NorbertFe

Was ist denn das Ziel? Warum nicht alles onprem bzw. alles in der Cloud?

vor 5 Minuten schrieb msdtp:

Aber Microsoft führte Anfang 2023 den erweiterten Windowsschutz ein. Der muss deaktiviert werden.

Was im Übrigen aber auch mindestens genauso lange bereits dokumentiert ist. ;)

https://learn.microsoft.com/de-de/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-extended-protection?view=exchserver-2019#extended-protection-and-modern-hybrid-configuration

Ja aber ich fand das Tool von ms etwas einfacher in der Bedienung als wireshark. 😉

vor 57 Minuten schrieb michelo82:

~190€ für die CALs mit SA

vor 3 Stunden schrieb michelo82:

für unsere knapp 150 User

Ich sehe da eine Diskrepanz von ca. 40 CALs. Also eine Aussage stimmt nicht und das könnte evtl. den Preisunterschied erklären, weil ich mit 150 CALs gerechnet hab.

vor einer Stunde schrieb michelo82:

Das kostet uns laut Angebot eines Dienstleisters (Server + CALs) ~37.500€ und ist durch die SA ja 3 Jahre  bezahlt.

Das erscheint mir irgendwie recht teuer für 150 User. Was will er denn da pro CAL und Server (3 Years) haben? Nein ich will kein Angebot dagegensetzen. :) Ich würde das nur mal in Frage stellen, dass knapp 40k tatsächlich der Preis ist.

vor einer Stunde schrieb michelo82:

- Office 2024 LTSC(150 x 279€) - 41.850€ für 3 Jahre

 

Wieso 3 Jahre? Office 2024 ist gerade erschienen und hat 5 Jahre Lifecycle.

vor 5 Minuten schrieb michelo82:

Wir benötigen Office (Word, Excel, Powerpoint, Outlook, Teams) mit Exchange CAL.

 

Ihr braucht kein Windows und auch sonst keine Funktionen die im M365 E3 drin sind? Dann Pech und es bleibt dann für euch bei Exchange + SA und Exchange CAL + SA.

vor 6 Minuten schrieb michelo82:

Gibt es dafür eine günstigere Lizenzierung nach dem EOL von Office 2019?

Günstiger als was denn? Es gibt genau 2 (ZWEI) bisher von MS bekanntgegebene Lizenzierungsoptionen, die hier bereits erwähnt wurden.

Nein mit dem wird nur der Bind durchgeführt und der User der die Authentifizierung durchführt gesucht. ;) Mach dir mal ein Wireshark oder ähnliches auf und schau dir den LDAP Traffic im Falle einer Anmeldung an (im Zweifel dafür mal kurz auf LDAP ohne S umschalten). Hier mal mit netsh und dem NetworkMonitor (den es aber nur noch in archive.org gibt afair) https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/

Welcher User?

Weil die Gruppe PräWindows 2000 so ziemlich alle Attribute im AD lesen kann (abgesehen von confidental attributes). 

Gerade eben schrieb testperson:

Aber irgendwie nutzen dann doch zu wenige Kunden das RDGW. :)

Das kann sich bei Citrix' Kundenverhalten ja bald ändern. ;)

vor 7 Minuten schrieb cj_berlin:

Moin,

das mit dem Domain Join des VPN-Konzentrators bzw. des RADIUS-Servers kann helfen, LDAP mit S nicht betreiben zu müssen, denn wenn Kerberos bereits zwischen Client (VPN-Konzentrator) und Server (Domain Controller) verwendet wird, kann auf LDAPS verzichtet werden. Aber nur, wenn es ordentlich gemacht wurde

Hat aber den Nachteil, dass man dann mit der Kiste eben Mitglied des AD ist und somit ggf. auch dort neue Angriffspunkte schafft, die LDAPs oder Radius in der Form nicht haben.

vor 2 Minuten schrieb testperson:

Das reicht AFAIK nicht aus.

Bei ADFS reicht es den Group-Managed Service Account in die Gruppe zu packen unter dem die ADFS laufen. Aber im Zweifel muss man eben mal das Logging im AD hochdrehen. Lösbar sollte es auf jeden Fall auch ohne die Prä-Windows 2000 Gruppe sein.

Indem ein LDAP Bind durchgeführt wird. Hier sieht man das ganz gut:

https://connect2id.com/products/ldapauth/auth-explained

Für Radius findest du es sicher auch irgendwo.

vor 4 Minuten schrieb wznutzer:

dass es eher schlecht ist, die Authenifizierten User in der Prä-Windows 2000 Gruppe zu haben 

Das ist gut, aber warum kommst du zu dieser Erkenntnis erst jetzt? ;) Ich mein, der Name der Gruppe sollte doch Indikator genug sein.

vor 11 Minuten schrieb testperson:

Spoiler: Das RD Gateway bzw. der NPS "dahinter", tuts nicht mehr, wenn du die Authentifizierten User aus der Prä-Windows 2000 Gruppe entfernst. ;)

 

Dazu müssen aber nicht die Authentifizierten User in der Gruppe stecken, da tuts zur Not auch das RD Gateway oder der NPS. Und selbst das könnte man sich vermutlich sparen wenn man die Windows-Autorisierungszugriffsgruppe nutzt.

Gerade eben schrieb wznutzer:

macht man z. B. im Fall einer Sophos einen Domainjoin in das AD und hinterlegt in der Sophos einen User in dessen Kontext Abfragen (Gruppenmitgliedschaften, Kennwort korrekt usw.) an das AD gestellt werden.

