Wer mit Exchange Server 2007 bereits einen Cluster Mailbox Server (CMS) installiert hat, ist sicherlich schon über folgende Fehlermeldung gestossen:

Warning:
The server administrator ‘intra.server-talk.eu/ST/Computers/Servers/EXCCMS12′ is not a member of the Exchange View-Only Administrators.

Dieser Fehler erscheint jeweils beim passiven Node. Die Fehlermeldung erscheint, wenn in der Exchange Management Console die Organization Configuration geöffnet wird, oder wenn mit PowerShell eine Abfrage “Get-ExchangeAdministrator” ausgeführt wird.

Gemäss Microsoft ist dieser Effekt ”by Design” und kann auch ohne weiteres ignoriert werden, da der passive Node die Berechtigung “Exchange View-Only Administrator” zu diesem Zeitpunkt nicht benötigt. Wenn die Fehlermeldung aber zukünftig nicht mehr erscheinen soll, schliesslich sind Fehler da um sie zu beheben, müssen die Computer Accounts der Nodes des Clustered Mailbox Server nur in die Active Directory Gruppe “Exchange View-Only Administrators” aufgenommen werden.

Weitere Informationen

• Microsoft Technet: Configuring Permissions

Nach der Installation von Windows Server 2008 erscheinen als erstes die “Initial Configuration Tasks” (ICT). Dieser Wizard unterstützt den Administrator bei der Grundkonfiguration der Server. Werden die Server mittels Softwareverteilung oder einem vergleichbaren Mechanismus bereits entsprechend konfiguriert, kann n einem Active Directory Environment mittels Group Policy deaktiviert werden indem unter “Computer Configuration | Administrative Templates | System | Server Manager” die Policy “Do not display Initial Configuration Tasks window automatically at logon” und bei Bedarf zusätzlich auch “Do not display Server Manager automatically at logon” enabled wird.

Wenn nun dennoch einem die Initial Configuration Tasks eingesetzt werden sollten, währe es hilfreich zu wissen wie der ICT Wizard gestartet werden kann. Nichts Einfacheres als dies… Dazu muss lediglich in Run Promt “oobe“, was für ”Out of Box Experience” steht, ausgeführt werden. Das war’s bereits…

Im vorhergehenden Artikel wurde beschrieben, wie Volume Activation 2.0 von Microsoft funktioniert. Von der Theorie geht es nun zur Praxis. Im nachfolgenden Artikel wird beschrieben, wie ein Key Management Service (KMS) in Betrieb genommen werden kann. Damit diese Form der Aktivierung eingesetzt werden kann, sind im Minimum 25x Windows Vista, oder 5x Windows Server 2008 im Netzwerk erforderlich. Die Aktivierung mittels KMS ist so konzipiert, dass der Eingriff durch ein Administrator auf ein Minimum beschränkt ist.

DNS Server

KMS-Hosts erstellen automatisch einen “Service Record” (SRV) auf dem DNS-Server. Wird “Dynamic DNS” (DDNS) unterstützt, ist keine weitere Konfiguration erforderlich. Wenn allerdings mehrere KMS-Hosts eingesetzt werden, kann jeweils nur der erste Host den DNS-Record erstellen. Die nachfolgenden KMS-Hosts können den Record nur ändern, wenn die Berechtigungen auf dem DNS-Server entsprechend angepasst wurden:

1. In Active Directory eine Global Security Group für die KMS-Hosts anlegen.
2. In die Security Group sämtliche KMS-Host (Computer Accounts) hinzufügen.
3. Die Berechtigung auf dem DNS-Server anpassen, damit Mitglieder der Security Group Host Updates durchführen können.
4. Der SRV_Record kann nun durch den KMS-Host angelegt werden.

Per Default ist DDNS auf einem Windows DNS-Server aktiviert (Dynamic Updates: Secure only). Wenn diese Funktion in einem Netzwerk nicht zur Verfügung steht, kann der SRV-Record auch ohne weiteres manuell angelegt werden:

1. Im DNS Manager den DNS-Server auswählen und die “Forward Lookup Zones” erweitern.
2. Auf der entsprechenden Domain mittels Rechtsklick “Other New Records… | Service Location (SRV)” anwählen und mit “Create New Record…” bestätigen.
3. Folgende Werte müssen nun eingetragen werden
   • Service: _VLMCS
   • Protocol: _TCP
   • Port number: 1688
   • Host offering this service: <FQDN des KMS-Host>
4. Mit “OK” wird der SRV-Record angelegt.

