Jump to content

Beetlejuice

Members
  • Gesamte Inhalte

    233
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Beetlejuice

  1. okay, aber wie gesagt, über die interne url, welche auch als interne OWA adresse konfiguriert ist, geht das auch nicht. Der Proxy ist da gar nicht mehr gefragt. :(
  2. Guter Gedanke, ich habe noch Srv 2012 R2 im Einsatz und ich glaube das kommt erst mit 2016 oder so ... jedenfalls mit einem neuerem IIS. Der Network-Trace im Browser zeigt jedenfalls http/1.1 an.
  3. Fehler ist behoben ("Set-AuthConfig -ClearPreviousCertificate"), wie erwartet besteht das Problem leider dennoch.
  4. Ich habe eben nochmal die Logs durchschaut und seit geraumer Zeit, noch bevor ich die Extended Protection aktiviert habe, bekomme ich eine MSEXchange OAuth meldung. Event 2004, MSExchange OAuth Unable to find the certificate with thumbprint 79FDDA0199C941A6A2BCEAB2A97B68D85F0D54FD in the current computer or the certificate is missing private key. The certificate is needed to sign the outgoing token. Das Zertifikat (Microsoft Exchange Server Auth Certificate) war abgelaufen und wurde mit den Vorbereitungen zum SU getauscht. (Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefor Subject : CN=Microsoft Exchange Server Auth Certificate Thumbprint : C28FCDFF46EB8590053EBD281795037B77C63630 NotAfter : 01.01.2028 22:33:54 NotBefore : 01.01.2023 22:33:54 Da ich das OWA auf allen andern mobilen Geräten benutzen kann, würde ich das Problem jetzt nicht mit diesen in Verbindung bringen.
  5. Ja habe ich schon und ich ging dabei auf die interne OWA url. Die Zugriffe konnte ich in der Firewall auch gut sehen. Dann muss ja irgendwas an der OWA konfiguration, dem Zertifikat oder der extended protection nicht stimmen... Da wir auch Auto-Archive haben, habe ich bei der Extended PRotection auch den EWS-BAckend Restric-Type ausgewählt.
  6. Könnt ihr denn mit Apple Geräten und aktivierter Extended-Protection auf das OWA im Webbrowser zugreifen? Gibt es noch eine weitere stelle im Exchange, wo ich schauen kann warum das nicht klappt? das IIS log habe ich mir schon angeschaut, dort taucht nur ein 401 auf...
  7. Es handelt sich dabei um dasselbe Zertifikat (gleicher Thumbprint)
  8. Hi Leute, zum ende vom Dezember habe ich unseren Exchange Server 2016 auf die SU vom November 2022 (Build Number: 15.01.2507.016) gepatcht und ebenfalls die Extended Protection eingeschaltet. Für das OWA betreibe ich eine Sophos XG als WAF und verwende SSL-Bridging mit dem gleichem Zertifikat für intern als wie extern. Auf Windows-Systemen wie auch bei Android-Systemen funktioniert das OWA mit den gängigsten Browsern (Chrome, Edge, Firefox). Nur bei Apple Geräten (MacOS, iOS, vermutlich auch iPadOS - ist aber nicht getestet) habe ich Probleme das OWA zu öffnen. Dabei ist es egal ob ich das mit dem Safari, Chrome oder Firefox mache. Bei allen Browsern unter Apple bekomme ich nur ein loop der Passworteingabe. Sobald die Extended Protection abgeschaltet wird, funktioniert auch wieder die Anmeldung mit Apple Geräten. Seid ihr auch in ähnliche oder in gleiche Probleme gestoßen und konntet ihr die Lösen? Was könnte ich nach eurer Meinung nach tun? VG Henry
  9. Hallo Leute, ich habe da mal so eine kleine Frage aber finde selber keine Antwort drauf. Gibt es bestimmte Voraussetzungen wann man ein Zertifikat mit gleichem Priv. Key verlängern sollte und wann nicht? Für unsere internen Dienste haben wir eine Windows PKI Root und Sub CA's. Die Zertifikate auf den Linux Systemen werden script-basiert immer mit einem neuem Key angefragt und ausgestellt. Bei den Windows System kann ich aber auch ganz simpel das Zertifikat mit demselben Key verlängern. -> Was für einen Mehrwert bringt mir das, ein Zertifikat mit gleichem Key zu verlängern? -> Als nächstes stellt sich mir die Frage, warum ich die Sub-CA (bei ca. der hälfte der Lifetime) mit gleichem Key Verlängern soll und nicht stattdessen ein neues CA Cert mit neuem Key ausstellen soll? In beiden fällen bleibt das alte CA Zertifikat ja weiterhin vorhanden (soweit noch Gültig). Danke und viele Grüße!
