NorbertFe

Wenn ihr die UTM noch habt, könnte man das ja trotzdem konfigurieren. Ansonsten gibts afaik (das mag nicht ganz aktuell sein), derzeit keine Gateway Lösung die MS selbst anbietet. Alternativ gibts aber Lösungen bspw. von Zertificon oder anderen, die in diese Lücke springen.

Vermutlich die zielführendste Lösung.

würde mich nicht wundern, weil die ja auch .xls Dateien verschicken. ;)

Hi, ich kann da Nils nur zustimmen. Ich berate ebenfalls jede Menge Kunden, wo solche Anforderungen immer mal wieder kommen und weise darauf hin, dass in solchen Fällen Mails mit ggf. Firmeninterna automatisch auf Fremdsysteme gelangen. In deinem Fall müßte man ggf. auch schauen, was bei Weiterleitungen tatsächlich passiert. Denn ggf. hat man dann diverse Probleme mit dem Antispamsystem. :) Bye Norbert

Das verkaufen sie dir bestimmt noch als DSGVO-konform. ;)

Na super. Beste Voraussetzungen für so eine Planung. Wie soll man dir denn helfen, wenn solche Fragen dann damit abgefrühstückt werden? Das ist in den allermeisten Fällen vollkommener BS und nur ne Ausrede von dem der migrieren soll. ;) In welcher Domain stehen denn die Userkonten und die PCs mit denen so normal gearbeitet wird? Soll am Ende Azure AD mit der neuen AD Struktur verdrahtet werden oder nicht? Was soll am Ende eigentlich rauskommen bzw. übrigbleiben? :) Bye Norbert

Ich wartete jetzt auf "nicht VBS benutzen". ;)

Man könnte natürlich vor der Installation auch mal die Eventlogs durchflöhen und darauf achten, dass nicht fehlende oder abgelaufene Zertifikate angemeckert werden. Ja die CUs sind manchmal ungünstig, aber am Ende ist das auch echt kein Grund für schlaflose Nächte. Die hatte ich nur im März als man nicht schnell genug war. ;)

Das passiert, wenn man das auth Zertifikat vorher schon immer ignoriert hat. ;) wenn man das alte aber noch nicht ablaufen lassen hat, und es auch nicht gleich aus der konfig löscht, dann passiert da gar nix. ;)

Einfach warten. Der authconfig hast du das Zertifikat auch zugewiesen?

Wie gesagt, mit ein wenig Kommunikation kann man sowas schon zu einem geeigneten Zeitpunkt durchführen, der nicht mitten in der Nacht ist.

Naja jeder wie er meint. Sorry, für dein Problem hab ich grad leider keine Lösung. War nur als Denkanstoß, dass du ein Problem hast, was meiner Meinung nach überflüssig ist. ;)

Wozu das denn? Sichert ihr euren DC nicht sowieso? Denn falls ja, dann wären die DNS Zonen dort im Backup doch sowieso enthalten.

Dann liegen die ja erstmal x Tage im serverseitigen Dumpster und sind logischerweise noch nicht freigegeben.

Wie groß is denn die Umgebung? Reden wir hier von normalen Klein- und Mittelstandsumgebungen, dann würd ich mir persönlich da wenig nen Kopf machen und den Kunden informieren, dass es zu folgenden Symptomen kommen kann. Wenn du das lieber nachts um halb 3 machen willst, dann hindert dich von uns aber auch niemand dran. ;)

Und das sind nur die Microsoft servertechnologien. Soll ja noch andere Hersteller und Produkte geben. Da sieht’s in vielen Fällen noch schlimmer aus. Denn die liefern nicht mal Infos was sie können oder nicht können. :/

Pfft die sitzen im nachbarbüro in fernen Landen gleich neben Cisco. Die programmieren mit webex nämlich genau die selbe …. ;)

Kerberos und pki haben jetzt aber auch keinen direkten Zusammenhang, oder?

Augen zu und durch. Würde ich sagen hilft. Für alles andere lohnt sich das kaum, vor allem wenn man berücksichtigt, dass ein von einer internen PKI ausgestelltes Zertifikat im Allgemeinen 2 Jahre läuft wohingegen das selfsigned ja 5 Jahre gültig ist. Da das am Ende nur am Backend VD hängt, ist das wirklich nur bei großen Umgebungen sinnvoll, in meinen Augen.

Da sind sie aber nicht allein, weil auch andere namhafte Hersteller ähnlich vorgehen. :( Ist heutzutage halt alles egal, weil es offenbar keine "managed systems" mehr gibt.

Woher soll denn die Exchange Installation wissen, welcher Name ins SCP in die URLs und ins Zertifikat gehört? AFAIK ist jede Exchange Installation immer mit einem self signed certificate. Exchange installieren und warten bis das Setup fertig ist. Danach dann als erstes vor dem Reboot des neuen Servers den SCP auf den Wert des "anderen" SCP ändern. Dann den neuen Server booten und im alten Server ggf. den IIS Autodiscover App-pool recyclen

Nein tut es nicht. Ist bei mir jedenfalls noch nie passiert.

Kannst machen. Sinnvoller wäre es einfach DNS zu nutzen und keine ip Adressen ;)

Das kann man tagsüber machen. Den scp sollte man dann aber wirklich fix ändern. ;)

;) siehst, man muss nur lange genug suchen.