Die automatische Veröffentlichung durch den KMS-Host kann zudem mit dem Befehl “slmgr.vbs /cdns” deaktiviert werden. Das Script legt folgenden Key in der Registry an:

Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL
Entry: DisableDnsPublishing
Type: DWORD Value: 1

Wird der Eintrag von 1 (Disabled) auf 0 (Enabled) gesetzt, ist DNS-Publishing wieder aktiviert. Ob nun der DNS-Record vorhanden ist und entsprechend funktioniert, kann mit nslookup getestet werden: nslookup -type=srv _vlmcs._tcp.intra.server-talk.eu. Als Output sollte etwas in dieser Form geliefert werden

_vlmcs._tcp.intra.server-talk.eu SRV service location:
    priority = 0
    weight = 0
    port = 1688
    svr hostname = DC01.intra.server-talk.eu
DC01.intra.server-talk.eu internet address = 192.168.1.101

KMS-Host

Nachdem die Vorbereitung auf dem DNS-Server abgeschlossen sind, kann die “Installation” des KMS-Host vorgenommen werden:

1. Auf dem zukünftigen KMS-Host einen Command Prompt als Administrator ausführen.
2. Die Installation des KMS-Key erfolgt mit dem Befehl “cscript C:\windows\system32\slmgr.vbs /ipk 12345-12345-12345-12345-12345“
3. Die Aktivierung des KMS-Key bei Microsoft stehen folgende Methoden zur Verfügung:
   • Internet: “cscript C:\windows\system32\slmgr.vbs /ato“
   • Phone: “slui.exe 4“
4. Nach erfolgreichem Abschlus der Aktivierung muss der “Software Licensing” Service neu gestartet werden “net stop slsvc && net start slsvc“

Mit slmgr stehen noch viele weitere Möglichkeiten zur Verfügung, wie nachfolgende Tabelle zeigt:

Ist es geplant den KMS Host auf Windows Server 2003 zu betreiben, so muss das Update 948003 installiert werden. Damit wird die Funktionalität des Key Management Service 1.1 hinzugefügt.

Firewall

Per Default verbinden die Clients mittels “Remote Procedure Calls over TCP”. Die Verbindung über TCP-Port 1688 muss bei der Firewall entsprechend zugelassen werden. Bei Bedarf kann diese Port Nummer auch angepasst werden. Bei einem Windows Server 2008 muss in der “Windows Firewall” der Zugriff auf ”Windows-Verwaltungsinstrumentation (WMI)” und den “Key Management Service” aktiviert werden. Dies kann sehr einfach mit dem Befehl “netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes” und netsh advfirewall firewall set rule group="Key Management Service" new enable=yes” konfiguriert werden.

VAMT

Für die Verwaltung der Lizenzen stellt Microsoft das Tool “Volume Activation Management Tool” (VAMT) zum Download bereit. Mit dem Tool lassen sich die Computer Accounts zum Beispiel aus dem Active Directory auslesen und den Lizenzierungs-Stand anzeigen und bei Bedarf notwendige Schritte einleiten. Da die Informationen nicht in einer Database gespeichert werden, ist es zu empfehlen am Ende die aktuellen Daten mit “File | Save As…” in ein CIL-File zu exportieren. Zu einem späteren Zeitpunkt lässt sich dieses über “File – Open” wieder einlesen.

Weitere Informationen

• Microsoft Download Center: Windows Vista Volume Activation 2.0
• Microsoft Download Center: Volume Activation 2.0 Technical Guidance
• Ralf Schnell’s TechNet Blog: Windows Aktivierung: Redundanz für Key Management Services-Hosts
• MCS Ireland TechNet Blog: Using Key Management Services (KMS) Across Domains

Mit Windows Vista hat Microsoft eine neue Art der Aktivierung und Verwaltung der Lizenzen im Unternehmen, namentlich “Volume License Key” (VLK) 2.0, eingeführt. Volume Activation ist eine flexible Lösung, mit welcher Computer einfach und sicher aktiviert werden können. Es können zwei Typen von “Volume License Keys” (VLKs) eingesetzt werden: “Multiple Activation Keys” (MAK) und “Key Management Service” (KMS).

