NorbertFe

Ich habs nicht getestet, aber angeblich machen die das: https://letsencrypt.org/docs/revoking/ Und ja EV wird nicht mehr gekennzeichnet (früher "grün"). Stattdessen wir jetzt http als NICHT sicher = rot dargestellt und http/https aus der Leiste per Default auch noch ausgeblendet. ;)

Das Problem wird verschärft durch: 1. in allen modernen Browsern ist die Adressleiste keine Adressleiste sondern eine Seachbar 2. Kunden die lieber erst auf google.de gehen um dann dort dkb.de einzutippen (in die Google Search) Für manche ist da keinerlei Unterschied.

Noch als Hinweis für die, die Exchange Edge Server betreiben (vermutlich nur ich ;)). Dort gibts im Allgemeinen nicht zwingend ein Active Directory und der Nutzer muss deswegen als lokaler Nutzer auf dem Edge angelegt werden. Name 'Network Service' Auch der kann nach dem erfolgreichen Update und der Anpassung in der Registry wieder gelöscht werden. Bye Norbert

Und alles nur weil die Cloud wieder was vorgibt. Ich seh grad: https://support.microsoft.com/de-de/topic/enable-support-for-aes256-cbc-encrypted-content-in-exchange-server-august-2023-su-add63652-ee17-4428-8928-ddc45339f99e

Im IIS ;) https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811/page/2#comments Da gibts folgenden Screenshot:

Evtl. wieder die Backend Zertifikatsbindung weg?

Nur wessen? :)

man könnte ja annehmen, dass die Tools für die Erstellung solcher Updates die feste Eingabe von solchen default principals explizit verweigern. Ist ja nicht das erste Mal, dass das zu Problemen geführt hat. Mal davon abgesehen dass in deren Workaround Script die schließende Klammer fehlt. Und andere Rechte gesetzt werden als die, die der Dummy User vom Setup erhält. ;) und man erwarten würde, dass die dann den Dummy User dort wieder entfernen. Boah

Manchmal kann man nur mit dem Kopf schütteln bei solchen Fehlern.

Jetzt gibt es einen workaround für nicht-englischsprachige Systeme. (Wieder mal hardcoded username verwendet, wie es scheint). https://support.microsoft.com/en-us/topic/exchange-server-2019-and-2016-august-2023-security-update-installation-fails-on-non-english-operating-systems-ef38d805-f645-4511-8cc5-cf967e5d5c75

Naja offenbar bei allen nicht englischen Installationen. ;)

Ja, deswegen mein Nachsatz oben. Hab auch noch keine Zeit gefunden das zu testen.

Microsoft hat ein neues SU für Exchange 2016/2019 veröffentlicht. https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811 Habs auch erst gelesen, deswegen kann ich noch nichts zur "Verträglichkeit" sagen. Bye Norbert

Dann hast du Windows Server 2019 oder 2022 ;) Da ist dein Problem. Du brauchst den privaten Schlüssel. Und wenn das Zertifikat mit einem neuen CSR erstellt wurde, ist die Frage, wo befindet sich der private key für das neue Zertifikat. ;)

Wenn keine Leerzeichen da sind, dann brauchst du auch nichts löschen. Da du hier nix kaputt machen kannst, sollst du den obigen Befehl ausführen und dort entweder die Seriennummer des NEUEN Zertifikat (oder den Thumbprint) dort einfügst. Dabei wird dann der private key wieder dem Zertifikat zugeordnet. Bye Norbert

Denen geb ich genau dieselbe Antwort. Ich werde die Fehler von MS Produkten nicht beheben (können)

Ja. Das geht. Ich glaub es liegt einfach daran, dass es ihnen mehr oder weniger egal ist. Es behindert sie bei Ihrer Arbeit. Sich mal ein .doc als .docx oder pdf (vor dem Versand) zu generieren hat ja nichts mit Aufwand an sich zu tun, sondern nur damit, dass man mal kurz drüber nachdenken müßte, was die IT Abteilung gesagt hat. Und daran scheitert es schon ganz am Anfang. Da hab ich noch nicht mal mit Systemen und automatisch erzeugten Dokumenten angefangen. In vielen Firmen wird ein Angebot oder ein Brief einfach kopiert umbenannt und dann geändert, weil die Leute nicht wissen wie Vorlagen funktionieren. Hauptsache in der Bewerbung steht drin Word und Excel Kenntnisse vorhanden. Gemeint ist da vermutlich in den meisten Fällen, dass sie word oder excel starten können, ohne sich die Finger zu brechen. Aber auch nur, wenn das Icon dazu auf dem Desktop liegt. Tja und da wär er nicht so schön "bunt" wie bei Exchange Online. ;) Bye Norbert

Vergiß Kategorien und arbeite einfach NICHT damit, wenn man auch noch postfachübergreifend damit hantieren will. Das hat noch NIE funktioniert und ich bezweifle, dass sich das jemals ändert.

LOL solange sogar MS selbst (bis vor kurzem) die Lizenzunterlagen als .xls rausschickt, wird das alles so gut wie nie mehr Sicherheit bringen, sondern - mehr Arbeit für die IT, die das den Usern und den Kunden erklären muss - mehr Frust und Umgehung auf beiden Seiten führen. Und ja ich hab das bereits durch. Am Ende ist die Lösung dann nicht, dass man modernere Formate erhält, sondern dass sich die Leute das per OneDrive, Dropbox oder per Privater Email austauschen. So funktionieren Nutzerhirne. ;) Das Ergebnis zählt und das ist leider ein anderes als der für die IT Sicherheit zuständige Mitarbeiter verfolgt. Du kannst uns aber gern auf dem Laufenden halten, denn natürlich freue ich mich über erfolgreiche Projekte dieser Sorte und gebe noch nicht ganz resigniert auf. :) Bye Norbert

Und wie sollte sie aktiv und bewußt offline durch ein anderes GPO ersetzt werden? Dazu müßte man ja online sein. Lokale Adminrechte (hebeln aber selbstverständlich im Zweifel alles aus, wenn man möchte).

Du hast die Antwort auch gelesen? Was willst du denn jetzt testen? Ja natürlich greift weiterhin die Domänen-GPO. Oder glaubst du ernsthaft, du wärst der erste, der auf die Idee kommt, ohne Netzwerk zu booten und dann wären alle Restriktionen weg?

Ja, nein. Was spricht dagegen einfach mal die Strippe ausm Netzwerk zu ziehen und zu schauen was dann nach einem Neustart wirkt?

Ich bezweifle, dass du das hinbekommen wirst. Aber ich lasse mich gern eines Besseren belehren. Denn im Zweifel generiert ja nicht Exchange Online den NDR, sondern der ursprüngliche Absenderserver und was der dann aus deinem Fehlercode generiert liegt nur begrenzt (oder gar nicht) in deiner Hand. Meine Erfahrung sagt was anderes. Nein. :)

Das ist vollkommen egal, was du da reinschreibst (oder auch nicht). Kein "normaler" User wird das lesen. Und der Abschnitt der mit "Informationen für den Administrator" zeigt alles an.

Habs dir mal per PM geschickt.