  10. Hallo liebe gemeinde, ich stehe vor der Herausforderung Kalender von verschiedenen Organisationen zu ag­gre­gie­ren. Unser Management besitzt eMail-Konten in verschiedenen Sub-Organisationen, die aber alle ihre eigene Infrastruktur haben. Die besteht zum einen aus MS Office 365, zum anderen aus Exchange 2016 on-premise. Kann man das überhaupt so bewerkstelligen, eventuell mit third-party tools? Wie sehen hier die alternative aus, um das orga Chaos (Termineinladungen an x-verschiedenen eMail-Konten) zu minimieren. Wir hatten uns hier auch schonmal die "shared calendar" angeschaut, welches aber nicht das Problem eines übergeordneten Kalenders lösen würde. Alle die nicht auf den shared Calender zugriff hätten, wüssten auch nicht, ob der "vermeintlich freie" Termin nicht bereits gebucht ist. Wie würde man das Organisatorisch oder Technisch am besten angehen? Thx, Henry
  11. Ich werde das mal anvisieren, jedoch nicht so schnell machbar. Generell wäre aber auch die Frage ob das Problem so bekannt ist , wenn es per Design ist, ist es bestimmt schon woanders aufgetreten. Hat jemand von euch Erfahrungen mit diesen Großen Gruppen in Outlook (Calendar View) und Skype? Das Versenden an diese Gruppen funktioniert problemlos. Ich kann mir auch alle Mitglieder über das Adressbuch oder in der e-mail anzeigen lassen.
  12. Hallo, wir laufen gerade in ein Problem, dass wir im Outlook Kalender sowie in SfB keine Gruppen > 100 Mitglieder öffnen können. Es wird jedesmal eine FM von Skype oder Outlook angezeigt. Als wir die Mitgliederzahl unter 100 gedreht haben, ging es wieder. Das wäre aber keine Lösung für uns. Mit Google und in anderen Foren habe ich nur Bruchstücke gefunden, woran das liegt und ob man das ändern kann. Für Skype gäbe es wohl ein RegKey, der aber nicht bei allen Funktioniert hat und auch nicht unendlich vergrößert werden kann. Für Outlook habe ich gar nichts gefunden, bis auf den Kommentator es sei bei Design konfiguriert. Im Event Log finde ich folgende FM zu Outlook: Microsoft Outlook This group cannot be opened. For more information, contact your Microsoft Exchange Server administrator. P1: 302080 P2: 16.0.4822.1000 P3: P4: 0x80040403 In Skype wir mir die folgende FM angezeigt. Wir nutzen Outlook 2016 in Version 16.0.4738 und Exchange 2016 v. 15.1.1415.2. Skype Client ist 2016 in Version 16.0.4738 und der Server in v. 2015 (6.0.9319.0) Ziel wäre es, die Gruppen in Outlook sowie in Skype zu öffnen, auch wenn es mehr als 200 Mitglieder sein sollten. Bei den Gruppen handelt es sich um Universal Security Groups. Danke Henry
  13. Danke für den Tipp, werde ich berücksichtigen. Da der Mailverkehr aktuell funktioniert, haben wir die Wartung auf Donnerstag verschoben :). Danke, cu
  14. Ja das ist immer so eine Sache :), daher heute in Abendstunden. Glücklicherweise habe ich davor noch ein weiteres GW welches die Mails queued, falls es mal länger dauert.
  15. Danke für die vielen Rückmeldungen! Wie die subscription selber zu löschen ist, weiß ich. Ich dachte es gäbe die Möglichkeit den Server so zu entfernen. Ich werde dann heute mal die subscription löschen und neu einrichten.
