NorbertFe

https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/ ;) Da braucht man nicht mal Tools für.

Hast du es denn mal probiert? Werden ja wohl nicht alle gleichzeitig Outlook einschalten. ;)

Das ja sowieso nicht mehr supported ist für Exchange. ;)

Ja, erstens wärs mit einem Loadbalancer besser und zweitens versucht der Client nicht sofort umzuschwenken. Das is halt das Problem mit DNS Round Robin. ;)

Am Backup musst du nix "rumfummeln", deswegen ist das im Allgemeinen egal. Und Frontend is dann eben Default. ;)

Da ist bestimmt ein Copy'n'paste error und du meinst "Front End", oder? Falls ja, dann sieht das alles soweit gut aus. Gibts nen Grund, warum man das direkt aufrufen können soll/muss? Ich hab das so gut wie nirgends konfiguriert, aber da wo FBA abgeschaltet ist, ging das eigentlich problemlos.

Warum? Mit Cachemode ist das kein Grund zur Sorge.

Alternativ Loadbalancer mit den IP Adressen und dann hinten auf die neue IP umleiten. ;) Is zwar auch NAT, aber evtl. einfacher.

Firewall mit NAT

Wie sieht da so ein logeintrag exemplarisch aus? Ist das ein frontend oder hub connector?

Vielleicht schaust du ja ins falsche log?

kann man schon, hat aber andere Nachteile. :/

Wenn Formularbasierte Anmeldung aktiv ist, wirst du dich immer erstmalig am Exchange anmelden müssen. Ansonsten nimm SAML oder eine der anderen Möglichkeiten zur Authentifizierung, die dann durchgereicht werden kann.

Ich meinte nicht die Auswahl für wen die gilt, sondern ich will eine mit frei definierbaren Komplexitätskriterien. ;) Das is schon klar, aber dann greift automatisch Nils' Aussage :

Das hat mich wirklich schon immer gestört, dass unsere Kunden ADs nicht mit 64 und mehr Cores umgehen konnten. ;)

Ich wär ja für ne granular steuerbare Kennwortrichtlinie gewesen und hätte dafür auf NUMA Support verzichtet. ;)

Ja, üblicherweise stehen die dann als DAG da. ;) Man konfiguriert eine DAG, denn sonst sind ja die Nutzer offline, deren Postfach auf dem wegen Wartungsgründen oder Störung offline vorhandenen Servers. ;) Tjo, ich würde an deiner Stelle in Betracht ziehen, so ein Konstrukt nicht unbedingt selbst zusammenzuschrauben, sondern zumindest am Anfang mal mit einem Dienstleister zusammenzuarbeiten, der sowas häufiger auf dem Tisch hat. Bis dann Norbert

Woher sollen wir das wissen? Vermutlich weil sie ne Mail schicken wollen. ;)

Du bekommt also auf keinem der drei Clusterknoten den Failover Clustermanager aufgerufen? War das schon immer so? Falls ja, würd ich da mal ansetzen

Wär ja evtl. sinnvoll, sowas im Eröffnungspost zu schreiben. Ich bin da bei der @testperson Klingt irgendwie sehr merkwürdig das ganze Konstrukt.

Du wirst doch wohl mal dein Zertifikat welches vom LDAP genutzt wird anzeigen können. ;) Dann brauchst du die Kette ohne das eigentliche Zertifikat, denn das braucht ja nur der LDAP Service. Wenn dein DC auch CA ist, dann schau einfach in trusted root certification authorities und such dein CA Zert raus.

Naja ein ldp zeigt dir sehr schnell, dass das nicht so ist. ;) Aber bitte, jeder soll mit seiner eigenen Paranoia glücklich werden. :)

Das von der ausstellenden CA und ggf. auch das dazugehörige Root CA. NICHT exportieren musst du das eigentliche Service Zertifikat.

Ist das wirklich sinnvoll? Das ist in meinen Augen nicht sinnvoll. Warum tut man sowas? Naja, dein Konstrukt ist vielleicht nicht so super, wie du es findest. Exchange in einem AD stehen logischerweise miteinander in Verbindung. Ich würde mir das ganze Konstrukt ernsthaft nochmal überlegen. Ich kenne genügend Kunden die meinten das wär toll und sehr schnell stellten sich diverse Probleme ein. Wenns aber wirklich unbedingt so sein soll, dann solltest du entweder mittels Loadbalancer und Geo-Location usw. arbeiten oder mit unterschiedlichen Namen pro AD Standort (dann brauchst du aber auch mehr Namen im Zertifikat). Bye Norbert

Einfach im Failover Clustermanager nachschauen reicht nicht?