gelöscht

vor 9 Stunden schrieb igwadmin:

General für mich mal die Frage wie erfolgt die Authentifizierung bei Exchange, ist das Kerberos  (da ja AD) oder NTLM?

Beides, Kerberos oder NTLM kann zuftreffend sein. Wenn es nur ein Server is und sich die Cients auf den Server FQDN verbinden (default), dann sollte das Kerberos sein. Dazu müsstest Du aber in das entsprechende HTTP Proxy Log schauen, da steht das Auth Protokoll drin.

Ansonsten: was passiert wenn Du bei dem Popup auf abrechen drückst? Bleibt Outlook verbunden oder wird die Verbindung zu Store getrennt? Bleibt die Verbindung bestehen könnte es eher an Autodiscover, EWS oder OAB liegen. Wir sie getrennt eher Outlook Anywhere bzw. MAPI/HTTP.

ASR

In Exchange kannst Du die Sender-Filterung nehmen und die eigene SMTP Domain(s) blocken wenn die Nachrichten von extern in die Exchange Org kommen.

ASR

Wie genau sieht das denn aus für die Mailbox, kannst du den Output mal posten:

Get-Mailbox <mailbox> | fl *audit*

Zur Auswertung würde ich z.B. so ein Script nehmen: https://gallery.technet.microsoft.com/scriptcenter/Generate-a-Report-of-a33cde56

nicht das ECP.

ASR

Hallo,

welche Risiken sollte das haben? AFAIk hat das MessageRate Limit auf dem FrontEnd keine Auswirkung, er macht ja nur ein Proxy zu einem Hub Connector. Du kannst für die App auch direkt einen Hub Connector erstellen und die Applikation auf diesen konfigurieren, Port 2525

Mit Outlook, OWA, ActiveSync Clients hat das Thema ohnehin nichts zu tun, die verwenden keinen Receive-Connector, für Sie gibt es kein MessageRateLimit.

ASR

BTW: SMTP Tarpitting würde ich für eine App deaktivieren, also auf Null stellen.

Und NTLM hat nichts damit zu tun ob ein Client Domain Member oder Workgroup Member ist.

ASR

Am ‎04‎.‎02‎.‎2018 um 23:58 schrieb Doso:

Soll ja doch Bereiche geben die ein Problem damit haben das ihre E-Mails in der Cloud bei einer US Firma liegen.

Ja, das sind oft die, die sich dann umdrehen und all Ihre Smartphone Daten (inkl. Mails) als Backup in die XYZ cloud snycen.

Anders rum: ich kenne seit 2-3 Jahren keine Firma mehr die, wenn sie von was immer auf Exchange geht, noch mit einer on-prem Installation anfängt. Viele sind schon genervt wenn sie auch nur einen on-prem Exchange Management Server brauchen. 

Auch das: "wir wollen nur E-Mail" ändert isch häufig exterm schnell und schon werden "O365 Groups", Skype Online etc. evaluiert. Die Einfacheit macht macht es möglich.

ASR

Bei passender Delegation könnte der User die Gruppe mit den Berechtigungen sogar über ADUC managen, also Mitglieder hinzufügen/entfernen. Gibt aber auch Tools mit schönerer GUI dafür.

ASR

Hallo,

würde auch sagen dass die web.config corrupt oder nicht zugreifbar (Virenscanner) ist. Installiere das aktuelle CU nebst passendem .Net Framework wenn Du die Datei nicht von einem zweiten Server übernehmen kannst.

Wenn das nicht geht kannst Du auch das UpdateCas.ps1 aus dem bin Folder ausführen .

Mit Procmon kannst Du überprüfen ob andere Prozesse auf diesen Folder/Datei zugreifen.

ASR

Servus,

auf welchem Connector hast Du den das Limit dann erhöht? Dem FrontEnd oder HubTransport? Soweit ich weiß greift das Limit nicht bei FrontEnd Connectoren, dann wäre das Verhalen logisch, richtig?

ASR

Exchange (2016) kann auch mit DNS RR sehr gut funktionieren, ich kenne einige die das aus verschiedenen Gründen so zumindest ein paar Monate betrieben haben. Die Lastverteilung klappt sogar erstaunlich gut - wenn alle Server online sind.

Ich stimme aber zu: über diesen Weg dürfte das kaum zu supporten sein, zu vielschichtig sind die möglichen Fehlerquellen. Das hier ist schon fast ein Klassiker: https://kb.vmware.com/s/article/2039495 - aber es kann alles mögliche sein. Woran machst Du fest dass es keine Performance Probleme mehr gibt?

ASR

vor 2 Stunden schrieb Prof Hase:

 

In den drei Schritten gehst du aber für mich auf das Thema Postfach ein: 

 

 

"Mail deaktivieren"

 

Ich spreche aber nicht von Postfächern - ich spreche von Gruppen im genauen "Universelle Verteilergruppen" die der Exchange im AD anlegt. 

Diese sollen aus einer Sub-Domain in die Root-Domäne migriert werden.

Und an einer Gruppe kann ich kein "Mail deaktivieren"....

Warum kannst Du das nicht? Bei mir geht das mit Disable-DistributionGroup <meineDG>.

Danach ein Enable-DistributionGroup auf das geklonte Objekt in der Root Domain und das Setzten der notwenigen Eigenschaften (Berechtigungen, E-Mail-Adressen, Alias, X.500). Solltest Du eben vorher exportieren, ist aber analog wie Du das mit den Mailboxen machst/gemacht hast.

