NorbertFe

Gibts in der Praxis aber tatsächlich. :) Sieht dann so aus: Ich frag mich, was solche Absender machen, wenn auch die neue Domain missbraucht wird. :) SPF hilft nur bedingt. Im Endeffekt DMARC mit DKIM und SPF. Aber wie schon festgestellt, wenige nutzen es und noch weniger prüfen es vermutlich. Bye Norbert

2. WSUS in der DMZ wäre eine Möglichkeit, die ich gerade mit einem Kunden testen will. Wir selbst verwenden Direct Access und damit stellt sich die Frage nicht. :)

http://blog.icewolf.ch/archive/2012/11/13/group-policies-group-policy-preferences-tattooing.aspx find grad keine andere Quelle, aber so allgemein wie du das (alle/meisten) schrubst, trifft es nicht zu.

Wie kommst du auf diese kühne Aussage?

Noch mal meine erste Antwort lesen? Was ist unter „darf nicht per https erreichbar sein“ so schwer zu verstehen?

Das solltest du beantworten können und nicht wir.

Was im Übrigen auch ganz am Anfang explizit so geschrieben wurde.

Die DAG ist irrelevant. Also die Lizenzmobilität ist sowohl bei DAG Membern als auch bei standalone Exchangeservern notwendig. Und die Verwendung einer DAG bedingt keine andere Lizenzform.

Oooooooohmmmmmmmm meine Glaskugel sagt mir gerade: Ja, vielleicht oder auch nicht.

Nein, dich mit UPN, SAMACCOUNT oder DOMAIN\SAMACCOUNT anzumelden. Das geht auf jeden Fall, wenn man nur BEnutzername konfiguriert hat im OWA. Die anderen virtual directories sollten natürlich ebenfalls alle jeweils korrekt konfiguriert sein. Was korrekt bedeutet, hängt natürlich von deiner Umgebung ab. :) Dann mach Wireshark an und schau wo es hakt. :/

Wie wärs, wenn du es einfach ausprobierst? ;)

Ja, aber nicht im Exchange (der zeigt nur das an, was du im AD konfigurierst). Also mußt du 1. 26 UPN Suffixes einpflegen 2. bei den Nutzern den Userprincipal Name identisch zu seiner jeweiligen Adresse ändern. Bye Norbert

Häh? Meine Antwort gelesen? Mit internen Clients kann man das identisch handhaben (wenn man bspw. nen Kemp Loadbalancer hat, geht das per "klick". Wenn aber alle internen Clients auch Domain Member sein sollten ist das egal, weil die intern dann ja den SCP fragen. Bye Norbert

Hi, SRV Records sind Mist. Das nutzen nicht alle Clients (eigentlich nur Outlook für Windows afair). Also solltest du auf http redirect ausweichen. Du brauchst also eine andere/weitere IP, welche NICHT per https erreichbar ist und per 302 redirect auf die eigentliche domain weiterleitet. Diese zusätzliche IP muss unter autodiscover.domain2.tld, autodiscover.domain3.tld usw. erreichbar sein (also alle ausser die Hauptdomain). Bye Norbert

Ja. Korrekt. Gibt übrigens auch nen ziemlich ausführlichen Link, der das Problem aus sicherheitstechnischer Sicht beschreibt. Kann ich bei Bedarf gern hier posten.

Außerdem sind die Postfächer grundsätzlich zumindest intern und ggf. auch extern weiterhin erreichbar. Man hat also potentiellen Datenzuwachs in solchen Datengräbern.

Gibt ja auch externe Anwendungen, die nicht federiert sind.

Wie hilft dir denn der Manager wenn du im Windows 14 Zeichen hast?

Stimmt es sind 90 Tage und ja, auch die Rechnung mit 6 Exchange Lizenzen ist korrekt. War schon später gestern. Fakt ist, so gut lässt sich das nicht planen, dass man dabei sparen würde.

Ja das mit der Lizenzierung stimmt. Das wäre auch eigentlich der einzige Grund. ;) Naja egal, zum Glück hab ich keine solche Software in Verwaltung.

Ja, das kann man ja auch nicht per GPO konfigurieren. ;)

Alternativ könntest du auch noch eine dritte Exchange 2013/2016/2019 Lizenz für den dritten Host beschaffen. Wäre immer noch billiger als SA für 2 Server, die du ja jetzt nicht nachträglich beschaffen könntest. Also in meinem Cluster schwenken VMs automatisch bspw. beim Cluster Aware Update. Und das ist keine manuelle Tätigkeit. Und im Fehlerfall startet die VM auf einem anderen Host... Das wäre dann deiner Meinung nach lizenztechnisch ok, wenn der Exchange dann auf einem unlizenzierten Host liefe bzw. 120 Tage nicht wieder zurückgeschwenkt werden darf? Ich glaub die paar Eur würd ich schon aus Handlinggründen investieren wollen.

Verstehe ich nicht. :) Auch nach der Faustformel hätte ein 2008R2 keine 16bit Ausführmöglichkeit (wenn man die benötigt). Bliebe also maximal 2008 32bit und ob das dann besser ist als Windows 7?

Handout? also mein Passwort paßt auf ein Post-it. :p

Auch 2008R2 hat kein 16bit Subsystem mehr afaik. ;)