NorbertFe

:) Tjo, dann würd ich mir mal die Policies hinsichtlich EFS anschauen. Irgendwo müssen die ja herkommen (die Zertifikate).

vor 1 Minute schrieb wznutzer:

Die DCs holen sich ja automatisch Zertifikate.

Ja, aber per hardcoded routine auch nur die von der nicht mehr zur Verwendung empfohlenen Vorlage "Domain Controllers". Empfohlen ist die Vorlage "Kerberos Authentication" zu verwenden, und damit die dann automatisch funktioniert, muss man den DCs auch das Certificate Enrollment beibringen.

vor 2 Minuten schrieb wznutzer:

Lassen sich die EFS-Zertifikate der Nutzer übernehmen,

Nein. Und wer bei gewünschter NICHT-Verwendung EFS immer noch nicht verboten hat, hats wohl auch nicht anders verdient. ;) Schau halt in deiner alten CA nach, wieviele EFS Zertifikate ausgestellt wurden, und wann die ablaufen. Wenn da nix aktuelles mehr dabei ist, ist die Chance recht hoch, dass es kaum/keiner verwendet.

Bye

Norbert

Hmmm, Hinweis oben und Wichtig unten widersprechen sich in meinen Augen. Ich meine es geht irgendwie das Ding umzubenennen, aber da NIEMAND vorher über die Konsequenzen nachdenkt, empfehle ich es nicht zu tun, und ggf. wie jetzt einfach eine neue CA hochzuziehen, die man dann gleich korrekt benennen kann. ;)

vor 5 Minuten schrieb wznutzer:

Die CA heißt noch gleich, aber der Server auf dem die CA läuft hat einen anderen Namen.

Hmm, und gibt dir das zu denken? ;) Falls nein, dann nochmal genau nachlesen. Da ich nicht genau weiß, wie deine Konfiguration aussieht, kann es jetzt damit Probleme geben, oder eben auch nicht. Hängt halt mit den CRLs und AIA usw. zusammen, die per Default den Hostnamen beinhalten.

Zitat

Before joining the destination server to the domain, change the computer name to the same name as the source server. Then complete the procedure to join the destination server to the domain.

vor 9 Minuten schrieb wznutzer:

Ja, aber wäre der Ablauf anders als bei der Übernahme vom W2K12R2?

 

Nein, aber da du oben nur Migration geschrieben hast, könnte das ja auch einfach ein Inplace Update gewesen sein.

Wer den Namen der CA ändert, sollte vorher genau wissen, welche Auswirkungen das haben kann.

Insofern würde ich im Worst Case einfach die ganze CA entsorgen und eine neue aufsetzen. Da kann man dann sicherlich auch gleich nach best practises vorgehen. ;)

Bye

Norbert

vor 1 Minute schrieb wznutzer:

Kenn das jemand von euch?

 

Nein, und je nachdem wie die "migriert" wurde, könnte man ggf. über eine Neuinstallation mit Datenübernahme reden?

Versuch macht kluch.

Wirst du wohl eine Transfer Domain brauchen, womit du das rausrouten kannst. 

https://gc.de/gc/rot13/

OK, ich formuliere es mal als "Kunde". ;) Er soll alles annehmen, was ich brauche und alles nicht annehmen/quarantänieren was ich nicht brauche. ;)

Ich will ja nix ablehnen, er soll eigentlich mehr oder weniger alles annehmen was von meinem Gateway kommt. Denn da wurde schon gefiltert.

vor 1 Minute schrieb mwiederkehr:

Es wird so viel direkt abgelehnt, dass ich nicht gemerkt habe, dass doch eine Quarantäne vorhanden ist.

Das ist ja das Problem. ;) Im vorgelagerten Spamfilter is alles gut, aber die Mail kommt halt nicht an ;)

Unterschreibe ich sofort. Nur MS machts einem dort an der Stelle (meiner Erfahrung nach) nicht ganz einfach. Die sind halt der Meinung, dass ihr Schutz für alle Nutzer das Beste ist, seit geschnitten Brot. ;)

vor 2 Minuten schrieb mwiederkehr:

da wir keine Quarantäne nutzen.

Sicher? Wo kann man die denn komplett einfach abstellen?

Ja genau.

vor 15 Minuten schrieb Konsti09:

1. Vorgabe eine GPO mit Anmeldeskript 

 

Nenn mir mal IRGENDWAS, was du innerhalb eines Postfachs (Exchange) per GPO beeinflussen kannst. ;) Damit meine ich keine Outlook Funktionen.

vor 15 Minuten schrieb Konsti09:

2. User wird neu angelegt oder wechselt die Abteilung 

 

Ja, dann hat er andere Gruppenmitgliedschaften als vorher und sieht nur das, was du für die Abteilung zugewiesen hast.

vor 16 Minuten schrieb Konsti09:

Das bedeutet ich möchte nicht das der User im Exchange explizit manuell die Rechte bekommen muss. 

 

Dafür gibts GRUPPEN!

vor 16 Minuten schrieb Konsti09:

Useranlage bleibt oder eben das man das Attribut Abteilung ändert - der Rest automatisch

 

Gruppenmitgliedschaft. Attribute sind keine besonders sinnvolle Methode um sicherheitsrelevante Einstellungen zu triggern, aber mit ein wenig skripten, könnte man darüber zur Not auch Gruppenmitgliedschaften definieren.

Dazu muss man aber auch wissen, dass das Journalpostfach eben nicht in O365 liegen kann, sondern on-prem oder bei einem anderen Mailprovider oder seit neuestem wohl in einem Postfach das Mailstore als Service irgendwie on-prem mit rangebastelt hat.

Hätte ich schon seit Ende Seite 1 keinen Bock mehr auf das Gefummel und schon neu installiert. ;)

Wir nutzen AFI Backup. Ist bezahlbar und recht gut nutzbar. Und man bleibt in der cloud und zerrt sich nicht das archiv wieder on-prem. ;)

vor 10 Minuten schrieb wiit:

Ging mehr um das Interesse ob dies möglich wäre (im privaten Bereich)

 

Möglich ist viel (fast alles), nur ob es im privaten Bereich sinnvoll ist, wenn man von Mailrouting und den damit verbundenen Problemen mit einer shared Domain wenig Kenntnis hat, hat sich alles Interesse eigentlich schon erledigt, wenns auch nur halbwegs stabil funktionieren soll.

Kaum macht mans richtig, schon funktioniert’s. 

Erinnert mich irgendwie sofort an die beiden Spezis ;)

https://www.rheinpfalz.de/kultur_artikel,-comic-carlsen-verlag-bringt-klassiker-clever-smart-neu-heraus-_arid,1115020.html

vor 59 Minuten schrieb IVZ-Flo:

Dann muss ich mich ja an dem Postfach anmelden.

 

Nein, denn du hast ja VOLLZUGRIFF. Was meinst du, warumd das so heißt?

vor 59 Minuten schrieb IVZ-Flo:

Da es ein Shared Postfach ist, weiß ich in der Regel ja das Passwort nicht.

 

Ein shared Postfach ist ein deaktivierter User der KEIN Passwort hat. Also gibts da auch keins. Deswegen ja VOLLZUGRIFF.

vor 12 Minuten schrieb IVZ-Flo:

Übrigens landen bei mir die ausgehenden Mails auch ohne Automapping nur in meinem Postfach. Nicht in dem Absenderpostfach.

Ja, weil du sie über "erweitert" einbindest (genau wie Autodiscover). Du sollst aber zusätzliches Postfach angeben!

vor 6 Minuten schrieb testperson:

Dann brauchst du theoretisch auch kein Send-As mehr.

Doch na klar.