NorbertFe

Da hat vermutlich jeder andere Vorstellungen. Einige Wünsche gabs ja schon irgendwo im EHLO Blog bei MS in den Kommentaren. Nachdem jetzt modern Auth möglich ist für EAS und MAPI fehlt mir "vorerst" mal nur TLS 1.3 für SMTP und ein DKIM signer. Aber insgesamt hat MS halt ihr eigenes On-Prem Ökosystem inzwischen schön ausradiert.

Ich glaub, wenn die nicht auch noch technisch in das On-Prem Produkt investieren, sind die 10 Jahre schon sehr großzügig, weil die Kunden dann früher oder später zu Alternativen wechseln werden. Und aktuell siehts ja nicht so aus, als wenn da irgendwelche Innovationen On-Prem zu erwarten wären.

Hab ich auch mal gemacht, aber nur, weil der Kunde zu Exchange 2003 sollte. Und den ADC gabs nur für Exchange 5.5. Aber von 5.0 auf 5.5 ging ja so wie heute per Inplace ;) Sowas hab ich auch 2004 oder so gesehen. War keine Hochschule, sondern in der Wirtschaft kombiniert mit einem komischen Domänenkonstrukt und eDirectory ;)

Ja, aber da hieß es MSMail ;) Wenn man das als Vorläufer bezeichnen mag. Wobei ich keinen persönlich kenne (glaube ich jedenfalls), der vor Exchange 5.0 schon mit MS Mailprodukten zu tun hatte.

Die Meldung kommt jedenfalls nicht von den exchange eigenen Transport Agents. WEnn Avast raus ist (disable-transportagent) einfach mal testen. Im Logfile des Exchange Servers muss das dann aber eben auch auftauchen.

Ja und nur bei diesem Zertifikat/VDir. Dem selfsigned Zertifikat werden SMTP und die Backendseite zugeordnet (für SMTP ist das das DEFAULT Zertifikat, man beantwortet die Frage also mit Ja) Dem externen Zertifikat kannst du SMTP, http und imap und pop zuweisen. Für SMTP ist es NUR dann zuständig, wenn im Empfangs-/Sendeconnector auch ein Name im HELO String steht, der im Zertifikat auftaucht. Also NICHT im Defaultconnector. Die Frage bei der SMTP Zuweisung beantwortet man also in dem Fall mit NEIN (außer man weiß sehr genau was man tut und warum). Egal, was einfacher für dich ist. IMAP ist für den Empfang nicht für den Versand. Welches Zertifikat du nutzt hängt davon ab, welchen Namen du im CRM System hinterlegt hast (lokaler Exchange oder der Name des externen Zertifikats) und ob dein CRM das ggf. akzeptiert, wenn es dem Zertifikat nicht vertraut. IMAP und SMTP laufen weder über Default noch Backend-Webseite, weil es keine Web-Protokolle sind. ;) Bye Norbert

Deswegen hab ich dir ja auch den Powershellbefehl hingeschrieben und gesagt machs per Powershell weils logischer ist als diese Klickorgie. ;)

Keine Ahnung, was du da gemacht hast, aber ich hab das jetzt grad getestet und ein selfsigned Zertifikat hat 5 Jahre Laufzeit: Das war jetzt einfach mal per EAC, was ich sonst nie verwende. Mit new-exchangecertificate -privatekeyexportable $true -IncludeServerFQDN -IncludeServerNetBIOSName new-exchangecertificate -privatekeyexportable $true -IncludeServerFQDN -IncludeServerNetBIOSName Sollte ein passendes Zertifikat rauskommen und 5 Jahre Laufzeit haben. Wenn das bei dir anders ist, dann ist was schief.

Quark, das hat MS alles mundgerecht auf der Webseite. Man muss nur mal nachschauen: https://learn.microsoft.com/en-us/exchange/architecture/client-access/import-certificates

Ja kannst du, aber ich würde immer die Exchange Powershell nehmen. Ist deutlich logischer in meinen Augen. Jeder Exchange hat doch per Default ein selfsigned Zertifikat. Wo ist denn deins hin? Einfach Zertifikate zu löschen ist keine gute Idee, wenn man nicht genau weiß wofür und wo es benutzt wird. Das Backend Zertifikat ist eine der wenigen Ausnahmen, welche man tatsächlich auch im IIS regeln kann/sollte. Da so ein selfsigned Zertifikat aber eine Laufzeit von 5 Jahren hat und auch keine Probleme bei Ablauf verursacht, muss man da normalerweise NIE ran. ;)

Falsch. Exchange Zertifikate importiert man entweder per Powershell oder neuerdings auch wieder über die EAC. Falsch, auch das macht man nur per Powershell oder EAC. IMMER! Nein, da nimmt man nicht das Microsoft Exchange Server Auth Certificate. Man nimmt das self signed certificate mit dem Servernamen des lokalen Hosts. Und genau deswegen macht man das nicht per IIS, weil der Exchange dann seine Konfiguration wieder "gerade" zieht. Und das ursprüngliche Zertifikat hast du ja gelöscht ;)

Du meinst Serverlizenz?

Und hast du danach mal im iis nachgeschaut? Das backend Zertifikat ist übrigens nicht das gekaufte sondern immer das selfsigned Zertifikat.

Im iis sollte man üblicherweise gar nix machen hinsichtlich Exchange und Zertifikate. Was genau machst du da?

Warum? Man kann auch dem Computerkonto das Recht für den Ordnerzugriff geben. :/

Doom als PDF geht ja auch. ;)

Aber can it run Doom?

Man könnte es vermuten. 😆😆

Und wie soll der Client die Anmeldeserver finden?

Stimmt. ;) wenn das ein ad ist, solltest du das nicht tun.

Dann sag ihm doch, dass www.firma-gmbh.de ist die externe IP. Die Frage nach dem IIS auf dem DC würde ich allerdings auch stellen. ;)

Und wer benutzt wins noch? ;) bzw. Erwartet Hilfe bei Problemen?

Srp können sowohl für Computer als auch für Nutzer definiert werden. Hast du sie korrekt konfiguriert für User in deinem Fall? Warum nimmst du nicht einfach applocker?

Und wie macht er das wechselnd mit device cals? Da wirst du dann händisch die device cal Zugriffe zählen müssen. Wie gesagt ein rds Server kann nur entweder im device cal oder user cal Modus sein. Also entweder greifen die Device cal devices auf andere rds Server zu oder du machst alles im usermode und führst händisch die Liste. Aber vielleicht hat hier ja noch jemand ne bessere Idee. ;) Doch das stimmt. Wo in deinem Bild sind jetzt die Device cals?

Da man RDS CAL Lizenzierung nur pro Server festlegen kann (afaik), müssten die 80 User CAL -USer aber auf andere RDS Server zugreifen als die die von Device CAL Devices zugreifen.