bitchi

Danke, Norbert, für die ausführlichen Infos.

Dank dir und den Links habe ich heute viel neues dazu gelernt.

jetzt lese ich mir erst mal alles nochmal genau durch.

Einen schönen Tag wünsche ich dir

da hast natürlich recht, das ist schon ein Unterschied.

Also, wenn ich das per Powershell anlege, kann ich hinterher ins IIS gehen und dort dem Back End bei Bindungen zuweisen?

ich habe das nun per Powershell angelegt. Ja, hier sind es 5 Jahre. 

Nun noch 3 Fragen bitte, dann kann ich mal damit arbeiten:

1) Welche Dienste müssen/sollten dem self-signed Zertifikat und dem externen Zertifikat zugewiesen werden?

2) Die Zuweisung der Dienste dann per EAC oder Powershell?

3) Wir haben ein CRM-System, mit dem man per IMAP eMails schicken kann. Da ist natürlich der Exchange als IMAP/SMTP-Server eingetragen.

Welches Zertifikat ist hierfür verantwortlich (self-signed oder das externe), und läuft das über Default Web Site oder Back End und es sind

hier für die Dienste IMAP/SMTP notwendig?

Ich danke dir für deine Zeit und Expertise

ich habe das self-signed Zertifikat 1:1 nach dieser Anleitung gemacht: https://www.frankysweb.de/exchange-2016-backend-zertifikat-neu-erstellen/

und Frankysweb ist ja auch vertrauenswürdig.

wenn ich das per EAC mache, wird noch folgendes gefragt:

und 

Was ist denn hier auszuwählen?

Aus der Anleitung von MS zum Erstellen von self-signed Zertifikate werde ich da nicht ganz schlau draus

bzw. möchte nicht, dass das mit dem externen Zertifikat kollidiert.

Ich danke dir.

Ich lese natürlich immer erst einige Seiten, teilweise auch bei MS, bevor ich in einem Forum schreibe.

Ja, wenn man immer mehr mit dem Exchange Powershell arbeitet, wird das natürlich immer vertrauter.

Ich mache da immer öfters was.

Gute Frage, wo das Zertifikat für Back End ist. Keines vorhanden. 

Die letzten Wochen/Monate wurde da nichts gemacht, und es lief ja immer. In die Bindungen vom Back End hatte ich noch nie geschaut.

Ich habe nun mit der Anleitung von https://www.frankysweb.de/erneuern-des-zertifikats-fur-das-exchange-server-back-end/

ein neues self-signed Zertifikat erstellt und ans Back end gebunden.

Scheint aber nun nur noch 1 Jahr Laufzeit zu haben

Danke, Norbert, daraus werde ich lernen.

Also, was die Zertifikate angeht, kann ich schon alles über EAC machen? (Das ist so gut/stabil wie per Shell?)

Das self-signed Zertifikat kann ich über EAC - Zertifikate erstellen? Das ist dann ok?

Und wie würde ich dieses self-signed dann fürs Backend hinterlegen, wenn man es nicht über IIS machen soll?

vor 36 Minuten schrieb NorbertFe:

Und hast du danach mal im iis nachgeschaut? Das backend Zertifikat ist übrigens nicht das gekaufte sondern immer das selfsigned Zertifikat.

Ich habe (nach Anleitung des bisherigen Admins) das SSL über das Zertifikats-Snap-In importiert, dann bei den Bindungen ausgewählt.

Dann über Shell bzw. EAC geschaut, welche Dienste dran hängen und vorsorglich diese noch explizit zugewiesen.

Das wäre meine nächste Frage gewesen, ob das Backend Zertifikat auch das gekaufte sein muß, da dies ja nur die Backend-Dienste innerhalb des Servers betrifft.

Sprich, da kann ich das Microsoft Exchange Server Auth Certificate nehmen?

Seltsam ist aber, dass es jetzt 3 Wochen lief bzw. jetzt 2 x sonntags ein Problem gab (im Abstand von 2 Wochen). Samstagabends wird der Server immer neu gestartet (wg. Updates),

offenbar muß das Backend-Zertifikat dann rausgeflogen war, da heute morgen keines ausgewählt war.

ok, verstehe.

Mit der Shell habe ich das Zertifikat den Diensten zugewiesen. 

