NorbertFe

Ach menno noch so eine faq. ;) lösche das Zertifikat und importiere es per Exchange powershell und nicht per mmc (so wie du es jetzt vermutlich getan hast) Du bist dir auch sicher, welche Frage du da mit Ja beantwortest? Da gehts ums Standard smtp Zertifikat. Die beantwortet man nicht automatisch mit ja. ;)

Das ist ja aber auch die entscheidende Frage. Die Mischung ist in meinen Augen nur in wenigen Fällen sinnvoll. Aber das kann man ggf. eben erst in Zusammenarbeit mit dem Kunden entscheiden. ;) Mischung bedeutet wie oben von mehreren erwähnt eben höheren Verwaltungsaufwand hinsichtlich der Lizenzen.

Naja meist hat der Lagerarbeiter dann aber in bestimmten Firmen trotzdem ein Handy mit Postfachanbindung an den exchange. Oder der Busfahrer usw. Usf. Also bleibt meist: nimm das was du weniger hast: wenige User viele Geräte = User cals oder viele User (meist lohnt das nur bei schichtbetrieb) und wenige Geräte = Device cal. Bei letzterem dann aber ggf. Auch für multifunktionsdrucker usw.

Sehe da ms genauso. Userlizenzierung dürfte deutlich einfacher sein. Wenn 100% der Nutzer eine user cal haben, ist die Anzahl der Geräte die sie benutzen egal.

Achso, du meinst die haben keine abuse Abteilung. Hatte ich falsch verstanden.

Warte, ich geb dir noch eine: Was genau ist denn daran kaputt? :p

Ich habs nicht getestet, aber angeblich machen die das: https://letsencrypt.org/docs/revoking/ Und ja EV wird nicht mehr gekennzeichnet (früher "grün"). Stattdessen wir jetzt http als NICHT sicher = rot dargestellt und http/https aus der Leiste per Default auch noch ausgeblendet. ;)

Das Problem wird verschärft durch: 1. in allen modernen Browsern ist die Adressleiste keine Adressleiste sondern eine Seachbar 2. Kunden die lieber erst auf google.de gehen um dann dort dkb.de einzutippen (in die Google Search) Für manche ist da keinerlei Unterschied.

Noch als Hinweis für die, die Exchange Edge Server betreiben (vermutlich nur ich ;)). Dort gibts im Allgemeinen nicht zwingend ein Active Directory und der Nutzer muss deswegen als lokaler Nutzer auf dem Edge angelegt werden. Name 'Network Service' Auch der kann nach dem erfolgreichen Update und der Anpassung in der Registry wieder gelöscht werden. Bye Norbert

Und alles nur weil die Cloud wieder was vorgibt. Ich seh grad: https://support.microsoft.com/de-de/topic/enable-support-for-aes256-cbc-encrypted-content-in-exchange-server-august-2023-su-add63652-ee17-4428-8928-ddc45339f99e

Im IIS ;) https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811/page/2#comments Da gibts folgenden Screenshot:

Evtl. wieder die Backend Zertifikatsbindung weg?

Nur wessen? :)

man könnte ja annehmen, dass die Tools für die Erstellung solcher Updates die feste Eingabe von solchen default principals explizit verweigern. Ist ja nicht das erste Mal, dass das zu Problemen geführt hat. Mal davon abgesehen dass in deren Workaround Script die schließende Klammer fehlt. Und andere Rechte gesetzt werden als die, die der Dummy User vom Setup erhält. ;) und man erwarten würde, dass die dann den Dummy User dort wieder entfernen. Boah

Manchmal kann man nur mit dem Kopf schütteln bei solchen Fehlern.

Jetzt gibt es einen workaround für nicht-englischsprachige Systeme. (Wieder mal hardcoded username verwendet, wie es scheint). https://support.microsoft.com/en-us/topic/exchange-server-2019-and-2016-august-2023-security-update-installation-fails-on-non-english-operating-systems-ef38d805-f645-4511-8cc5-cf967e5d5c75

Naja offenbar bei allen nicht englischen Installationen. ;)

Ja, deswegen mein Nachsatz oben. Hab auch noch keine Zeit gefunden das zu testen.

Microsoft hat ein neues SU für Exchange 2016/2019 veröffentlicht. https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811 Habs auch erst gelesen, deswegen kann ich noch nichts zur "Verträglichkeit" sagen. Bye Norbert

Dann hast du Windows Server 2019 oder 2022 ;) Da ist dein Problem. Du brauchst den privaten Schlüssel. Und wenn das Zertifikat mit einem neuen CSR erstellt wurde, ist die Frage, wo befindet sich der private key für das neue Zertifikat. ;)

Wenn keine Leerzeichen da sind, dann brauchst du auch nichts löschen. Da du hier nix kaputt machen kannst, sollst du den obigen Befehl ausführen und dort entweder die Seriennummer des NEUEN Zertifikat (oder den Thumbprint) dort einfügst. Dabei wird dann der private key wieder dem Zertifikat zugeordnet. Bye Norbert

Denen geb ich genau dieselbe Antwort. Ich werde die Fehler von MS Produkten nicht beheben (können)

Ja. Das geht. Ich glaub es liegt einfach daran, dass es ihnen mehr oder weniger egal ist. Es behindert sie bei Ihrer Arbeit. Sich mal ein .doc als .docx oder pdf (vor dem Versand) zu generieren hat ja nichts mit Aufwand an sich zu tun, sondern nur damit, dass man mal kurz drüber nachdenken müßte, was die IT Abteilung gesagt hat. Und daran scheitert es schon ganz am Anfang. Da hab ich noch nicht mal mit Systemen und automatisch erzeugten Dokumenten angefangen. In vielen Firmen wird ein Angebot oder ein Brief einfach kopiert umbenannt und dann geändert, weil die Leute nicht wissen wie Vorlagen funktionieren. Hauptsache in der Bewerbung steht drin Word und Excel Kenntnisse vorhanden. Gemeint ist da vermutlich in den meisten Fällen, dass sie word oder excel starten können, ohne sich die Finger zu brechen. Aber auch nur, wenn das Icon dazu auf dem Desktop liegt. Tja und da wär er nicht so schön "bunt" wie bei Exchange Online. ;) Bye Norbert

Vergiß Kategorien und arbeite einfach NICHT damit, wenn man auch noch postfachübergreifend damit hantieren will. Das hat noch NIE funktioniert und ich bezweifle, dass sich das jemals ändert.

LOL solange sogar MS selbst (bis vor kurzem) die Lizenzunterlagen als .xls rausschickt, wird das alles so gut wie nie mehr Sicherheit bringen, sondern - mehr Arbeit für die IT, die das den Usern und den Kunden erklären muss - mehr Frust und Umgehung auf beiden Seiten führen. Und ja ich hab das bereits durch. Am Ende ist die Lösung dann nicht, dass man modernere Formate erhält, sondern dass sich die Leute das per OneDrive, Dropbox oder per Privater Email austauschen. So funktionieren Nutzerhirne. ;) Das Ergebnis zählt und das ist leider ein anderes als der für die IT Sicherheit zuständige Mitarbeiter verfolgt. Du kannst uns aber gern auf dem Laufenden halten, denn natürlich freue ich mich über erfolgreiche Projekte dieser Sorte und gebe noch nicht ganz resigniert auf. :) Bye Norbert