ASR

In Produktivumgebungen deployen wir Exchange ja auch nicht in VMs... sondern folgen der "Perferred Architecture" Empfehlung des Herstellers, richtig?

my 2 cents...

vor 10 Stunden schrieb Prof Hase:

 

Du meinst also ich kann die anderen Objekte (statische Verteilergruppen + Ext. Kontakte) einfach via ADMT verschieben? 

Der EX versteht dann, dass die Objekte in der Root-Domäne liegen? Wo sind diese Informationen existent, im GC? 

 

Nein meine ich nicht, deshalb hab ich ja auch die drei Schritte aufgeschrieben die Du machen müsstest.

Die X500 Adressen repräsentieren den LegDN des alten AD Objekts in deiner Subdomain auf dem neuen Objekt in der root. Hast Du das nicht und jemand verwendet den Nickname Cache bekommt er einen NDR - egal ob an eine Mailbox, DL oder ein Kontakt gesendet wird. 

Such mal danach in der Suchmaschine Deiner Wahl, z.B. http://msexchangeguru.com/2012/03/15/x500/

Wenn Du keine Erfahrung damit hast würde ich mir einen Dienstleister suchen der Dir das scripten/machen/dabei helfen kann.

ASR 

vor 12 Stunden schrieb XP-Fan:

@mwiederkehr

 

Prüfe bitte mal den Link, der passt so gar nicht zu deinem Zitat :)

Klar, der Link ist genau richtig. Und praktisch seid es in Hyper-V die VHDX disks gibt, sind diese auch supported. Nobby ist auf einem alten Stand, die früheren VHD waren als dynamische Disks sau langsam und deshalb nicht unterstützt.

ASR

vor 12 Minuten schrieb tesso:

Über AAS habe ich das ml für einen Kunden gebaut. Das geht ohne Internetverbindung. Der Trust ist dafür ausreichend. 

Nein, es braucht keine AD Trust dafür.

ASR

Ja, das Verhalten ist so erstmal "by Design". Versendet das Helpdesk Ding authentfiziert per SMTP?

ASR

Hallo Hase,

wie hast Du denn die User Objekte in root domain bekommen? ADMT? Und wie hast Du die X500 Adressen hinzugefügt?

Abhängigt davon würde ich bei den anderen Objekt Typen ganuso machen. Dynamic DLs kannst Du nicht mit ADMT klonen, also einfach löschen und neu anlegen.

1. Objekt in die root domain klonen

2. In der Child domain "mail deaktivieren"

3. In der root domain "mail aktivieren", bei Bedarf x500 Adresse vom alten Objekt übernehmen

oder

ein Tool kaufen das die Schritte übernehmen kann.

ASR

Am ‎19‎.‎01‎.‎2018 um 12:14 schrieb Nobbyaushb:

 

Und ich würde nicht wieder zu einem Mail enabled Public Folder gehen.

 

Warum nicht?

ASR

Für das System/Installationslaufwerk empfehle ich immer min. 250-500GB. IIS logs würde ich alles älter als 30Tage per Script und Scheduled Task löschen lassen.

ASR

Und ich verstehe die Frage nicht. Du kannst das MFG (Microsoft Federation Gateway) verwenden oder einen AAS https://technet.microsoft.com/en-us/library/bb124122(v=exchg.160).aspx

einrichten. Für beides braucht keinen AD Trust, der ist aber auch nicht im Weg.

Wenn die Server keinen Internet Access haben wird es eben mit dem MFG nicht klappen.

ASR

Quelle?

Diverses geht sonst nicht, z.B. Search-Admin Audit log etc. Klickst Du:

https://technet.microsoft.com/en-us/library/dn249849(v=exchg.150).aspx

ASR

Eine andere Lösung wurde nicht genannt, nur "geht nicht mehr". Ehrlich gesagt, bin ich mir nicht mal sicher, ob wir die ÖO abgelöst bekommen, rein technisch klar, aber manche Abteilungen arbeiten sehr gerne damit. Mit welchem Feature könnte ich die ÖO ablösen? ich bin etwas raus aus dem Exchange Thema und muss mich erstmal wieder reinfuchsen.

Am universellsten sicherlich mit SharePoint, Datenablage, Kontakte und Kalender sind da flexibler, könntest sogar mails damit empfangen wenn es sein muss. Kommt aber auf die Anforderungen an. Für Meeting Räume und pur E-Mail könnt ihr Mailboxen nehmen.

Diese Arbitration Mailboxen müssen an sich ZUERST nach 2016 verschoben werden.

ASR

Nur zur Klarstellung, der Exchange wird NIE mails für seine Postfächer Mails irgendwie nach extern schicken. Das geht nicht. Egal was man da umleitet oder an Regeln baut. Maximal mit einer weiteren Maildomain, an die man sowas weiter-/umleitet.

Hat auch keiner geschrieben. Er könnte aber für user1@contoso.de eine Mailadresse user1_a@contoso.de auf dem POP Server (wenn der das kann) hinzufügen und dorthin weiterleiten/umleiten. Die Adresse user1_a@contoso.de ist im AD ja nicht existent. Dann braucht es noch einen passenden Send-Connector und contoso.de als internal relay.

Wozu das alles allerdings gut sein soll ist eine gute Frage.

ASR

Im zweifel stellt MS aber afaik (jedem) O365 Business Kunden genau zu diesem Zweck eine entsprechende Exchangeserverlizenz zur Verfügung. Exchange 2010 würde ich dafür nicht mehr unbedingt nutzen. Und ja, das ist "doof", aber nunmal die aktuell supportete Lösung.

 

Bye

Norbert

Ich sehe da keinen Mehrwert, nur mehr Aufwand auch noch Exchange 2016 zu deployen. OAuth braucht er ohnehin nicht wenn es das Ziel ist alle Mailboxen nach ExO zu verschieben. 

ASR