NorbertFe

Gibts das in entra id? 😉

Schalte ab, dass er überhaupt zu o365 will. https://www.frankysweb.de/outlook-autodiscover-fuer-office-365-deaktivieren/

Das ist falsch. Wenn du dem Kunden die ca. 4000€ Differenz schmackhaft machen kannst, dann das obere. Unabhängig davon wäre aber eben auch eine Datacenter Lizenz mit SA (die darf dann halt nicht auslaufen solange das Konstrukt in Betrieb ist) oder 4 Standard Lizenzen mit SA möglich. Hätte den Vorteil, dass du jetzt schon kaufen kannst aber 2025 einsetzen darfst.

Ich kann den anderen nur zustimmen. So schön wie man es als Admin "rechtlich" gern geregelt haben möchte, aber wenn du das in der Granularität umsetzt, wird es entweder zu Umgehungslösungen führen oder zu sehr viel doppelten Daten.

Also auf dem Handy ist die Klinge eindeutig keine 6cm. ;)

Ich auch nicht, aber es ist kein „Muss“. Gibt ja auch selbstbauserver.

Muss es? Am Ende die Entscheidung desjenigen der den Server betreibt. ;) Nein, der Break Even ist bei 13 VMs. Ist natürlich praktisch, wenn man Datacenter hat, aber wäre hier einseitig die teurere Variante.

Naja dann brauchst du sehr wahrscheinlich (die Lizenzbedingungen für 2025 sind afaik noch nicht draußen) genauso viele plus die eine für den Backup Server.

Womit läuft das denn jetzt und wieviele Lizenzen habt ihr dafür?

Häh? Für eingehenden Check ist das ja auch total egal, denn da wird ja den sog. Record der Empfänger ausgewertet und nicht deiner. Nö, das sollte immer möglich sein.

Ich geh mal davon aus, dass das auch bei ff usw. der Fall ist

Ich würde meine credentials nicht diesem Ding (Outlook ist es ja nicht wirklich) anvertrauen. ;)

Das ist mit dem feuerfuchs aber nicht anders: https://bugzilla.mozilla.org/show_bug.cgi?id=1157214

Kommt aber auf den client an. Ich meine mich zu erinnern, dass der CN zwingend als SAN mit drin stehen muss und zweitens hatte ich neulich grad den Fall, dass ein Zertifikat Ohne CN vom Client gar nicht akzeptiert wurde. (Komischerweise hat die Kerberos Vorlage der Windows CA keinen CN).

Sag ich ja. :) Aber... ich empfehle eben lange Namen zu benutzen damit sich die Nutzer daran gewöhnen mehr als den Hostnamen zu verwenden. Aber offenbar will ja jeder nur noch $irgendwas in die Searchbar eingeben und erwartet dann wie selbstverständlich, dass er am richtigen Server landet. ;)

Und welche Migrationsmethode möchtest du nutzen? Ansonsten stimme ich Jan zu, da fehlen ein paar hilfreiche Infos in deiner "Anfrage". ;)

Kurze Namen sind halt ein (wie auch immer gewichtetes) Sicherheitsrisiko. Denn im Zweifel kann ja jeder ein Zertifikat auf wsus ausstellen. (Ist halt bei einer internen CA ggf. ein eher hypothetisches Problem, aber ich bin da halt lieber auf Standardlinie und die ist nun mal, dass FQDN in ein Zertifikat gehören).

Und was sagt der Security Fuzzi dazu? ;)

https: ist beim WSUS auf Port 8531. Heißt, so wird es sicherlich nicht funktionieren. Und im Zertifikat steht üblicherweise auch nicht nur der kurze Name, sondern der komplette FQDN. Bye Norbert

Dann kannst du ihnen auf Postfach-Ordnerebene diese Rechte (Vollzugriff) nicht wieder wegnehmen. Wenn die da nicht drin stehen, haben sie trotzdem alle Rechte (Vollzugriff).

Die wurden jetzt von Sinch übernommen und müssen das martialische Gun aus dem Namen entfernen. Aber dass du schon soweit bist. ;)

So mit selber recherchieren ist nicht so dein, oder? SMTP Port 587 musst du explizit erlauben. https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/authenticated-client-smtp-submission

Wie wurden denn die "vollen Zugriffe" eingerichtet? Falls mit Full Mailbox Access, dann kannst du auf Ordnerebene keine Rechte entziehe. Vollzugriff ist Vollzugriff. Wer steht denn jetzt drin in den Berechtigungen? :)

IMAP ist aber Empfang und nicht Versand. ;) Und soweit ich weiß, kannst du IMAP4 per Default einfach nutzen, allerdings eben nur noch mit modern auth und nicht mehr per basic auth. https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/pop3-and-imap4/pop3-and-imap4

Dann kannst du ja auch endlich auf https umstellen. ;) Warum nicht per gpo erledigen die wsus gruppenzuordnung?