• Multiple Activation Keys (MAK) ähnelt dem bei älteren Windows Versionen eingesetzten Verfahren. Ein einziger MAK Key aktiviert entweder einzelne Computer oder eine Gruppe von Computern, indem sie über das Internet oder per Telefon direkt mit Microsoft Servern verbunden werden. Die Verifizierung der Gültigkeit der Keys erfolgt somit nicht mehr offline auf der Maschine. Die Keys können daher auch nicht mehr unbegrenzt oft verwendet werden. Damit nicht jeder Computer selbst eine Verbindung zu den Microsoft Servern herstellt (Independent Activation), kann ein Proxy eingesetzt werden (Proxy Activation).
• Ein Unternehmen kann ein Key Management Service (KMS) intern einsetzen und Computer unter Windows Vista und Windows Server 2008 automatisch aktivieren. Um KMS verwenden zu können, benötigt ein Unternehmen mindestens 25 miteinander verbundene Computer, die unter Windows Vista ausgeführt werden. Windows Server Computer, die über KMS aktiviert wurden, müssen mindestens alle sechs Monate über eine Verbindung zu Ihrem Unternehmensnetzwerk reaktiviert werden. Der maximale “offline”-Betrieb ohne Verbindung zu einem KMS beträgt 180 Tage, danach steht eine “Grace-Period” von 30 Tagen zur Verfügung, bevor eine (Re-) Aktivierung verlangt wird.

Die nachfolgende Grafik liefert einen Überblick über die Möglichkeiten von Volume Activation 2.0, auch im Vergleich zur bisher eingesetzten Version 1.0:

Firmen, die sich für eine KMS-Lösung entscheiden, müssen die Computer Systeme innerhalb der vorgegebenen Frist aktivieren:

Die mit Windows Vista erstmals eingeführte Volume Activation Technology soll zukünftig auch für weitere Microsoft Produkte eingesetzt werden. Für die Verwaltung der Volume Keys bietet Microsoft verschiedene Tools an:

• Volume Activation Management Tool (VAMT)
• Key Management Service (KMS) für Windows Server 2003 (x86)
• KMS Management Pack für Management Operations Manager 2005

Was passiert eigentlich, wenn keine gültige Lizenz installiert wurde? Nun ja, der Einsatz von nicht lizensierter Software ist “Software Piraterie” und ist illegal. Technisch gesehen gibt es seit Windows Vista Service Pack 1 den “Reduced Functionality Modus” (RFM) nicht mehr. Bei einem nicht aktivierten Windows Vista oder Server 2008 ändert dennoch in einem solchen Fall den Desktop Background auf “schwarz” und melden im System Tray, dass das System nicht “genuine” ist. Letzteres wird inzwischen bei vielen Microsoft Downloads geprüft. Ohne erfolgreiche Validierung kann der Download nicht fortgesetzt werden:

Validation Incomplete
The validation service is unable to determine whether this copy of Windows Vista is genuine.

Weitere Informationen

• Microsoft Technet: Volume Activation 2.0 for Windows Vista and Windows Server 2008
• Microsoft KB 929712: Informationen zur Volumenaktivierung für Windows Vista
• Daniel Melanchthon’s Technet Blog: Windows Vista Volume Activation 2.0
• James O’Neill’s Technet Blog: Vista SP1 to drop “Reduced functionality mode”

Bei Windows Server 2008 ist IPv6 per Default auf sämtlichen Network Interface Cards (NICs) aktiviert. Wird jedoch “Internet Protocol Version 6 (TCP/IPv6)” im “Network and Sharing Center” deaktiviert, endet die Installation von Exchange Server 2007 mit folgendem Fehler:

Service ‘MSExchangeAntispamUpdate’ failed to reach status ‘Running’ on this server.

