NorbertFe

Sieht doch wohl so aus. ;) Alles grün. Wie wärs denn mal, einfach ein Outlook ins Internet zu hängen und den Zugriff zu versuchen? Wieso ist das b***d? Wenn da nicht händisch eingegriffen wird, nutzt JEDES moderne Outlook automatisch Mapi/http, wenns zur Verfügung steht.

Bin eher selten mit nginx unterwegs. Hast du die Möglichkeit zu Testzwecken mal den Reverse Proxy von extern zu übergehen? Wenns dann geht, weißt du zumindest, dass du im NGINX suchen musst. :)

Wozu? einen CSR per Exchange Management Shell zu erzeugen ist ne Sache von 30 Sekunden. Wers bequem haben will: https://www.digicert.com/easy-csr/exchange2010.htm Das gilt weiterhin und funktioniert problemlos. Befehl zusammenklicken und in der Powershell ggf. noch mit einem passenden Pfad ausführen.

Ich möchte nochmal drauf hinweisen, dass ich an deiner STelle auf Outlook Anywhere verzichten würde (am Reverse Proxy schließen), und statt dessen besser rein auf mapi/http konfigurieren würde. Dann ist natürlich logisch, dass der Outlook Anywhere Test fehlschlagen wird.

Ich empfehle Split-DNS damit man überall dieselbe Konfiguration nutzt (internal/external). Die Frage nach Authentifzierung hast du ja elegant ausgelassen. ;) Ist Mapi/Http auf Org-Ebene aktiviert? Macht der Reverse Proxy evtl. Prä-Auth? Vermutlich nicht.

Outlook Anywhere und mapi/http sind unterschiedliche Dinge erfüllen aber beide diese Anforderung. Warum willst du Outlook Anywhere nutzen, welches die ältere Methode ist? Welche Exchangeversion verwendest du? Wie sehen deine konfigurierten Virtuellen Verzeichnisse (vor allem /Mapi und /OAB) hinsichtlich URL und Authentifizierung aus? Was steht ggf. vor deinem Exchange an Firewall/reverse Proxy usw. usf?

Outlook Anywhere und mapi/http sind unterschiedliche Dinge. Was genau möchtest du konfigurieren?

Sagte ich ja, dass StartTLS geht und SMTPs (SSL) nicht. Das Blöde an der ganzen Sache ist, dass von den ganzen Entwicklern SSL/TLS leider synonym verwendet am Ende aber SMTPs meint und nicht StartTLS. ;) Du wirst mit dem Entwickler reden müssen, dass deren "Müll" so nicht einsetzbar ist. ;)

Falls du "client submission" meinst, dann ja. Port 587 ist starttls und nicht SMTPS.

Ja, wobei Branch Cache eindeutig konfigurationsmäßig der Ausreißer nach unten ist. ;) Denn das hat mit Praxis so null zu tun. ;)

So ähnlich dachte ich auch jedesmal, wenn ich damit zu tun hatte. ;)

Kann man das doch im bestehenden gpo so konfigurieren wie man es benötigt. Und dann $irgendwann das gpo einfach löschen, oder übersehe ich was?

Kann so einfach sein ;)

Warten bis dein DC mehr als 2012 kann. ;)

2012 R2! 2012 ist nicht mehr supported mit CU11.

Und wo liegt das "jedes Email Konto"?

Von mir auch :)

wäre aber das vermutlich Sinnvollste. Was nutzt der Rest denn jetzt? O365 kann man auch mit IMAP benutzen (wenn man das unbedingt möchte). Bye Norbert DAS wäre die Alternative? Und wozu dann POPCON? Dann kannste auch Exchange Hybrid konfigurieren.

nein mit dem GPO Logging.

aber grad so. ;) Na dann logging anschalten und nachschauen. Ich hatte vor wenigen Wochen einen Kunden, der das auch feststellte. Ein Blick ins Log zeigte, wer natürlich bei jedem Logon zig Dateien über VPN auf alle Clients verteilen will.... wartet dann eben.

Dafür hätte der to aber bis dahin erstmal wieder einen funktionierenden clusterknoten. ;)

Frag doch das prüfungscenter. Die beantworten dir das sicher am Telefon. ;) oder per Mail.

Ich zitiere mal aus meiner Prüfungsterminbestätigungsmail. ;) "gerne bestätige ich Ihnen den nachstehenden Prüfungstermin, zu dem Sie bitte Ihren Ausweis (oder Reisepass) und ein zweites Dokument mit Ihrer Unterschrift mitbringen".

Das ist by DEsign. Und wenn du kurz drüber nachdenkst, wirst du sicher erkennen, dass das automatisierte Entfernen von bspw. 100.000 Emailadressen (mit all seinen AUsnahmen von der Policy) sicherlich mehr Risiko beinhaltet, als eine nicht adressierbare vorhandene Mailadresse, die man gescriptet relativ schnell beräumen kann. Bye Norbert PS: Löschen ging mit Exchange 2003 (RUS) noch irgendwie.

NORMALERWEISE passiert das automatisch. ;) Bist du sicher, dass du den richtigen Request/key und das passende Zertifikat hast? Ggf. certutil mit repairstore, aber dazu hast du einfach viel zu wenige Infos.