NorbertFe

vor 54 Minuten schrieb daabm:

Bei LDAPS kannst Du nicht festlegen, welches Zertifikat verwendet wird

kann man schon, hat aber andere Nachteile. :/

Wenn Formularbasierte Anmeldung aktiv ist, wirst du dich immer erstmalig am Exchange anmelden müssen. Ansonsten nimm SAML oder eine der anderen Möglichkeiten zur Authentifizierung, die dann durchgereicht werden kann.

vor 23 Minuten schrieb daabm:

Gibts doch mit den FGPP/PSO schon ewig. Unter welchem Baum hast Du die letzten 15 Jahre geschlafen? SCNR...

Ich meinte nicht die Auswahl für wen die gilt, sondern ich will eine mit frei definierbaren Komplexitätskriterien. ;)

vor 23 Minuten schrieb daabm:

Spaß beiseite, für große ADs ist das ein Thema. Weniger VM-DCs mit mehr Cores. Für mich wäre es nice, wenn wir mit 1-2 pro Primärsite auskämen.

Das is schon klar, aber dann greift automatisch Nils' Aussage :

vor 1 Stunde schrieb NilsK:

Interessant nur für wenige Enterprise-Szenarien und dort auch kaum sichtbar.

Zitat

Previously, AD would only use CPUs in group 0. Active Directory can expand to beyond 64 cores.

Das hat mich wirklich schon immer gestört, dass unsere Kunden ADs nicht mit 64 und mehr Cores umgehen konnten. ;)

Ich wär ja für ne granular steuerbare Kennwortrichtlinie gewesen und hätte dafür auf NUMA Support verzichtet. ;)

vor 4 Minuten schrieb Tim312:

Es wäre ja denkbar, dass an einem Standort aufgrund der Menge der Daten einfach zwei Exchange Server nebeneinander stehen.

 

Ja, üblicherweise stehen die dann als DAG da. ;)

vor 4 Minuten schrieb Tim312:

Wenn einer davon aus Wartungsgründen oder wegen einer Störung off ist, wie verhindert man, dass die Funktion des noch aktiven Exchange nicht beeinträchtigt wird?

Man konfiguriert eine DAG, denn sonst sind ja die Nutzer offline, deren Postfach auf dem wegen Wartungsgründen oder Störung offline vorhandenen Servers. ;)

vor 6 Minuten schrieb Tim312:

Dazu habe ich leider nichts gefunden. 

Tjo, ich würde an deiner Stelle in Betracht ziehen, so ein Konstrukt nicht unbedingt selbst zusammenzuschrauben, sondern zumindest am Anfang mal mit einem Dienstleister zusammenzuarbeiten, der sowas häufiger auf dem Tisch hat.

Bis dann

Norbert

vor 11 Minuten schrieb ChaS:

Warum verbinden sich die Server auf den Exchange. Teils ist das ein normaler interner Fileserver. 

Woher sollen wir das wissen? Vermutlich weil sie ne Mail schicken wollen. ;)

Du bekommt also auf keinem der drei Clusterknoten den Failover Clustermanager aufgerufen? War das schon immer so? Falls ja, würd ich da mal ansetzen

vor 20 Minuten schrieb Preleaze:

Leider bekomme ich das Cluster im Failovercluster-Manager nicht angezeigt und verbinden lässt es sich auch nicht:

Wär ja evtl. sinnvoll, sowas im Eröffnungspost zu schreiben. Ich bin da bei der @testperson Klingt irgendwie sehr merkwürdig das ganze Konstrukt.

Du wirst doch wohl mal dein Zertifikat welches vom LDAP genutzt wird anzeigen können. ;) Dann brauchst du die Kette ohne das eigentliche Zertifikat, denn das braucht ja nur der LDAP Service. Wenn dein DC auch CA ist, dann schau einfach in trusted root certification authorities und such dein CA Zert raus.

Naja ein ldp zeigt dir sehr schnell, dass das nicht so ist. ;) Aber bitte, jeder soll mit seiner eigenen Paranoia glücklich werden. :)

vor 7 Minuten schrieb todde_hb:

ABER welches Zertifikat muss ich exportieren.?

Das von der ausstellenden CA und ggf. auch das dazugehörige Root CA. NICHT exportieren musst du das eigentliche Service Zertifikat.

vor 2 Minuten schrieb Tim312:

Beide Standorte haben dann je einen Exchange und einen eigenen DC mit DNS vor Ort.