Im Event Viewer wird zudem folgende Meldung geloggt:

Log Name: Application
Source: MSExchangeSetup
Event ID: 1002
Task Category: Microsoft Exchange Setup
Level: Error
Description: Exchange Server component Hub Transport Role failed.
Error: Service ‘MSExchangeAntispamUpdate’ failed to reach  status ‘Running’ on this server. Cannot start service MSExchangeAntispamUpdate on computer ‘.’. The service did not respond to the start or control request in a timely fashion

Viele Exchange Komponenten erfordern IPv6. Der Fehler bei der Exchange Server 2007 Installation kommt daher, da das IPv6 Protokoll auf dem Local Area Connection Adapter entfernt wurde. Die von Microsoft empfohlene Variante ist das neue Protokoll aktiviert zu lassen.

Sollte dies nicht gehen, kann die Deaktivierung von IPv6 nur mittel Registry Key vorgenommen werden:

Key: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters
Entry: DisabledComponents
Type: DWORD
Value: 0xffffffff (Hexadecimal) / 4294967295 (Decimal)

Diese Einstellung deaktiviert sämtliche IPv6 Komponenten, ausgenommen das “IPv6 Loopback Interface”. Nach einem Neustart des Servers kann die Installation nochmals vorgenommen werden, in diesem Fall wird der Status “The Microsoft Exchange Server setup operation completed successfully” ausgegeben.

Optional kann nun auch noch das “Internet Protocol Version 6 (TCP/IPv6) in den Connection Properties des Network and Sharing Center abgewählt und im HOST File den Wert “::1 localhost” entfernt werden. Wie zuvor erwähnt, IPv6 sollte nur im “Notfall” deaktiviert werden.

Weitere Informationen

• Microsoft KB 952842:  The installation of the Exchange Server 2007 HT role may be unsuccessful
• Microsoft TechNet: IPv6 for Microsoft Windows FAQ
• Microsoft TechNet: IPv6 Support in Exchange 2007 SP1
• MSExchangeFAQ: IPv6

Für die Installation von Exchange Server 2007 ist eine Schema Erweiterung erforderlich. Diese kann automatisch im grafischen Setup (GUI) durchgeführt werden, oder man führt diese step-by-step in einem Command Prompt (CMD) durch. Dies hat den Vorteil, dass sämtliche Änderungen vollständig im Forest repliziert und unangenehme Fehler dadurch vermieden werden können. Optimaler weise wird die Erweiterung des Schemas direkt auf dem Domain Controller mit der FSMO-Role “Schema Master” durchgeführt. Der Vorgang kann aber auch von dem zukünftigen Exchange Server gestartet werden… Da in den meisten Fällen die Domain Controller basierend auf einem 32-Bit Windows installiert wurden (was auch völlig in Ordnung ist), kann hier nicht die gleiche Source wie für die produktive Exchange Server 2007 Installation verwendet werden. Die 32-Bit Version stellt Microsoft als Trial zum Download bereit. Auf dem System wo die Schema Extentsion durchgeführt werden soll, müssen folgende Voraussetzungen geschaffen werden:

• Windows Server 2003
  • Microsoft Windows PowerShell
  • Microsoft .NET Framework 2.0
  • Microsoft .NET Framework 2.0 Update
  • Microsoft Management Console (MMC) 3.0
• Windows Server 2008
  • Microsoft Windows PowerShell: ServerManagerCmd -i PowerShell
  • Microsoft AD Management Tools: ServerManagerCmd -i RSAT-ADDS

Die Source (Exchange Server 2007 32-Bit) sollte in ein Temporäres Directory entpackt werden, zum Beispiel “C:\Temp\EXCSource”. Die Befehle für die Schema Extension werden in einem “Command Prompt” durchgeführt. Diese muss bei Windows Server 2008 als Administrator ausgeführt werden

Schritt 1

Dieser Vorgang bereitet die Exchange Server 200x Umgebung für Exchange Server 2007 vor. Wird eine neue Exchange Server 2007 Organization installiert, ist dieser Befehl nicht notwendig.

