NorbertFe

Ah danke für die Info. Bei mir sind UPN (linker Teil) und SAMAccountname identisch.

Wie schon gesagt, bei mir ist das nicht notwendig, deswegen kam ja meine Rückfrage. ;) Ich aktiviere alle meine User nur mittels enable-Mailbox m.mustermann (und ja der hat hinterher den Alias m.mustermann).

vor 3 Minuten schrieb killtux:

Mehr haben wir aber nirgends.

Ja das sagen alle, bis der erste mit so einem Namen kommt und einem das Namenskonzept um die Ohren fliegt. :) (Ja Nebenschauplatz). Für alles andere hast du ja jetzt ein Beispiel.

Naja ohne zu wissen, wie du deine User so anlegst, schwer nachzuvollziehen. Wenn ich einen User anlege, dann hat der den Alias 1. Buchstabe Vorname.Nachname. Wenn das bei dir nicht so ist, müßte man es mal testen, woran das liegt. Alternativ dann eben wie oben angegeben vorgeben (nur war das bei mir bisher nie notwendig). Übrigens hast du mit dem SAMAccountName dann aber Pech, wenn deine User mehr als 20 Zeichen mit Vorname, Nachname und Punkt zustande bringen. ;) Und das ist gar nicht mal so selten.

Wie gesagt, normalerweise ist der Alias gleich dem SAMAccountname. Oder ist das bei dir anders?

Ja aber das kann man ja einschränken auf den Docusnap Server.

Per Default wird der Alias eigentlich immer wie der SAMAccountName aussehen. Also eigentlich reicht enable-mailbox mueller -targetdatabase EDB01

Schön find ich ja die beiden Blogs:

http://blog.fosketts.net/2012/02/16/cifs-smb/

https://stealthpuppy.com/smb-not-cifs/

vor 47 Minuten schrieb zahni:

Sie kann aber  auch SMB 3.1 ;)

Ich kenne die nicht, aber ich bezweifle, dass heutzutage noch irgendein "modernes" Gerät wirklich CIFS spricht. :p Wobei ich nach diverser Recherche dazu komme, dass SMBv1 und CIFS wohl synonym sind, bzw. CIFS dann die MS Implementierung von SMBv1. Man möge mich korrigieren. :)

vor 25 Minuten schrieb zahni:

Die Option der Installation beim Shutdown haben die Update-Götter bei MS ja für überflüssig erachtet.

Nö, ich hab die und ich seh sie auch regelmässig auf WIndows Server 2016. Nur leider hab ich noch nicht rausgefunden, wann genau die getriggert wird.

Auch in 1607 gabs meines Wissens nach schon die Wartungszeitpläne für die Updates. Ich hab grad kein LTSB zur Hand, aber ich meine, dass man damit noch ein wenig tunen konnte.

Naja solange das bei Netapp noch CIFS heißt, wundert mich auch gar nix. :p ;)

Jeder doofe Windows Server und Client signiert seit Jahren und den SMB Traffic und ich behaupte mal, dass die wenigstens das deaktiviert haben. Und auch Netapp schreibt ja, dass die Performancebeeinflussung stark schwanken kann. Ich würde also einfach testen, wie es dort vorgegeben ist. Ich sehe den Sicherheitsgewinn deutlich vor evtuellen 1-4% Performanceverlust (geratene/gewürfelte Werte).

Bye

Norbert

Das funktioniert auf Dauer garantiert nicht sinnvoll, weil eben der Autodiscover-Prozess nicht vom Linux Spamfilter auf die beiden verschiedenen Exchangesysteme verteilen kann. ;) Meiner Meinung nach ginge es, wenn du für jede Domain noch A.emaildomain.com und B.emaildomain.com anlegst und den Nutzern aus diesen Domains dann jeweils auch eine gültige Emaildomain zuweist und im public und internen DNS dann die Autodiscover Einträge entsprechend anlegst. Dann könnte man sogar Federation Trust konfigurieren.

Bye

Norbert

vor 11 Stunden schrieb Nobbyaushb:

da wir Client-Hardening auch in der Domäne betreiben müssen und somit alles durch die (lokale) Firewall dicht ist.

Das kann man ja konfigurieren, so dass Dokusnap weiterhin funktioniert, oder nicht?

Und was sagt man dann? "Versuchen Sie es in 2 Minuten nochmal. Alternativ, wenn das alles immer so kritische Systeme sind, dann stimmt halt die Ausführung in nicht redundanter Form nicht. :)

vor 13 Minuten schrieb RC<-->RC:

Na aber dann ist der Exchange kurzzeitig nicht erreichbar  

Und das merkt wer?

Der Failovertyp ändert nichts am Problem. Meiner Meinung nach ist Failover trotzdem sinnvoll, nur muß man eben die Stolpersteine kennen und vermeiden. Dann läuft das relativ stressfrei.

Gibt es denn da tatsächlich noch Probleme beim SMB Signing, oder ist das nur ein Bauchgefühl aus vergangener Zeit (2003 SP1)?

Nein, aber den Wunsch, den gibts schon ewig.

Auf welchem Server?

Dann solltest du den hub Transport sowohl innen wie außen stoppen, denn ohne Edge Abo lehnt der Edge alles ab, da hilft die queue gar nix ;)

Dann mach das nicht in einem Zeitraum mit viel mailflow ;)

Deswegen ja Skripten und als task. ;) ja ich weiß, dass das dann trotzdem noch manuell ist. 

vor 10 Minuten schrieb barnybla:

danach habe ich das auch eingerichtet, aber es hat trotdem nicht funktioniert

 

Dann hast du was falsch gemacht, oder die vorherige Konfiguration war schon so zertorft, dass man noch etwas mehr aufräumen müßte. Aber insgesamt ist "funktioniert nicht" eben keine sehr hilfreiche Fehlerbeschreibung. ;)

Naja kommt auf die Größe und Komplexität an. Aber ja mit Export und Import ist das in vielen Fällen mehr als ausreichend.

Korrekt. In den Virtualisierungssoftwares abschalten und https://www.gruppenrichtlinien.de/de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/

umsetzen und die virtualisierungshosts dann gegen die beiden dcs synchen.