NorbertFe

Naja dann eben Skript welches die gewünschten registry Werte in die Clients pumpt, was sonst per gpo passieren würde. der Hinweis auf Samba 4 war auch eher spaßig gemeint. Mir ist schon klar, dass man das nicht mal eben in der Mittagspause erledigt. :)

Naja Update Samba auf Samba 4 (?) und dann WIndows DC dort reinpacken. Ist jetzt nicht so "schwer" :p

Na dann probiere und berichte. :) Learning bei doing, wenn man weiß was passieren könnte, ist doch recht einprägsam.

Ist doch ne Testumgebung. ;) Da würd ich jetzt aber verifizieren ob ich Recht habe. :P Wie sagte die Omi? Zum Üben, nicht als Strafe. ;)

Na wer kann noch poledit bedienen?

Nein die Edge und Mailboxserver müssen sich gegenseitig mit dem korrekten Namen auflösen können. Welchen auch immer du da gesetzt hast. Allerdings dürfte nach der INstallation das ändern des DNS Suffixes auf den Edgeservern nicht mehr möglich sein, weil dann dein AD/LDS nicht mehr mitspielt. Also kannst du maximal deinstallieren und neu installieren oder damit leben und es als Erfahrung abheften. ;)

Samba gibts auch mit simuliertem AD. ;) Und selbst bei NT4 gabs schon Policies.

Warum setzt du denn interne FQDNs für einen Server der normalerweise ja genau eben NICHTS mit der internen Domäne zu tun hat, ausser eben per EdgeSync und SMTP Daten zu empfangen?

Der Edge ist hoffentlich nicht Mitglied der selben Domain wie dein Mailboxserver. Ansonsten hättest du ihn nämlich auch gleich so nennen können wie er extern angesprochen wird, dann wäre der Step nicht mal notwendig gewesen. Aber ja, das meinte ich mit anpassen des EHLO Strings. Sorry für die Verwirrung. Bye Norbert Du müßtest das dann im SendeConnector auch gleich noch anpassen. ;) Und dann kannst du dir auch gleich noch die HeaderFirewall anschauen, die dann die internen Received from Header beim Versand nach extern entfernt. Get-SendConnector „Dein Sendeconnector ins Internet“ | Remove-ADPermission -User „Nt-Autorität\Anonymous-Anmeldung“ -ExtendedRights „ms-Exch-Send-Headers-Routing“ Bye Norbert

Wer setzt denn eine sophos ein, wenn er einen Edge nutzt? Evtl. Solltest du dir klar werden, was du da üben willst. ;) was genau hast du jetzt geändert?

Naja sicherer wird’s dadurch auch nicht, aber wahrscheinlich liegt’s daran, dass du ihn nicht geändert hast. Nutzt du einen Edge Server oder nur einen Mailboxserver? Bei ersterem kannst du den ehlo String im receive connector einfach ändern. Bei letzterem musst du dir erst einen eigenen connector anlegen, weil du den Namen sonst nicht ändern kannst ohne die Authentifizierung abzuschalten.

Versuch doch erstmal per Telnet von extern eine Mail zuzustellen. Danach kannst du bei Erfolg weitersuchen. ;)

Hmm naja wenn ich rätseln will dann Kauf ich mir eins :p

Ein drop=ndr=unzustellbarkeitsnachricht

Ich weiß nicht, ob ich dir da weiterhelfen kann. Wenn der Server Dc, Nls, da, ca und was weiß ich noch alles ist, sind da soviel Abhängigkeiten, dass ich das freiwillig nie in Erwägung ziehen würde. Wenn da soviel Startkapital sinnlos rumlag, wäre wohl eine vorherige (kostenpflichtige) Beratung sinnvoll erschienen (jedenfalls mir).