• Permissions
  • Mitglied der Gruppe “Domain Admins”
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal: setup /PrepareLegacyExchangePermissions
  • Kurzform: setup /pl
• Weitere Informationen
  • Microsoft Technet: Preparing Legacy Exchange Permissions

Schritt 2

In diesem Vorgang wird das Active Directory Schema für Exchange Server 2007 erweitert. Dieser Vorgang darf/muss nur einmal pro Active Directory ausgeführt werden. Übrigens, wurde “setup /pl” nicht separat ausgeführt, ist dies nicht weiter schlimm. In diesem Fall wird der fehlende Vorgang automatisch zusammen mit “setup /ps” ausgeführt.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
  • Mitglied der Gruppe “Schema Admins “
  • Mitglied der Gruppe “Exchange Full Administrator”
• Befehl
  • Normal: setup /PrepareSchema
  • Kurzform: setup /ps
• Weitere Informationen
  • Microsoft Technet: Active Directory Schema Changes

Schritt 3

Dieser Parameter bereitet das Active Directory für die Exchange Installation vor. Existiert noch keine Exchange Organization, muss diese mit “/OrganizationName” (gemäss Konzept) definiert und angelegt werde. Bei einem Upgrade kann dieser Switch weggelassen werden. Für diesen Vorgang müssen sämtliche Domains im Forest auf Port 389 ansprechbar sein.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal: setup /PrepareAD /OrganizationName:ExchangeTalk
  • Kurzform: setup /p /on:ExchangeTalk
• Prüfung
  • Mit ADSIEdit kann die “objectVersion” in Active Directory geprüft werden. Dazu müssen die “Properties” von “DC=MyDomain,CN=Configuration,CN=Services,CN=Microsoft Exchange,CN=MyOrganization” geöffnet werden. Die Version von Exchange Server 2007 SP1 lautet 11221, Exchange Server 2007 RTM 10666.
• Weitere Informationen
  • Microsoft Technet: Exchange 2007 Server Setup Permissions Reference
  • Microsoft Technet: Insufficient Permissions to Prepare Active Directory

Schritt 4

In jeder zusätzlichen Domain des Forest, wo Exchange Server 2007 installiert werden soll oder E-Mail-aktivierte User enthalten soll, muss die Domain vorbereitet werden. Dazu wird entweder der FQDN der Domain explizit angegeben, oder der Vorgang direkt für sämtliche Domains ausgeführt. Die lokale Domain wurde bereits in Schritt 3, mit /prepareAD, entsprechend vorbereitet.

• Permissions
  • Mitglied der Gruppe “Enterprise Admins”
• Befehl
  • Normal (specific Domain): setup /PrepareDomain:fqdn.mydomain.com
  • Kurzform (specific Domain): setup /pd:fqdn.mydomain.com
  • Normal (alle Domains): setup /PrepareAllDomains
  • Kurzform (alle Domains): : setup /pad
• Weitere Informationen
  • Microsoft Technet: Exchange 2007 Server Setup Permissions Reference

Überprüfung

Die Version des Schema kann mittels ADSIEdit ermittelt und kontrolliert werden. ADSI Edit (“adsiedit.msc”) oder ein anderes Tool starten und folgenden Path öffnen: CN=ms-Exch-Schema-Version-Pt,CN=Schema,CN=Configuration,DC=intra,DC=server-talk,DC=eu. Das Attribute “Range Upper” zeigt die aktuelle Version an, für welche der Active Directory Forest vorbereitet wurde. Mögliche Werte wären:

• Exchange Server 2000 = 4397
• Exchange Server 2000 SP3 = 4406
• Exchange Server 2003 = 6870
• Exchange Server 2003 SP3 = 6936
• Exchange Server 2007 = 10628
• Exchange Server 2007 SP1 = 11116

Der Status der Active Directory Replikation kann mit dem Support Tool “replmon.exe” verfolgt werden. Diesem Thema hat Yusuf in seinem Blog einen kompletten Artikel gewidmet.