Mir ist bewusst, dass man alles mit Shell machen kann. Mit der "GUI" ist es natürlich einfacher/schneller.

Dann werde ich mir mal die entsprechenden Cmdlets zusammensuchen.

Vielen Dank

Vielen Dank für die Rückmeldung.

Ja, ist natürlich klar, dass das keine Fehlermeldung ist

Ich habe das gestern Abend von zuhause aus kurz gecheckt und mal eine erste Analyse abgeben und heute im Büro genauer danach schauen

und Rückmeldung geben.

Aber offenbar ist es gelöst, ich habe das hier gefunden:

https://www.act-computer.de/hilfe-tipps/item/geloest-outlook-verbindet-sich-nicht-mehr-mit-exchange-2016

Nach Eintrag im Exchange Back End ging es wieder.

Ich danke euch für eure Bereitschaft.

Grüße

Christoph

vor 4 Minuten schrieb NorbertFe:

Im iis sollte man üblicherweise gar nix machen hinsichtlich Exchange und Zertifikate. Was genau machst du da?

Danke,

aber ich muß doch bei den Bindungen das neue Zertifikat für https auswählen oder geht das rein über Shell auch?

(So hat es mir der bisherige Admin gezeigt)

Hallo,

es geht um Exchange 2016.

Am 03.07. ist das alte Zertifikat abgelaufen. Ich habe rechtzeitig bei InterSSL das Zertifikat verlängert und aus der -key und -crt Datei eine -pfx-Datei erstellt.

Dieses habe ich vor Ablauf des alten Zertifikats am Exchange importiert und das alte dann gelöscht. Im EAC bzw. Shell für die Dienste IIS, IMAP, POP, SMTP aktiviert.

Im IIS das neue Zertifikat für https/443 ausgewählt. Das Zertifikat zeigt auch das neue Ablaufdatum an.

Dann lief das Zertifikat problemlos 2 Wochen. Es hat alles funktioniert, Outlook, OWA, Login EAC, Shell.

Aber nun ist es nun dieses Wochenende schon das 2. Mal, das Outlook, OWA, EAC, Shell nicht mehr geht.

Beim ersten Mal habe ich noch die cert-Dateien im "Lokalen Computer" installiert. Dort bei den CA-Zertifikaten wird das Zertifikat auch angezeigt, Laufzeit bis 2046.

IIS neu gestartet, dann lief es wieder.

Nun jetzt aber wieder nicht mehr.

Nachdem Exchange die ganze Woche läuft, muß es ja passen.

Aber am WE passiert irgendetwas.

Hat jemand einen Tipp, woran das liegen kann? 

Vielen Dank,

Grüße Christoph

Hallo,

kurze Rückmeldung.

Es gab keine Einschränkungen nach Ablauf des Zertifikats. Die anderen verbliebenen eigenen Zertifikate laufen bis 2030. Im Juli ist wieder unser CA-Zertifikat zu verlängern.

vor 19 Stunden schrieb NorbertFe:

Geht beides. Und bitte bei der Nachfrage des Ersetzens des Standardzertifikats mit NEIN antworten, wenn man sich nicht sehr sicher ist, was das bewirkt. ;)

vielen Dank für die Infos und Tipps.

Schöne Woche

vor 4 Stunden schrieb NorbertFe:

Und nicht für SMTP?

ne, bisher nicht. Bisher die 2 o.g. selbst-signierte Zertifikate für SMTP.

Ich bin erst seit Juni hier (deswegen kann ich keine weitergehende Infos nennen). 

Das CA-erstellte war bisher immer für IMAP, POP, IIS.

Das CA-erstellte können wir natürlich auch für SMTP nehmen.

Könnte ich das rein über EAC zuweisen oder müsste das über die Shell gemacht werden?

Hallo NorbertFe,

war standardmäßig mit SMTP verbunden. Nein, das Federation Gateway benutzen wir nicht.

So hatte ich auch gelesen, daß das dann nicht wichtig ist.

Ne, wir haben noch 2 andere selbst-signierte Zertifikate, die bis 2030 laufen und noch ein CA-erstelltes Zertifikat für IMAP, POP. IIS.

Das o.g. Exchange-Zertifikat für Microsoft Exchange Server Auth Certificate habe ich erst Ende Januar verlängert.