Kann ich mir nicht vorstellen, dass das korrekt ist. Ein Ping auf den Namen durch den da Tunnel liefert afaik immer die ipv6 Adresse zurück die der da Server im einfachsten Fall vergibt. Ja wirst du wohl müssen. :) kleine Firma aber alles Enterprise Editionen? Naja wer sein Geld so gezielt ausgibt. ;)

Das wird nicht reichen, weil dort ja die internen Namen dann in die Zertifikate eingetragen werden. Insgesamt würde ich sagen, dass da für so kleine Unternehmen nicht die sinnvollste Lösung darstellt. Schon allein, weil du dafür afaik die Enterprise Edition vom Client os benötigst. Gib mal nen link in dem ein Ping ipv4 durch den Tunnel gezeigt wird.

Evtl. Nutzer ticken da ggf. Anders und niemand liest die eigentliche Fehlermeldung, wenn sie irgendwo im Fließtext nach einer 5.x.x Fehlermeldung steht. Das kann ich sogar noch etwas nachvollziehen. Wahrscheinlich ein Grund, warum o365 so schöne ndrs generiert. ;)

IPv4 kannst du ja auch nicht durch den DA Tunnel pingen. Einige Anwendungen werden auch nicht mit der Rückgabe von ipv6 Adressen klarkommen. DA funktioniert mit Namen und ipv6. Insofern works as designt. DA und DC auf einem Host ist keine gute Idee. Wo läuft denn der NLS? Etwa auch noch mit auf dem selben Server? Deine Revocation List hast du hoffentlich auch gleich öffentlich zugänglich konfiguriert, sonst hast du in ca. 7 Tagen ein Problem mit den DA Clients. Interne und externe Domäne unterscheiden sich namentlich, oder sind die identisch? Bye Norbert

Die Lösung steht oben bereits. Du akzeptierst entweder, dass die Absender nicht willens sind eine eindeutige Fehlermeldung zu lesen oder du vergibst die bisherigen Emailadressen einem armen Tropf der das dann kontrollieren muss. In jedem Fall ist Catch-All die falsche Lösung! Alternativ kannst du natürlich auch mit 3rd Party Tools das ganze etwas "sozialer" gestalten. https://www.exclaimer.de/auto-responder/ (Emailadresse weiterhin existent aber die Mail wird vom Autoresponder entsprechend "schön" beantwortet und danach in die Tonne geworfen). Nein ich lese keine Mails an nicht mehr existierende Mitarbeiter. Bye Norbert

Wahrscheinlich sind inzwischen 10 Geräte auf dem Konto als Partnerschaft eingetragen. Alternativ ist das evtl. ein vom AdminSDHolder geschütztes Konto, dann solltest du überhaupt kein Mobile Device damit verwenden. :) Bye Norbert

Ein Catchall ist aber nicht das, was du willst. Du willst "alte Emailadressen weiterhin verwenden" und nicht "ALLE möglichen Emailadressen annehmen". Das ist ein großer Unterschied. Ein Spamfilter hilft dir nur sehr bedingt in solchen Fällen in Zeiten von Phishing und Spearphishing. Aber jeder ist ja der Meinung ihn betreffe sowas wie https://www.bka.de/SharedDocs/Downloads/DE/IhreSicherheit/CEOFraud.html nicht, bis es ihn irgendwann erwischt. Aus meiner Sicht geht ihr das Thema falsch an, aber jeder wie er mag. Bye Norbert

Naja aber dafür hast du dann ein serverseitiges Archiv, welches entweder nur online verfügbar ist und damit langsam, oder eben andere Cachedateien lokal ablegen wird. ;)

Vielleicht hab ich’s ja überlesen, aber solche Infos gehören an den Anfang und nicht in die Lösung. ;)

Das zuweisen von alten E-Mail-Adressen an andere Postfächer würde ich 1. nur na h Absprache und 2. nur zeitlich befristet regeln (wenn überhaupt). Ich hatte mal einen Kunden, da hat die Chefsekretärin alle E-Mails der ehemaligen Nutzer bekommen. Der Blackberry war nur am vibrieren. ;) ich hab dann irgendwann mal nachgeschaut und da kam nur Müll an. Und der eine wichtige Fall hat dann eben Pech! Wenn ich umziehe und der nachsendeauftrag ist zu Ende kommt auch keine Post mehr an.