  16. Der alte wurde ordnungsgemäß deinstalliert. er ist ja auch auf dem mailboxserver raus.
  17. wie kann ich den exchange server daraus löschen, im LDS oder via cmd-lets?
  18. Hallo, nach der Migration vom Exchange 2010 zu Exchange 2016 und nachdem der alte Exchange-Sever deinstalliert wurde, taucht im neuen Edge Server (2016) immer noch der alte Mailserver auf. Auf dem neuen Exchange Server ist der alte aber weg und im AD (config) ist er ebenfalls nicht mehr vorhanden. [PS] C:\Windows\system32>Get-ExchangeServer Name ServerRole Edition AdminDisplayVersion ---- ---------- ------- ------------------- WIN10065 Mailbox Enterprise Version 15.1 (Bu... win10066 Edge Standard Version 15.1 (Bu... aber im Edge wird der alte Exchange server (win10004) noch angezeigt. [PS] C:\Windows\system32>get-exchangeserver Name ServerRole Edition AdminDisplayVersion ---- ---------- ------- ------------------- win10066 Edge Standard... Version 15.1 (Bu... WIN10004 Mailbox,... Enterprise Version 14.3 (Bu... WIN10065 Mailbox Enterprise Version 15.1 (Bu... Auch in der Transport-Queue wird der alte Exchange-Server angezeigt, gefolgt vom neuen. Aktuell ist der alte aus und die Mails kommen auf dem neuen Server an, jedoch scheint mir das noch nicht ganz sauber zu sein. Hat jemand ein Tipp für mich? Danke!
  19. Nachdem ich den Client Proxy connector geändert habe, kam die Rückmeldung vom Applikation Manager, dass seine Mails nun wie gewünscht zugestellt werden. In den Log's wurden nun auch keine mehr blockiert. SMTP Tarpetting wurde für den Anonymous Connector auf 0 gesetzt, für den Internen, sollte dieser nicht greifen. Für Authentifizierte Verbindungen sollte er nicht greifen. Gibt es dennoch vertiefende Dokumentationen, wo die Funktionsweisen der Connectoren beschrieben werden?
  20. Hallo, für unsere Internen Applikationen haben wir einen eigenen "Frontend" receive connector (Internal Relay) angelegt. Die Applikation versendet mehrere Mails (7-15) via SMTP und einem Exchange Benutzer für die Authentifizierung am connector. Im FRONTEND Transportlog (SmtpReceive) wird die Mail über den entsprechenden connector angenommen und verarbeitet. Dennoch wird die Übertragung mit dem Fehler "4.4.2 Message submission rate for this client has exceeded the configured limit" zurückgewiesen. Die limits für den eigenen connector (Internal Relay) wurden entsprechend konfiguriert. - MessageRateLimit = unlimited - MaxInboundConnectionPerSource = 40 - TarpitInterval = 00:00:05 Im Connectivity Log vom FRONTEND finden ich den folgenden Fehler: 2018-02-22T11:07:16.228Z,08D55E8F04BD872C,SMTP,client proxy,+,Client proxy session for . Proxied session id 08D55E8F04BD872B 2018-02-22T11:07:16.478Z,08D55E8F04BD872C,SMTP,,-,Messages: 0 Bytes: 0 (Remote error from proxy target - SocketError) Nach längerem Suchen habe ich dann den folgenden Fehler im HUB-Transport Log (SmtpReceive)) 2018-02-22T11:07:16.306Z WIN10065\Client Proxy WIN10065 08D55E8EF21599E6 28 172.16.162.31:465 172.16.162.31:62493 > 421 4.4.2 Message submission rate for this client has exceeded the configured limit Der HubTransport connector "Client Proxy <servername>" kommt mit der Exchange installation standardmäßig mit. In diesem sind default auch andere Schwellwerte gesetzt als in mein eigenen. - MessageRateLimit = 5 - MaxInboundConnectionPerSource = 20 - TarpitInterval = 00:00:05 Ich habe die Schwellwerte mal angepasst, warte nun auf die Rückmeldung des AM und beobachte das Log (siehe Anhang). Was sieht Microsoft hier vor, wie richtig zu agieren und konfigurieren ist? Den Frontend-Connector kann ich ja ganz gut für meine Applikation limitieren. Wenn nun auch der HubTransport Connector angepasst werden muss, birgt es nicht irgendwechle Risiken? Theoretisch muss dieser ja so denfiniert werden, wie das Maximale eines einzelnen Frontend Connectors. Warum aber hatte ich bisher mit Outlook keine Probleme, wenn ich viele Mails (>30) auf einmal versende. Das genaue Zusammenspiel zwischen dem Frontend und HubTransport connectoren ist mir noch etwas Rätselhaft... jimmyone hatte mal über das gleiche Problem berichtet .. danke