Ich habe mich mal eingelesen, falls es am 13.03. doch knallen sollte.

Vielen Dank für den Link.

Grüße Christoph

Hallo,

bei den Zertifikaten wird mir das Exchange Delegation Federation Zertifikat, welches dem Dienst SMTP zugewiesen ist, mit Ablaufdatum 13.03.25 angezeigt.

Wenn ich mir alle Zertifikate für den Dienst SMTP anzeigen lasse, bekomme ich 2. Eines läuft noch bis 2030.

Muß ich dann das o.g. mit Ablaufdatum 13.03. trotzdem erneuern oder wird am 13.03. dann automatisch das andere Zertifikat genommen?

Hier der Auszug aus der Shell:

>> Get-ExchangeCertificate | Where-Object {$_.Services -match "SMTP"} | Sort-Object NotAfter -Descending | Format-Table
FriendlyName, Thumbprint, NotAfter,Services

FriendlyName                                                  Thumbprint          NotAfter                      Services

------------                                                       ----------              --------                         --------
Microsoft Exchange Server Auth Certificate    8E0Axxxxxxxx       27.01.2030 11:47:00     SMTP
Exchange Delegation Federation                     F447xxxxxxxx       13.03.2025 18:59:34     SMTP

Muß ich also gar nichts unternehmen?

Vielen Dank

Grüße

Christoph

vielen Dank für die schnelle Antwort.

Im Postfach bei Postfachstellvertretung (Vollzugriff) steht die AD Sicherheitsgruppe, in der alle Mitarbeiter drin sind.

Die 8-9 User, die in den Berechtigungen drin stehen, sind "Besitzer"

Hallo,

folgendes (Exchange 2016):

Wir haben u.a. ein allgemeines Postfach, eingerichtet bei vielen Usern mit vollem Zugriff auf alle Ordner.

Im Posteingang gibt es einen Unterordner "GF", auf den auch alle Zugriff haben. Nun soll da nur noch der GF und Assistentin der GF zugreifen können.

Die Assi GF verschiebt eMails vom Posteingang täglich in versch. Ordner, u.a. in den GF-Ordner.

Ist es nun möglich/machbar, per rechter Maustaste in den Berechtigungen alle eingetragenen Usern außer GF und Assi GF zu entfernen oder lieber nur Berechtigungsstufe "Keiner" auszuwählen,

so daß nur noch GF und Assi GF Zugriff auf diesen Ordner haben?

Wenn aber ich (Admin) trotz "normalem User" in dem Postfach Berechtigungen setzen/entfernen kann, könnte doch jeder andere das auch wieder rückgängig machen oder nicht?

Früher oder später wollen/müssen wir auf Exchange Online migrieren. Wäre es im Hinblick auf diesen Plan nicht besser/sauberer, ein neues Postfach anzulegen "GF" und dann vom o.g. Postfach

eMails dort rein zu verschieben. Das wäre das klar getrennt, wenn die Migration soweit ist.

Vielen Dank für eure Anregungen/Ansätze/Tips.

Grüße

Christoph

Danke für die Tipps.

Ja, Ordnerumleitung wäre eigentlich genau das Richtige.

Das werde ich wohl umsetzen, ist viel eleganter.

Besten Dank,

Grüße

Hallo zusammen,

danke für die Hilfestellungen und Anregungen. Ich werde mal mit PowerShell einen Versuch starten, aber das stimmt, man würde das Konsolenfenster sehen.

Also nicht so die finale Idee.

@Testperson: da hast du recht, eigentlich wären die Daten direkt auf dem Server am besten aufgehoben. Aber du kennst ja die User.... (DAU!)

wären ein paar Dateien auf dem Desktop bzw. in den Dokumenten des Users.

Ich danke euch für die Anregungen.

Grüße

Christoph

Hallo,

das ist die Frage:

Zitat

Aber ich hätte gerne, daß der User dann eine Meldung beim Abmelden bekommt (so wie die Standardmeldung von Windows beim Abmelden/Herunterfahren, wenn noch etwas im Hintergrund
geschieht, z.B. Bitte PC nicht ausschalten, es werden Updates installiert usw.