Nö, macht man eigentlich schon länger nicht mehr so. LDAP Abfragen oder RADIUS sind auch ohne Domainjoin jederzeit möglich (letzteres setzt natürlich einen RADIUS Server voraus). Der User braucht schon ein paar "besondere" Rechte. Vor allem falls Mitgliedschaften abgefragt werden sollen/müssen. Leider steckt bei vielen aber die Gruppe der Authentifizierten User in der Gruppe Prä-Windows 2000. ;) Und die darf viel zu viel lesen.

Den Rest versteh ich nicht so ganz, was du da "ableiten" willst usw.

Ah sorry falschrum gedacht. Ich ging davon aus, dass die Shared Mailbox in der Cloud liegt. Aber unabhängig davon: es ist nicht supported :) 

es kann meist funktionieren, aber wenn nicht, hast du Pech. ;)

Kommt darauf an, was du hören magst. ;) Produkte sind meiner Erfahrung nach für ihren Zweck gut geeignet. Ob sie in deiner Situation helfen kann ich aber nicht sagen :)

vor 8 Minuten schrieb michelo82:

Die SA für den 2019 ist vor ca. einem halben Jahr abgelaufen. Lässt sich diese wieder verlängern?

 

Nein. Und deswegen macht es ja jetzt auch keinen Sinn sie JETZT zu kaufen (es sei denn sie ist für den Betrieb notwendig Stichwort Lizenzmobilität) Du kannst also jetzt auf 2019 upgraden und musst eben alles neu kaufen Exchange SE plus SA plus SE CALs plus SA.

vor 9 Minuten schrieb michelo82:

Wenn sich die SA um weitere 3 Jahre verlängern ließe, dann wäre der Release-Zeitpunkt des Exchange SE inbegriffen und ich könnte ohne weitere Kosten auf Exchange SE migrieren?

Deswegen ist eine SA auch _nahtlos_ zu führen. Du kannst sie nicht verlängern. Sonst würde ja jeder immer nur dann die SA kaufen, wenn er meint sie mal günstig zu benötigen. Also SA ist am Ende auch nur ein Abo Modell.

Alternativ kannst du natürlich auch auf M365 E3 Lizenzen umstellen, da wäre dann Exchange SE und CALs schon enthalten.

vor 55 Minuten schrieb michelo82:

Unseren Exchange 2019 haben wir mit SA erworben. Warum ist es dann notwendig Exchange SE nochmal neu zu erwerben?

Ist es nicht. Wenn die SA zum Erscheinen von Exchange SE aktiv ist, brauchst du sie erst verlängern, wenn der Ablauftermin näher rückt.

vor 57 Minuten schrieb michelo82:

(Nur die neuen Exchange CALs müssten wir erwerben.)

 

Wenn ihr keine SA für die CALs habt, dann müsst ihr die ebenfalls erwerben. Falls ihr CALs mit SA habt, dann natürlich nur die SA rechtzeitig verlängern.

vor 57 Minuten schrieb michelo82:

Wenn wir nun doch Exchange SE mit dreijähriger SA erwerben, was passiert eigentlich nach den drei Jahren?

 

Dann müßt ihr die SA verlängern.

vor 57 Minuten schrieb michelo82:

Der Exchange SE sollte doch auch ohne aktive SA funktionieren?

 

Kann dir niemand sagen, ob das so ist und außerdem wird dir niemand zu einem Lizenzverstoß raten.

Bye

Norbert

Hast du den Link gelesen? Warum zitiere ich denn daraus, wenn du hinterher fragst wieso und weshalb?

Du sollst per exo powershell die Gruppe auf dem exo Postfach neu berechtigen.

Steht die Gruppe denn noch drin mit den Rechten? Ansonsten kann man generell dazu raten keine Berechtigungen oder übergreifend zu pflegen.

ich kann dir aber bestätigen, dass zumindest bei Neueintragung der Gruppe auf der cloudseite die Berechtigungen dann auch irgendwann funktionieren müssen.

https://learn.microsoft.com/en-us/exchange/permissions

Zitat

Mailbox permissions and capabilities NOT supported in hybrid environments

Send As: Lets a user send mail as though it appears to be coming from another user's mailbox. Microsoft Entra Connect doesn't automatically synchronize Send As permission between on-premises Exchange and Microsoft 365 or Office 365, so cross-premises Send As permissions aren't supported. However, Send As will work in most scenarios if you manually add the Send As permissions in both environments, using Exchange Management Shell for on-premises

https://www.faq-o-matic.net/2011/02/07/bilder-im-active-directory/
 

da sieht man mal, wie viel software inzwischen eingestellt wurde. ;) kaum noch ein Link aus meinem Artikel funktioniert.

der hier geht aber definitiv noch:

https://www.codetwo.de/freeware/active-directory-photos/

Ja mit Powershell und einer entsprechenden Schleife. Oder mit einem entsprechenden Tool.

Ohne den gpresult Report wird das vermutlich schwierig, hier weiterzuhelfen.

vor 16 Minuten schrieb Florian-0625:

XML -> ich meine hier die GPPs, da kann man im XML suchen - habe aber nichts gefunden zu der Gruppe.

Ja, aber die gelten dann für die jeweiligen gpp und nicht für Scripts im gpo.

Im Zweifel mal nachschauen, wo die "Public Folder Database 1154646891" noch im AD steht. Sie muss ja noch an irgendwelchen Objekten hängen. Wird man mit adsiedit sicherlich finden können. Alternativ mal ein LDIF vom gesamten AD ziehen und mit dem Editor durchsuchen. Irgendwo muss der Kram ja auftauchen.

Warum dann migrieren? :) Aber muss wohl jeder selbst merken.

Ich würde kurzfristig „jetzt“ weggehen. ;) wenn du die jetzt migrieren hast du sie auch in 5 Jahren noch.