NorbertFe

Schalte doch mal netlogon logging aktiv und schau da nach. Hat mir schon einige Male geholfen in solchen Fällen.

Wie sieht so eine Meldung im Eventlog denn aus?

Du könntest das Pipeline Tracing aktivieren: https://learn.microsoft.com/en-us/exchange/mail-flow/transport-logs/pipeline-tracing?view=exchserver-2019

Nicht einfach beide abschalten, sondern das richtige (siehe obigen Thread). Bin ich bei zwei Kunden schon auf die Nase gefallen, weil die VPN Lösung von Cisco das nutzte. ;)

Jupp, kommt aus einem Projekt, wo man nix auf dem DC installieren durfte ;)

Wenn man wireshark nicht auf einem dc installieren will, geht das übrigens auch mit netsh. https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/ das nur als Hinweis. zu Plotter usw. Das sind Funktionen, die man immer als erstes abschalten sollte. Gibt’s ja noch ein paar weitere, die bei Nichtnutzung im Idealfall nur Traffic verursachen und im worstcase Lücken öffnen die man ohne sie nicht hätte.

Solange man nicht genau weiß, welches Gerät da rumblökt, wirds natürlich immer schwer. Was spricht denn wireshark dazu, wer da broadcasts schickt?

Per gpo abschalten und dann mal mit wireshark schauen was noch zu finden ist.

Das ist ja auch sehr empfohlen, dass llmnr per gpo deaktiviert wird. :) netbios sollte afair bei nicht Verwendung von smbv1 sowieso nicht mehr zur Verfügung stehen.

Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen?

Niemals würde ich freiwillig einen AD Account in ein extern gehostetes System eingeben und schon gar nicht, wenns nicht mal mein eigenes System ist. Da würde ich maximal sowas wie Jan vorgeschlagen hat nutzen (Postmark). Achtung Meinungsäußerung: Wer sowas heutzutage noch immer verlangt und nur das anbietet, hat sowieso irgendwie die letzten 15 Jahre Spam und Antispammaßnahmen verpeilt. Und sowas ist für mich dann immer ein Grund zu hinterfragen, ob es der richtige Anbieter ist. Bye Norbert PS: Ich würde freiwillig auch nie SMTP Auth auf einem Exchange freigeben ins Internet. Wenn du das entsprechend einschränken kannst, dann könnte man _notfalls_ drüber reden, aber selbst das ist eher ne Notlösung. Hoster kompromittiert, schwups schon ist da ein Account zu deinem Exchange/AD in den Händen der falschen Leute.

Works as designed würde ich sagen. Habt ihr da was erwartet? ;)

und das hätttest du hier nicht einfach als Codeblock einfügen können? [PS] C:\Temp>GCM exsetup |%{$_.Fileversioninfo} ProductVersion FileVersion FileName -------------- ----------- -------- 15.01.2507.039 15.01.2507.039 D:\Exchange\bin\ExSetup.exe Stattdessen so einen unhandlichen Download?

Gibt so Firewalls (namentlich Sophos XGS) die diese Funktion nicht mehr haben. Im Gegentum zum Vorgänge Sophos SG ;)

Das denke ich mir auch manchmal, wenn ich im Büro ankomme. ;)

Im November Update, welches gerade zurückgezogen wurde wurde die Funktion der ECC Zertifikate angepasst. Man kann das jetzt auch auf Edge Servern nutzen und ich kann bestätigen: Es funktioniert. Den CSR muss man blöderweise mit der MMC erstellen (oder auf anderen Systemen mit OpenSSL usw.) aber die Einbindung funktioniert nach Setzen des entsprechenden Registry-Werts problemlos. Gibt dann bei CheckTLS ganze 0,02 Punkte mehr. ;)

Trackinglog und wenn das nichts genaues ergibt mal das Pipelinetracing aktivieren und schauen an welcher Stelle der Name geändert wird.

Das ist egal. Selbst mit einer "nicht vertrauenswürdigen" CA würde ein Zertifikat entschlüsselt werden. Aber wie die Fehlermeldung ja angibt, fehlt eben der private Key, um die verschlüsselte Nachricht noch mal zu entschlüsseln.

in die Quere kommen sicherlich nicht. Du musst auf dem member dann den NTP Server aktivieren und die Host-Firewalll öffnen. Hast du zwar dann eine Kaskade, was das beim Troubleshooting etwas umständlich macht, aber grundsätzlich sollte das funktionieren.

So wie in ca. 100% der in der realen Welt vorhandenen Windows Umgebungen. ;)

Ich habs mal konkretisiert ;)

Dann fehlt wohl der private key des alten Zertifikats. Sind das kommerzielle Zertifikate, oder von eurer internen CA? Falls letzteres sollte man sehr genau aufpassen, wann und wie man neue Zertifikate verteilt.

Und wieso ziehen die anderen Geräte nicht die Zeit von den dcs?

Screenshots von cli Fenstern.... Das hat schon immer was. Die erste Option ist zumindest sauber per Policy deaktiviert (so scheint es) und damit wäre das ja geklärt. Und wenn derjenige mal nach oben scrollt sieht er die auch nicht? Alternativ mal dieselbe Ansicht wie der andere Screenshot.

Das macht doch nix. ;)