NorbertFe

Hab ich mich doch oben schon korrigiert. Da brauch ich doch kein lmgtfy ;) trotzdem danke. :)

Was steht denn als Firewall davor? Kenne genug, die solche Tests unterbinden.

Bis jetzt ging das in allen Hochschulen die ich (von innen) gesehen habe. ;) Da sitzen dann Leute die ad und DNS können. ;) scnr.

Wäre aber praktischer. Denn dann würden sich solche Fragen gar nicht stellen. Das war Nils' und mein Hinweis.

Achsoooo :)

Na dann ist doch alles gut. Oder wo ist das Problem?

Bist du sicher, dass die SIgnierung bei Nicht-Domänenmitgliedschaft möglich ist? Ich bin da nicht sicher, deswegen oben auch das AFAIK. Edit: OK im verlinkten Artikel steht es wäre common bei Nicht-Windows Clients, also muss es wohl gehen. ;) Vermutlich meinte ich, dass man keinen Klartext Simple Bind hinbekommt. Ich hatte dazu damals auch einen Artikel bei Nils veröffentlicht: https://www.faq-o-matic.net/2018/07/16/ldap-signing-auf-domnencontrollern-erzwingen/

389 vermute ich? Das kannst du mit ldp oder jedem beliebigen LDAP Browser testen. Du wirst einen simple Bind nicht hinbekommen auf Port 389. alternativ nimm dir Wireshark oder den netmon und schau nach, ob das Klartext ist. ;)

389 heißt nicht zwingend Klartext. Das geht auch mit tls ;) Am Client gar nicht. Aber du kannst am dc erzwingen, dass nur noch signed möglich ist, und das geht nicht mit ohne domainmember afaik. Heißt dann bleibt nur noch 636 für ldaps.

Du liest entweder die falschen Dinge oder setzt die richtigen Dinge falsch um. ;) spf braucht kein Mensch im internen Netz (jedenfalls in so einem wie deinen) niemand wird den je verwenden. ;)

Naja man geht schon davon aus, dass Grundlagen wie saubere subnet und site Definition vorhanden sind, wenn man autodiscoversitescope verwendet. Vor allem, wenn der fragende ja erst nach der x-ten Nachfrage mal mit Details rauskommt. also definiere die Sites erstmal sauber und dann schauen wir weiter.

Ich geb’s gleich auf. Beschreibe doch mal dein Problem. Und nicht nur: die können nicht aufs Postfach zugreifen! wer ist denn das? Wo liegen die Postfächer wo sind die Nutzer warum kommt man vom Internet aus da hin wenn’s Störungen gibt. Stell dich doch nicht so an. Ich kenne deine Umgebung nicht!

… fehlt da nicht was? Ich mein ja nur. Eh ich wieder frage.

Hmmmm, welche Benutzer können intern nicht mehr zugreifen. Gewöhn dir doch mal an, dein Fehlerbild zu beschreiben. Hier kann keiner hellsehen. Welche Nutzer (woooooo liegt sie Mailbox) kann denn intern auf welchen Server? Auf den Hinweis, dass man verteilte exchangeserver nicht unbedingt so realisiert wie du es schon im anderen thread angedeutet hast, mag ich nicht ganz verzichten. Das führt eben regelmäßig zu Erwartungen, die dann, wie derzeit zu sehen gar nicht erfüllt werden. Du hast zwei Standorte und damit vermutlich zwei Internetzugänge also bitte mal genau beschreiben, wer in welcher Situation auf was zugreifen kann oder eben nicht. ;)

Na sowas. Bloß nicht zuviel. Wenn das alles ist, was du bereit bist hier zu posten, wird’s schwer. Wer kann auf welchen exchange zugreifen, wer nicht? So schwer kann eine ausführliche Beschreibung doch nicht sein. Am Ende aber dein Problem und nicht das der Leser. :)

Und jetzt sollen wir deine (fehl-)Konfiguration raten? ;)

Total offtopic: bei den Voraussetzungen kommt mit Skripten meist auch nur noch mehr Komplexität und deren Folgen dazu. Wenn die Basis aus gründen Mist ist, hilft selten diesen Mist zu automatisieren. ;)

ich will ich will ich will. ;) sowas kenn ich auch.

Na so schlimm ist das Eintragen im DelegatesList Attribute auch nicht. ;)

:/ und? Isso und man könnte sogar Favoriten draus machen. Die Alternative steht ja oben.

:) Ja sag ich meinen Kunden auch regelmässig, aber die sind da anderer Ansicht.

Natürlich unter "alle öffentlichen Ordner". Dein Problem mit Kalender usw. bekommst du nur geregelt, wenn du den Vollzugriff entziehst und nur die Root des Postfachs (Ordner sichtbar schaltest) und den Posteingang berechtigst. Also Handarbeit bei (wenigen) Postfächern oder skripten. Bye Norbert

Tun sie ja bei Nils Argumentation auch. Sie delegieren es an deine DCs. Und wenn _diese_ DCs nicht da sind, kann das HRZ machen mit ihrer Namensauflösung was sie wollen, es wird trotzdem nix funktionieren. Ich kann Nils' Erfahrung in dem Umfeld nur bestätigen.

Und? Liest du meine Antwort so wie ich sie meinte, oder is das nur so Hintergrundrauschen im Informationsgewühl? Wie man auf deine Schlußfolgerung kommt, ist mir unklar. Ich komme auf eine andere. Aber da du das ja ignorierst, mach ich das hier auch erstmal. :) Viel Erfolg.

Ein SPF Record wird heute als absolutes Minimum angesehen. Damit erhöhst du aber deine Reputation "nur bedingt". Schau dir doch mal bspw. bei Talos (https://talosintelligence.com/reputation_center/) an, wie die IP des Absenders abschneidet. TLS sollte natürlich nach best practices konfiguriert sein. Dazu kommt DKIM, DMARC, ARC usw. usf. Und selbst dann kanns dir immer noch passieren. Bye Norbert