 

Ist das wirklich sinnvoll?

vor 2 Minuten schrieb Tim312:

E-Mails werden per Pop3 pro Standort abgerufen und dann an den jeweiligen Exchange weitergeleitet.

Das ist in meinen Augen nicht sinnvoll. Warum tut man sowas?

vor 3 Minuten schrieb Tim312:

Also sprechen die Exchange doch noch wo miteinander, obwohl das Postfach gar nicht auf dem neuen Exchange gehostet ist und DNS scheinbar immer den "richtigen" Exchange zurückgibt.

Naja, dein Konstrukt ist vielleicht nicht so super, wie du es findest. Exchange in einem AD stehen logischerweise miteinander in Verbindung.

Ich würde mir das ganze Konstrukt ernsthaft nochmal überlegen. Ich kenne genügend Kunden die meinten das wär toll und sehr schnell stellten sich diverse Probleme ein.

Wenns aber wirklich unbedingt so sein soll, dann solltest du entweder mittels Loadbalancer und Geo-Location usw. arbeiten oder mit unterschiedlichen Namen pro AD Standort (dann brauchst du aber auch mehr Namen im Zertifikat).

Bye

Norbert

vor 51 Minuten schrieb Preleaze:

ich sehe eben nur nicht, ob sie drauf sind.

Einfach im Failover Clustermanager nachschauen reicht nicht?

vor 27 Minuten schrieb todde_hb:

Danach habe ich inder Firewall vom DC eine neue Regel erstellt, dass Port 636, sowohl TCP als auch UDP, freigeben wird.

Wozu? Das ist standardmäßig erlaubt. Wär ja auch b***d, wenn ein LDAP Verzeichnis nicht erreichbar wäre, oder?

vor 2 Stunden schrieb ChaS:

wie sieht das bei euch aus? Sind die InternalURL, ExternalURL bei euch auch Leer?

Üblicherweise sind die leer (mit Exchange 2010 kann man sie setzen), weil das autodiscover virtual directory logischerweise keinen Verweis auf den zugriffspunkt braucht, denn dann ist man ja bereits da.

das was du brauchst um den Fehler zu beheben ist also nicht set-Clientaccesservice, sondern das e2k10 powershell module. ;)

https://support.microsoft.com/en-au/topic/autodiscover-event-id-1-after-installing-exchange-server-2019-cu3-or-exchange-server-2016-cu14-93850e62-4cf4-8a76-5fd4-c8ce6f032015

am Ende kannst du den Fehler aber auch einfach ignorieren. ;)

bye

norbert

vor 11 Minuten schrieb mwiederkehr:

Es gibt Kabelbinder mit beschreibbarer Rechteckfläche am Ende

Wenn wir schon bei "schlechten" Erfahrungen sind, die Dinger brechen nach genügend langer Zeit im Serverraum auch einfach ab. ;)

Das is ja einfach ;)

https://www.shutterstock.com/image-illustration/character-walking-holding-flag-wifi-icon-223867249

Ohne Scherz, die Frage gabs von Seiten der GF eines Unternehmens wirklich mal bei uns, warum sie denn zig sauteure Switches kaufen sollen, wo man heute doch jeden PC und Handy per WLAN verbinden kann. :)

Gibt auch afair schon vornummerierte Kabel zu kaufen. Vielleicht ja ne einfachere Variante. ;)

So pauschal? Nö, eher unwahrscheinlich, dass es am Update liegt. Was sagt denn das Eventlog? Oder auch das SMTP Logging?

Sehr passend auch die beiden (ersten) Kommentare. ;)

vor 8 Stunden schrieb volrath:

Das ist ja so wie wenn mich ein Bekannter fragt wie man ein Autoreifen auswechselt und ich ihm antworte, dass er doch in die MercedesBenz Werkstatt fahren soll.

naja vor allem wäre das die richtige Empfehlung, wenn dich dein Bekannter fragt, ob er auch nen Fahrradreifen dafür benutzen kann. ;)

Tjo, dann sind wir da vermutlich unterschiedlicher Meinung. Mich interessiert üblicherweise nicht welche ssd oder hdd von welchem Hersteller drin sind, genauso wie die ram module Wurscht sind, solange der Hersteller die gewünschten leistungsparameter damit erreicht.

vor 36 Minuten schrieb volrath:

Könnt ihr mir da ein paar Modelle nennen?

Wahrscheinlich nicht, weil man den Server ja komplett kauft und da interessiert im allgemeinen nicht, welche einzelnen Komponenten drin sind.