NorbertFe

Aber nur für Outlook unter Windows 11 (ok) und nicht für ActiveSync.

Wäre auch mein Vorschlag. Im Zweifel zwei verschiedene virtual Services im Kemp nutzen dann sollte man das im IIS Log sogar anhand der VIP des Services erkennen können, welcher Zugriff von extern und welcher von intern kommt.

Halb OT: Wie habt ihr denn Active Sync mit MFA realisiert?

Aber auch nur, wenn man OWA unbedingt nutzen muss/will und die Attachments benötigt. ;)

Er fixt Sicherheitsprobleme. ;) dafür bekommst du ein altes wieder, wenn dir bestimmte Funktion wichtig sind. ansonsten schalte halt im Windows Update das updaten von anderen Produkten aus. Ist sowieso keine besonders gute Idee, Exchange Security Updates per wu zu installieren. Will aber nicht jeder so sehen.

Soon...

Bei APC gibts dafür ne eigene VM, die das regelt. Ist bei Eaton wohl ähnlich: https://communities.vmware.com/t5/ESXi-Discussions/UPS-Eaton-And-Esxi-Download-Step-By-Step/td-p/1256883

Und schon wird auch klar, warum man High Volume Accounts benötigt ;) https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750

Das hat doch aber gar nix mit dem primären DNS Suffix zu tun, sondern rein mit DNS und conditional forwarding (o.a.) Kein Exchange hört ja im Normalfall auf seinen externen Namen sondern heißt irgendwas wie intern. ;)

Klingt interessant. Da wir mit Sophos XGS unterwegs sind, würd ich mir das bei Gelegenheit mal anschauen :)

Geht dein Connector direkt an die Firewall ran und liest das dann aus, oder muss man ihm das irgendwie als Export Datei geben?

Danke. Ich überlege grad noch, ob mir das helfen würde. :)

Kannst du mal nen Screenshot zeigen, damit man sich vorstellen kann, worum es dir ging?

Na dann mach das doch so. Alternativ lösche den alten Anschluss leg ihn neu an, wenn das Ergebnis dann schnell ist.

Das wär sicherlich preiswerter als Okta oder eine Windows External Connector license. ;)

Schonmal gesehen, wieviel ein Standard Nutzer im AD "keinerlei" Rechte hat? ;) Ich würds jedenfalls nicht tun. Ich würde keinem externen einen Account in meinem internen System geben (und schon gar nicht, in dieser Anzahl).

Diesen Kollegen frage ich immer, ob ihre Mailadresse auch so geschrieben werden muss. ;)

Wer macht denn sowas? :)

Üblichweise Domainvalidiert, denn mal vom Preis abgesehen, kennst du irgendeinen User der den Unterschied sehen würde? ;) Wenn man also nicht aus irgendeinem Grund genötigt wird Org-Validierte Zertifikate nutzen zu müssen -> Domain Validiert.

Wollte ich grad sagen, Owncloud kann SAML Authentifizierung und da würde ich eher an ein zweites ggf. sogar Cloud IDP gehen, in dem die Konten der Kunden hinterlegt sind. Du willst doch nicht potentizell allen externen Partner Zugriffsrechte über einen AD Account geben. Sowas will man wirklich nicht.

Schön, dass die Lösung so gut markiert wurde. ;)

In der Default Domain Controllers Policy steht da per Default die Gruppe "Administratoren" drin.

Stimmt, war ich wohl irgendwie in Gedanken auf dem falschen Dampfer (unterstützt von der obigen Fehlermeldung). Die ich übrigens auch schon gesehen habe, wenn man keine Subnet Definition im AD konfiguriert hatte.