roccomarcy

Gibt es denn eine Reihenfolge, die man einhalten sollte? Das Problem könnte mir ja abends wieder ereilen, wenn ich die Settings aktiviere aber umliegende Systeme evtl. gar nicht mehr die GPO abrufen können. Oder ist die Vermutung quatsch?

Guten Morgen,

ich habe die Richtlinie nun aktiviert (gehabt) und musste Sie leider zurücksetzen, da reihenweise Zugänge im AD (aufgrund zu vieler Fehlanmeldungen) gesperrt wurden. Ehrlicherweise muss ich sagen, dass die GPO auch heute Vormittag zum Tagesbeginn aktiviert bzw. geändert habe.

Liegt es ggf. daran, dass die GPO noch nicht von allen Systemen übernommen wurden? Auf dem DC wurden Fehler wie  12294 verzeichnet.

Das Konto von XXX in der SAM-Datenbank konnte aufgrund eines Ressourcenfehlers, z. B. ein Schreibfehler auf der Festplatte, nicht gesperrt werden. Der Fehlercode ist in den Fehlerdaten zu finden. Konten werden nach mehrmaliger falscher Kennworteingabe gesperrt. Setzen Sie deshalb das Kennwort für dieses Konto zurück.

Da hast du natürlich vollkommen Recht. Das macht den Test natürlich obsolet. Das heißt für mich ist der Weg in der DDP und DDCP die Konfiguration wie folgt zu setzen.

Microsoft network client: Digitally sign communications (always) = enabled

Microsoft network client: Digitally sign communications (if server agrees) = enabled

Microsoft network server: Digitally sign communications (always) = enabled

Microsoft network server: Digitally sign communications (if client agrees) = enabeld

Risiko hattet Ihr ja nun als Gering eingestuft (bei aktuellen Systemen).

Du meinst, weil in der DDP die Konfiguration "wenn Client/Server" zustimmt auf aktiviert gesetzt ist? Gilt dann aktuell nur nicht für die DCs, oder? Dort ist es ja via DDCP deaktiviert.

Ich würde es gerne vorab einmal testen in einer kleineren Umgebung, bevor ich das über alle Systeme ausrolle. Daher die Frage, wie ich das angehen könnte. Also ob ich einfach ein neues GPO-Objekt baue, die Einstellungen dort hinterlege und an eine bestimmte OU hänge.

Hi Norbert,

die von dir genannte Konfiguration erfolgt in der DDP? Und die aktuellen Einstellungen aus der DDCP entferne ich bzw. setze ich auf "Nicht konfiguriert" zurück, oder wie wird damit umgegangen?

Könnte ich die Settings ggf. erstmal in einem kleinen Bereich testen, sodass ich die Einstellungen in eine sep. GPO packe und diese auf einen Teilbereich von Systemen (z.B. ein Standort) linke? 

Hi,

könntet Ihr mir noch eine Empfehlung geben, wie die Konfiguration der beiden Richtlinien am besten angepasst werden sollten? Also sozusagen die Zielkonfiguration.

Hi NorbertFe,

das sollte ich ausschließen können. Die Randsysteme (NAS, usw) sind soweit aktuell. Vor-Windows 10 Systeme haben wir auch nicht im Einsatz. Das heißt ich könnte die beiden Richtlinien anpassen - was wäre da die aktuelle Konfiguration?

Hi cj_berlin,

das Thema der "Performance" habe ich auch schon gelesen - allerdings würde ich erstmal behaupten, dass sich das nicht bemerkbar macht. Wir haben relativ potente Systeme.

Guten Morgen zusammen,

folgende Ausgangslage:

• Windows Server 2016 / 2019 (mehrere Domain-Controller, Dateiserver, App-Server, usw)
• Exchange 2016
• Windows 10 Pro
• verteilt über vers. Standorte

Ich musste mit erschrecken feststellen, dass die SMB Signierung nicht aktiviert ist. Das Problem würde ich unter anderem gerne beheben, jedoch bin ich am überlegen, was das für Auswirkungen auf den Betrieb haben könnte. Die aktuelle Konfiguration ist wie folgt.

Default Domain Policy:

Default Domain Controller Policy:

Meine Frage wäre nun, aktiviere ich die Signierung über die o.g. Policys oder baue ich mir für die stufenweise Aktivierung Richtlinien und verlinke diese auf Systeme der einzelnen Standorte. Ich denke aber, ich müsste den Schalter "komplett" umlegen, da bei der stufenweisen Anpassung die DDCP nicht berücksichtigt werden kann.

Vielleicht könntet Ihr mir den Tip geben, auf was ich die Richtlinien in den jeweiligen GPOs setzen müsste. 

Moin,

das hatte ich ja gemacht - Default ist Port 25 und ich hab 2525 genommen. Kann aber auch sonst irgendwas eingeben,

das mag er nicht. Er stört sich daran, dass auf dem neuen Connector und halt auf dem vorhandenen (Default) das Binding auf 0.0.0.0/255.255.255.255 sitzt.

Ich habe erstmal nur einen anderen Port für den Connector ausgewählt und den IP-Bereich im Standard belassen (0.0.0.0/255.255.255.255).

Guten Morgen,

ich wollte unter Exchange 2016 einen zusätzlichen Empfangsconnector konfigurieren,

welcher über "besondere" bzw. abweichende Einstellungen (anderer Port, Tarpit, usw) zum Default verfügt. Leider lässt sich dieser nicht konfigurieren, da ich immer folgende Fehlermeldung erhalte.

