NorbertFe

OK, danke. null ist aber kürzer ;)

Nie mit $blank versucht. Akzeptiert das die Exchange Powershell wirklich?

Also entweder hat man es für alle im Zugriff befindlichen konfiguriert oder auf keinem. Denn bei Mischkonfig gibts auf jeden Fall Probleme. Schau doch mal mit dem Healthchecker Skript nach. Wär ja dann mal ne Option das korrekt und sicher zu konfigurieren. Alternativ, installier doch erstmal den neuen Patch von November, bevor hier zuviel Aufwand betrieben wird. Bye Norbert

Aber auch erst, nachdem ihr die Extended Protection aktiviert habt, oder? Und wenn, dann hilft es vermutlich, einfach mal erstmal wieder zu deaktivieren. Für alles andere wären mehr Infos notwendig. Wenn meine Vermutung oben stimmt, dann helfen vermutlich beide Varianten nix. Da muss man schon die Ursache finden in eurem System.

Ja. Wie kam die Zone denn da ursprünglich hin?

Der ist ja auch nicht als AD Integriert konfiguriert. Also musst du schon selbst dafür sorgen, dass da ein Zonentransfer stattfindet. Bye Norbert

Schau halt bei Dell nach, welche CPUs dieser Server unterstützt. https://www.dell.com/support/manuals/de-de/poweredge-r230/r230_om/processor-specifications?guid=guid-e4943b56-488d-4e96-ba66-05b06fee8793&lang=en-us Wenn einer der oben genannten dabei ist, wirds vermutlich problemlos funktionieren.

Ja kann man. Is aber egal, weils standardmässig "deaktiviert" ist. Wenn du es aktivierst, wirst du je nach Kennwortrichtlinie eben ein Kennwort vergeben müssen. Dein obiges Kennwort entspricht nicht der Richtlinie, weswegen deine Konvertierung auch fehlschlägt.

Kannst ja mal testen, ob du damit andere Ergebnisse bekommst: https://www.frankysweb.de/neue-version-des-exchange-zertifikatsassistent-fuer-lets-encrypt/

Und welcher Prozess holt das Lets encrypt Zertifikat bei dir?

Und stehen denn Ereignisse im Log? Ansonsten als Hinweis "/force" benötigt man im Allgemeinen selten bis nie. Wie du siehst, bekommt man stattdessen auf einmal Dinge zu Gesicht, die man ohne gar nicht wahrnehmen würde. ;)

Mit Nachvollziehbar meinte ich eigentlich: Es ist ziemlich unmöglich zu sagen, wann ein User Mitglied eines dynamischen Verteilers war und wann nicht. ;)

Ach hör mir doch mit so neumodischem SchnickSchnack auf. ;)

Dynamische Gruppen sind meiner Erfahrung nach selten eine gute Idee. Klingt anfangs immer toll, aber am Ende ist es meist weniger flexibel als man vorher denkt und vor allem später nicht wirklich nachvollziehbar. :)

Moin, MS hat updates veröffentlicht: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045 bye norbert

Warum müssen die das nur so umständlich machen. :) Bei Kemp per GUI keine 5 Minuten. Bei Citrix per GUI regelmässig "Müll" und per cli ca. 30 Minuten. :/

Aber nicht vom Exchange. ;) Wie hast du es importiert? Per Exchange Powershell? Meist liegts daran, dass man "nicht-Exchange-Mittel" verwendet hat.

Das ist _nicht_ das Standard Zertifikat für Exchange. Das heißt normalerweise/standardmäßig "Microsoft Exchange". ;) Hängt davon ab. Wird dir den TLS angeboten, bzw. kommt eine entsprechende Verbindung zustande? checktls.com kann weiterhelfen.

Das ist auch nicht schlimm. Der nimmt einfach das, was für SMTP enabled wurde _und_ den passenden Namen im CN/SAN hat. Das kann Vorteile bringen, wenn man explizit ein bestimmtes Zertifikat nutzen will/muss. Bspw. wenn DANE im Einsatz ist.

Dann gib mal Bescheid, wenn du es eruiert hast, damit der Thread hier nicht erodiert. ;)

Doch. Und die genauere Erklärung siehe unten. Deine Filter überschneiden sich. Sinnvoller wäre vermutlich auf ein Attribut zu filtern, welches einen Techniker eindeutig identifiziert und das nicht ein Teil des DN ist. ;)

Wie Nils schon schrub, ist das nicht möglich im AD.

Was deutlich angenehmer ist/war. ;)

Wobei das Argument der Interoperabilität ja jeder bringen kann, um sich nicht zu verändern. ;) An der Stelle würde ich von SAP eben auch erwarten, dass sie zwar drauf hinweisen, aber die Empfehlung sollte ja trotzdem lauten die höchstmögliche Sicherheit umzusetzen. Was dann eben bedeutet, dass die interoperablen Systeme sich mitändern müssen. :)

Sehe ich auch so. Von TLS 1.2 steht ja nix drin.