Weitere Informationen

• Microsoft Technet: Preparing Active Directory for Exchange 2007 White Paper
• Microsoft Technet: How to Prepare Active Directory and Domains
• Microsoft Technet: Active Directory Schema Changes (SP1)
• Microsoft Technet: Description of the Parameters Used With the Exchange 2007 Setup.com Tool White Paper
• Microsoft KB 556086: How to find the current Schema Version
• Active Directory Team Blog: Troubleshooting ADPREP Errors

Mit grosser Freude und natürlich auch grossem Stolz darf ich Heute verkünden, dass in der aktuellen Ausgabe der Fachzeitschrift “IT Administrator” mein Blog vorgestellt wurde:

Den Beitrag gibt es in der Oktober 2008 Ausgabe des IT-Administrator auf Seite 80. Das Magazin kann als Einzelheft, oder auch als e-Paper bezogen werden. Zum e-Paper… (kostenpflichtig)

Happy Birthday! Der Blog ”Server Talk” wird heute 1 Jahr alt. In den vergangenen 365 Tagen wurden in 20 Kategorien mehr als 225 technische Artikel um die Themen Backup, Messaging und Virtualisierung veröffentlicht. Das Schwergewicht hat sich im Laufe der Zeit von VMware mehr in Richtung Exchange Server 2007 und Windows Server 2008 entwickelt.

Gemäss Statistiken suchen täglich inzwischen mehr als 300 Unique Visitors die URL server-talk.eu auf. Demnächst wird nun auch die 50’000er Grenze durchbrochen. An dieser Stelle möchte ich allen treuen Leser danken, welche regelmässig meinen Blog lesen.

Ein grosses Dankeschön gilt auch Johannes, welcher seit Januar ’08 die Administration des Backend übernommen hat und einen tollen Job an den Tag legt.

Danke und viele Grüsse,
Michel

Microsoft hat nun auch das Update Rollup 4 für Exchange Server 2007 frei gegeben. Nach einem Fehlstart vor einigen Wochen gilt es nun ernst. Dazu wird beim Exchange Team Blog mehr geschrieben.

Weitere Informationen zum Update gibt es im Microsoft Article 952580. Das Rund ~40MB grosse Update kann für x64 und x86 heruntergeladen werden. Zum Download… Ab dem 14. Oktober – Microsoft Patchday - wird das Update Rollup auch via Microsoft Update zur Verfügung gestellt. Noch eine wichtige Information für Exchange Server 2007 RTM:

This update rollup does not apply to Exchange Server 2007 Release To Manufacturing (RTM). For a list of update rollups applicable to Exchange Server 2007 RTM, refer to the section Update rollups for Exchange Server 2007 RTM in the Knowledge Base article 937052.

Weitere Informationen

• MSExchangeFAQ: Rollups für Exchange 2007
• Microsoft Technet Forum: Community für Issues rund um Exchange Softwaree Updates
• Server Talk: Exchange Server 2007 benötigt Zugriff auf Certificate Revocation List

E-Mail ist eine tolle Sache, doch kann auch manchem User viel Zeit rauben. In manchen Situationen kann es vorkommen, dass User ein Postfach für interne Kommunikation erhalten, jedoch sollte dies nicht extern zugänglich sein. Falls es diese Notwendigkeit gibt, lässt sich dies mit Exchange Server 2007 und den neu dazugekommen Transport Rules einfach realisieren:

1. Die “Exchange Management Console” (EMC) öffnen und unter “Recipient Configuration | Distribution Group” eine neue “Distribution Group” anlegen. Zum Beispiel mit dem Namen “DG_DenyExternalMail”.
2. Unter “Organization Configuration | Hub Transport” kann eine neue “Transport Rule”, mit passendem Namen, angelegt werden.
3. Im New Transport Rule Wizard müssen folgende “Conditions” angegeben werden: “From People” und “Sent to users inside or outside the organization”. Bei “People” muss die neu angelegte Distribution Group “DG_DenyExternalMail” hinzugefügt, sowie den Wert “Inside” muss auf “Outside” konfiguriert werden.
4. Im nächsten Schritt kann die “Action” definiert werden. Für diese Regel eignen sich “Bounce message to sender with enhanced status code”, oder “Silently drop the message”.
5. Bevor die Regel angelegt wird, können bei “Exeptions” noch notwendige Ausnahmen definiert werden. Ansonsten mit “New” den Vorgang abschliessen.

Wird nun eine E-Mail an einen Absender ausserhalb der Exchange Organization gesendet, erhält der User eine Nachricht mit folgender Fehlermeldung:

#550 5.7.1 Delivery not authorized, message refused ##

Weitere Informationen

• Microsoft Technet: Overview of Transport Rules
• Microsoft Technet: Understanding how Transport Rules are applied
• Microsoft Technet: New-TransportRule cmdlet