Exchange Y2K22 Bug in Malware Engine

Hallo zusammen,

Ich habe am 1. Januar auf Twitter den Link auf das Blog von MVP Jaap Wesselius gesehen. Dort wurde beschrieben, dass Mails auf dem Exchange Server On Prem in der Transport Queue hängenbleiben und mal als Workaround das Malware Scanning deaktivieren soll.

THE FIP-FS SCAN PROCESS FAILED INITIALISATION. MAIL IS QUEUED ON EXCHANGE SERVERS.

CD $ExScripts
.\Disable-AntiMalwareScanning.ps1
Restart-Service MSExchangeTransport

Als ich daraufhin das Exchange Team Blog aufgesucht habe, war da noch keine Information zu lesen. Erst später dann wurde folgender Artikel veröffentlicht

Email Stuck in Exchange On-premises Transport Queues

Und dann gab es doch noch eine Meldung im M365 Admin Center


Bei mir zeigt der MX Eintrag nach Office 365 und ich habe kaum Mailverkehr von meinem Exchange 2016 nach Office 365. Auf dem Exchange Server gab es aber diese Fehlermeldung


Das PowerShell Script welches die Scan Engine resetet kann man hier herunterladen



Bei mir war danach alles wieder in Ordnung




Liebe Grüsse
Andres Bohren


Understand and Remove PASSWD_NOTREQD Flag from userAccountControl

Hallo all,

I've already blogged how to read the Active Directory Attribute "userAccountControl"

How to read the value of AD Attribute userAccountControl

Today i came across some users that had the Property "PASSWD_NOTREQD" (Password not required) set.
For a regular user you just can add 512 (NORMAL_ACCOUNT) + 32 (PASSWD_NOTREQD) = 544


With the following Exchange Commandlet you can show the Attribute "userAccountControl", which also translates the value.

Get-User -Identity f.fischer | fl userAccountControl


You can also get the same with the Active Directory Module

Get-ADUser -Identity f.fischer -Properties userAccountControl | fl


To show all accounts, which have the Flag "PasswordNotRequired" use the following command.

Get-ADUser -Filter {PasswordNotRequired -eq $true} | ft name, UserPrincipalName


To remove the Flag "PasswordNotRequired" use this PowerShell Command

Set-ADUser -Identity f.fischer -PasswordNotRequired $false
Get-ADUser -Identity f.fischer -Properties userAccountControl | fl


Now it's back to 512 (NORMAL_ACCOUNT)


Get-User -Identity f.fischer | fl userAccountControl


More Information:
Understanding and Remediating "PASSWD_NOTREQD"

Best Regards
Andres Bohren


Jahresrückblick und Blogstatistik 2021

Hallo zusammen,

Anfangs des Jahres ist jeweils ein guter Zeitpunkt um auf das alte Jahr zurückzuschauen. Im 2020 habe ich 278 Blog Artikel geschrieben, also durchschnittlich etwa 23 pro Monat - so viel wie wie noch nie.



Insgesamt hatte ich über 130'000 Pageviews. Das sind rund etwa 500 pro Tag und über 10'000 pro Monat.



Die Top 10 der Blogartikel 2021

Plan your Exchange Update with ExchangeUpdateWizard

Hallo zusammen,

Jeder Exchange Admin kennt das. Beim Update auf ein bestimmtes CU müssen manchmal Schema Updates gemacht werden, es gibt neue Prerequisits etc.

Hier hilft die Website von Microsoft. Einfach die aktuelle Version von Exchange mit dem aktuell installierten CU eingeben und dann auswählen auf welches CU man aktualisieren will.




Anschliessend werden detaillierte Informationen zum Upgrade ausgegeben




Liebe Grüsse
Andres Bohren


Replace Harddisk on HP ML 350e

Hallo zusammen,

Bei meinem alten HP ML 350e Server musste ich kürzlich die Harddisk wechseln.
Im ILO sieht man, dass die System Health degraded war.


Schnell wird klar, etwas ist mit dem Storage


Eine Harddisk meldet "predictive Failure" - wird also bald ausfallen.


Dass etwas nicht in Ordnung ist sieht man auch im VMware ESXi


Oder im VMware VCenter



Also rasch eine neue Harddisk bestellt und alte raus, neue Disk rein.


Das RAID1 hatte nicht mal 1 Stunde zum rebuilden benötigt


Danach war alles wieder in Ordnung


Auch im VMware VCenter ist alles wieder auf grün


Und ebenso im VMware ESXi



Liebe Grüsse
Andres Bohren


Azure Active Directory Connect 2.0.88.0 released

Hallo zusammen,

Seit ein paar Tagen gibt es wieder eine neue Version von Microsoft Azure Active Directory Connect (AAD Connect).










Im Microsoft 365 Admin Center sieht man auch die neue Version https://admin.microsoft.com/Adminportal/Home#/dirsyncmanagement


Ich war erst etwas beunruhigt, weil der Passwort Sync über eine Stunde lang nicht synchronisiert hat. Aber danach hat dann alles wie gewohnt funktioniert.



Liebe Grüsse
Andres Bohren


Least Privilege to use M365 Admin App

Hallo zusammen,

Ich habe kürzlich mal wieder die Microsoft 365 Admin App benutzt. Dabei habe ich mir dann die Frage gestellt, welche Rolle dem Benutzer zugewiesen sein muss, ohne dass zu viel Berechtigungen vergeben müssen (Least Privilege Prinzip).

Google Play Store

Apple App Store

Im Azure Active Directory habe ich dann nach einer Rolle mit zugriff auf das Health Information gesucht.


Die Rolle "Service support Administrator" scheint alle Bedingungen zu erfüllen und hat nur Read Berechtigungen.


Danach muss man sich die "Microsoft 365 Admin" App installieren und sich anmelden. Je nach Konfiguration vom M365 Tenant gibt es dann noch eine MFA Verifizierung.


Nun hat man eine gute übersicht und kann das Nachrichtencenter und den Dienststatus jederzeit prüfen.


Beim Dienststatus werden sogar Push Notifications angezeigt.



Liebe Grüsse
Andes Bohren