  21. Ok schon klar, die Frage war auch eher allgemein, sprich eher einzelne Services im Internet zu veröffentlichen oder besser vpn Tunnel. Und mit welchen vpn‘s ihr eher gute oder schlechte Erfahrungen gemacht habt. Irgendwo muss man halt mal fragen
  22. So ziemlich alles was einem einfällt. Klar zunächst Fileserver und Mail aber auch diverse Entwicklungssysteme (ssh,rdp,DB‘s, VMs usw. und auch auf Kundensysteme durch internes Site-to-Site VPN. Also recht viele Services. Es gibt halt MA die arbeiten nur im Off. Für die haben wir zwar eigene Home-VPN Router im Einsatz, aber das Client Vpn vom Laptop ist ebenfalls erforderlich. Was nutzt ihr für VPN‘s und was für Dienste?
  23. Bisher nutzen wir "noch" die TMG mit RADIUS und NAP. Damit können wir festlegen, dass "nur" Domänen-Rechner sich in das VPN einwählen können. Der MA kann den Account nicht missbrauchen um mit anderen Geräten (Handy, priv Laptop) sich in das Unternehmensnetzwerk zu verbinden. Lancom, SonicWall, Sophos, linux
  24. Hallo liebe Gemeinde, wir halten gerade Ausschau nach ein neuen VPN Lösung (Client-To-Server) für unser MA die auswärts oder auch intern in public Netzwerke arbeiten. Wir haben da zb. folgende Anforderungen wie: - Bindung an den Client (Domänen-Client), zb. via NAP. - Zentraler Account aus der Domäne - Subnetze routen - Benutzer haben keine Admin-Berechtigungen - Optional, der VPN Client benötigt keine Admin-Berechtigungen zum installiert oder einrichten (Nativer Windows VPN Client) Was setzt ihr so ein und welche Schwierigkeiten seht ihr? cu
  25. Beetlejuice

    Storage gesucht

    Wir haben bei uns verschiedene DELL Systeme im Einsatz, darunter mittlerweile auch eine SC 2020 mit 2 Enclosern. Die haben ebenfalls 2 Controller und bieten soweit eine gute Verfügbarkeit an. Einzig über die Performance kann man sich hier streiten, diese ist nicht so gut wie bei unseren 38er MDs von DELL. Bei der SC häng auch vieles vom Einsatz ab, also welche Daten liegen auf dem Storage und von welchen Systemen werden diese Verarbeitet. Die SC hat halt einen fest eingebautes Limit pro Verbindung (je nach größe des Kopfes zb. von ca. 3000 Mbit) welches bei unseren Einsatz immer wieder an die grenzen stößt. Des weiteren ist auf der SC eine weitere logische Schicht für die Speicherverwaltung und LUN Zuordnung. Für einen Einsatz von vielen Hosts/Clients, die auf die SC zugreifen und viele kleine Dateien schreiben/lesen müssen, ist sie sicherlich OK. Jedoch für eine Verarbeitung von großen Daten eher ungeeignet und eher wenigen Hosts ungeeignet. Die MD38xx ist hier wesentlich schneller :). Aktuell spielen wir zusätzlich mit einem "billigen" Storage für die VMs unserer Entwickler, welcher aus Supermicro Enclosern und Kopf besteht. Hier muss du für das OS zwar selber Hand-Anlegen, wirst jedoch mit einem günstigen Speicher und schneller Performance belohnt. Mit bissle RAM oder NVMe's kannst du Dir auch einen schönen Cache gönnen :). Und mit 2 Systemen kannst Du auch ein Voll-Redundantes System einrichten und kannst die Systeme im HA betrieb ohne Probleme warten.
×
×
  • Neu erstellen...