt, also z.B. in Word oder Powerpoint. Dort lege ich fest, wer darauf Zugriff hat und welche Art von Zugriff. Das ist eigentlich eine tolle Sache, da man die Art von Zugriff sehr genau spezifizieren kann. So kann man beispielsweise festlegen, dass ein Dokument nicht gedruckt werden kann etc.

Leider gibt es hier die Einschränkung, dass das ganze (ohne Thirdparty) nur mit Office Produkten funktioniert. PDF fällt also schonmal raus. Außerdem ist es nicht gerade komfortabel, dass ich diese Art der Security immer auf ein Dokument und nicht auf einen Ordner bezogen ist. So muss ich bei jedem File daran denken, es entsprechend zu schüzten und andere zu berechtigen.

EFS Basics

Microsoft Encrypted File System (EFS) stellt eine zweite (Microsoft) Möglichkeit dar zertifikatsgestützt files zu verschlüsseln. Allerdings ist das ein weites Feld und Christian hat hier einiges zu meinem Wissensaufbau beigetragen.

EFS kann jeder selbst testen. Ich erstelle mir einen neuen Folder “EFS-Files”. Rechtsklick auf EFS-Files, Advanced:

Hier kann der Haken zur Verschlüsselung gesetzt werden. Sobald in diesem Ordner ein neues File erstellt wird (egal was für ein File), wird dieses verschlüsselt – was Windows mit grünen Dateinamen kenntlich macht:

Per Rechtsklick auf ein verschlüsseltes File, Properties, Advanced, Details kann ich mir anschauen, mit welchem Certificate das File verschlüsselt wurde:

EFS sucht zuerst im Local Certificate Store nach einem passenden EFS Certificate. Findet es hier keines, erstellt es ein self-signed Certificate. Vorsicht: Existiert im Local Store bereits ein EFS Certificate, man löscht dieses und fügt ein neues hinzu,
ist ersteres immernoch im Cache – zumindest ein Logoff/Logon hilft hier. Welches Zertifikat das aktuell verwendete EFS Cert ist steht übrigens in:

HKCU\Software\Microsoft\WindowsNT\CurrentVersion\EFS\CurrentKeys

Die Probleme fangen wiederum dann an, wenn man meherern Usern die Möglichkeit geben will auf die verschlüsselten Files zuzugreifen. Wie man im “Advanced Attributes” Screenshot sehen kann, ist der Details Button bei einem Folder ausgegraut. Das heisst, ich kann auf einem Folder keine weiteren Userzertifikate hinzufügen – nur auf einem File. Das wiederum heißt, dass der User
der ein neues File erstellt, jedesmal die jeweils anderen User Certificates hinzufügen muss. Das ist natürlich nicht schön.

Ein Workaround besteht darin, dass man den beteiligten Usern sozusagen ein “Shared EFS Certificate” ausstellt – also ein Zertifikat beantragt und es alles Beteiligten einspielt.

Es gibt übrigens auch Commandline Möglichkeiten um Files und Folder mit EFS zu verschlüsseln. Das Windows Tool Cipher.exe ist einer davon. Aber es geht auch mit der Powershell:

PS> dir *.* foreach { Write-Host $_.Name; $_.Encrypt() }

Leider bietet die EFS Api unter Windows XP keine Möglichkeit beim verschlüsseln ein Certificate Name (oder Hash) anzugeben. Das geht erst ab Vista. Natürlich läuft die Vista Cipher Version nicht auf XP.

Im zweiten Teil dieses Artikels schreibe ich über das Verhalten von EFS aus der Ferne – d.h. auf einem Fileserver per SMB, und bewege mich dann langsam über Webdav auf den Sharepoint.

IM Presence auf Website

noreply@blogger.com (Jan Geisbauer) — Mon, 16 Jun 2008 14:58:00 +0000

Künftig kann man seine MSN Instant Messaging Presence auch auf der eigenen Homepage / dem eigenen Blog kundtun und sich von seinen Besuchern anchatten lassen:

http://dev.live.com/messenger/

Heisenbug

noreply@blogger.com (Jan Geisbauer) — Sun, 15 Jun 2008 09:14:00 +0000

Pushkar Prasad vom Windows Server Performance Team hat einen sehr amüsanten Artikel zum Thema Bugs geschrieben. Unter anderem erzählt er, dass sie intern Bugs in unterschiedliche Kategorien einordnen. Ein Bug der beispielsweise bei näherer Betrachtung einfach nicht mehr zu lokalisieren ist, nennen sie in Anlehnung an die Heisenbergsche Unschäfe Relation "Heisenbug".

Auch die Kommunikation zwischen Anwender und Supportpersonal wird besprochen und führt unweigerlich zum "Das ist so wahr - Lacher":

http://blogs.technet.com/askperf/archive/2008/06/13/nothing-changed-in-our-environment.aspx