Sprich, daß ich den Text dann mit Echo oder so in das Skript einbaue (z.B. PC nicht ausschalten, es werden Dateien kopiert)

vor 8 Minuten schrieb BOfH_666:

hängt davon ab, welche Script-Technologie Du benutzt und wie Du die Scripte startest

mit GPO habe ich eingerichtet, daß das Skript startet, sobald der User sich abmeldet.

mit welcher Skript-Technologie würde das denn gehen?

Zitat

Beim Abmelden ein Skript laufen geht beim Taskplaner immer noch

das ist nicht das Problem, das geht ja

Hallo zusammen,

wenn sich ein User am Client abmeldet/PC herunterfährt, soll ein Skript ausgeführt werden (damit ein paar lokale Dateien auf den Server kopiert werden).

Das ist mal soweit kein Problem, kann ich ja z.B. mit GPO machen und klappt soweit auch.

Aber ich hätte gerne, daß der User dann eine Meldung beim Abmelden bekommt (so wie die Standardmeldung von Windows beim Abmelden/Herunterfahren, wenn noch etwas im Hintergrund
geschieht, z.B. Bitte PC nicht ausschalten, es werden Updates installiert usw.

Sprich, daß ich den Text dann mit Echo oder so in das Skript einbaue (z.B. PC nicht ausschalten, es werden Dateien kopiert)

Ich habe so etwas mal seinerzeit mit Windows 2000 gemacht, damals habe ich per Aufgabenplanung an meinem privaten PC damals ein Skript laufen lassen und in dem Skript war eine

Meldung "PC nicht ausschalten, es wird gesichert" (ein von mir vergebener Text). (Ich weiß aber nicht mehr, wie ich das gemacht habe, ist ja schon ein paar Jahre her )

Und dieser Text kam dann eben im dem Fenster, indem bei Windows 2000 auch immer drin stand, wenn Updates installiert wurden.

Ich hoffe, das ist verständlich geschrieben

Grüße

und ein schönes WE

Christoph

ich sehe gerade in der Aufgabenplanung, daß da ja eine Aktion einzustellen ist "Meldung anzeigen (veraltet)",

habe ich das damals mit Windows 2000 viel. so gemacht? Ich glaube ja...?

Aber kann ich dem User auch mit dem Skript eine Meldung schicken, daß der beim Abmelden sich nicht wundert,

wenn der PC länger braucht (wg. dem Kopieren im Hintergrund)?

Hallo,

ja, mit dem SetACL habe ich schon mal herausgefunden, wer der ursprüngliche Besitzer ist/war. So komme ich der Sache schon näher.

Ja, das Problem war, daß die User nicht die vorhandene Ordner-Struktur in der Freigabe genutzt haben (die vom Admin angelegt wurden), sondern

über die Client-PCs Daten von extern in neue Ordner kopiert haben. So bekamen die Ordner den entsprechenden Besitzer und deswegen kann ich

als Admin natürlich keine Rechte vergeben.

Diese Tipps haben mir in dem Fall weitergeholfen. Dann weiß ich, wo ich ansetzen muß.

Besten Dank.

da gebe ich dir natürlich recht, ändert aber nichts an meinem Problem :-)

das von Nils genannte Tool scheint mal eine gute Lösung zu sein.

Die Frage ist, gibt es keine Windows Bordmittel, um allen Dateien, bei denen der Besitzer nicht angezeigt werden kann (jetzt ist es richtig), einen neuen

Besitzer zuzuordnen?

danke für die Info.

Da diese Unterordner von Usern angelegt worden sind bzw. von irgendwo her kopiert wurden,

scheint der Besitzer und somit die Berechtigungen verloren gegangen zu sein.

siehe Anhang.

Hallo,

es geht um einen Windows Server 2012 R2.

In einigen Ordnern, die für die User freigegeben sind, gibt es Unterordner bzw. Dateien,

die besitzlos sind.

Im Augenblick habe ich einen Ordner (Besitzer: administrator), in dem einige Dateien ohne Besitzer sind.

Kann ich den Besitzer für mehrere Dateien auf einmal einrichten?

Ich muß jede Datei einzeln anklicken, Besitzer auf administrator ändern, dann kann ich erst die Berechtigungen vergeben.

Geht das nicht komfortabler?

Vielen Dank,

Grüße

Christoph