Die Clients bzw. Anwendungen, die diesen Connector verwenden soll, verwenden immer eine unterschiedliche Absender-IP, daher kann ich das darauf nicht eingrenzen. Es spielt auch keine Rolle ob Hub- oder Frontend-.

Wie lässt sich das Problem am "elegantesten" umgehen? :)

Hallo zusammen,

wie in den anderen Threads bereits besprochen,

wurde ein Exchange 2010 zu Exchange 2016 migriert. Das hat auch ohne (größere) Probleme funktioniert.

Ich habe allerdings bei einem Postfach das Problem, dass Outlook immer wieder nach dem Passwort fragt und den Anwender nicht in das Postfach lässt.

Das ist eine etwas "besondere" Konstellation, da sich de Anwender in einer anderen Domäne befindet als die restlichen Mitarbeiter.

Nichts desto trotz sollte über Outlook Anywhere aber eine Verbindung möglich sein, oder? Als Auth-Protokolle ist NTLM konfiguriert und Basic deaktiviert.

Mit anderen Profilen funktioniert es wunderbar (die sich aber auch in der selben Domäne befinden).

Danke

Hallo,

kurze Rückmeldung, falls zukünftige auf diesen Thread stoßen und genauso 'unsicher' sind.

Die Installation verlief ohne große Probleme und Störungen der Anwender. Habe direkt nach der Installation die URLs sowie das Zertifikat angepasst, also Vorschlag #3 aus Franky's Guide.

Gruß

Guten Morgen,

das Problem hat sich über Nacht "aufgelöst".

Scheint, wie von euch gesagt, einfach mit abwarten zu lösen sein.

Versteh allerdings nicht, wie Microsoft sowas passieren kann. Ich meine im Netz gelesen zu haben, dass das mit dem CU21 gekommen ist und ich habe ja direkt CU22 installiert.

Nunja, habt ein schönes Wochenende!

Ja, ich habe das Skript von Frank angewendet. Dort wird dem ja ein Zertifikat zugewiesen. Dann muss ich wohl abwarten - ist ja "zum Glück" nicht weiter tragisch,

da der 2016 noch nicht in Betrieb ist und einen Ex2010 ablösen soll.

ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1 / frische Installation

Moin,

bekomme o.g. Fehlermeldung bei einem frisch installierten Exchange 2016 CU22 auf Windows Server 2016.

Habe bereits das System durchgestartet, ein neues Zertifikat wie im Internet beschrieben erstellt und eine Stunde abgewartet. Allerdings keine Veränderung - auch nach einem iisreset nichts.

Das Zertifikat ist dem SMTP zugeordnet. Mein öffentliches Zertifikat, welches den internen/externen URLs entspricht, ist IMAP + POP + IIS zugeordnet. Spricht da was gegen?

Genau, kommuniziert ist das auch bereits.

Es ging mir nur noch einmal um o.g. Vorgehen.

Ich habe das schon zwei - drei Mal gemacht in kleineren Umgebungen, da war es nie ein Problem.

Die Frage war hier dann nur wg. der "Größe" und den verteilten Standorten.

Aber wenn du/ihr sagt, dass das kein größeres Problem darstellt, dann würde ich die Installation zum Feierabend starten und direkt im Anschluss die URLs + Zertifikat konfigurieren.

Nicht groß,

Ein Exchange 2010

7 Standorte

~ 500 Clients.

Moin,

ich habe mir das noch einmal durch den Kopf gehen lassen. Variante 3 könnte ich ja ohne große Probleme vollziehen, oder nicht?
Split-DNS wurde ja erfolgreich konfiguriert, dann könnte ich zum Feierabend/arbeitsarmen Zeit Exch2016 installieren und direkt Zertifikat und die URLs hinterlegen.

Das sollte für die Anwender ja keine Probleme machen und auch Outlook sollte weiterhin mit dem alten Exchange kommunizieren, da im DNS nichts verändert wird.

Liege ich richtig?

Was mir an Vorschlag 2 gerade auffällt - ich entferne die beiden genannten Einträge während der Installation,

wie bekomme ich die dann aber wieder hinein? Manuell? Oder später über die Konfiguration der URLs, usw?

https://www.frankysweb.de/exchange-2016-probleme-bei-der-installation-migration-vermeiden/

Oder wäre es dann nicht doch sinniger einfach Vorschlag 3 zu nehmen. Wie macht Ihr das?

Umgebung ist nur ein Ex2k10 + 7 Standorte.

Gerade eben schrieb mikro:

Strange, ich mache das nur so und habe damit noch nie ein Problem gehabt ;)

 

Wo importierst du denn das Zertifikat hin? Lokaler Computer -> Eigene Zertifikate?

vor 2 Minuten schrieb NorbertFe:

Das kann man tagsüber machen. Den scp sollte man dann aber wirklich fix ändern. ;) 

Okay, ich würde Franky's Vorschlag Nummer 2 folgen und während der Installation im AD den SCP entfernen. Lässt sich das ggf. mit PowerShell beschleunigen? :-D

https://www.frankysweb.de/exchange-2016-probleme-bei-der-installation-migration-vermeiden/

vor 2 Minuten schrieb mikro:

Moin,

Du kannst das während der Arbeitszeit machen, wenn Du darauf achtest dem Exchange vor der Installation schon das richtige Zertifikat zu verpassen.

Gruß mikro

Wie kann ich das denn bewerkstelligen?

Guten Morgen,

empfiehlt es sich die Installation von Exchange 2016 für eine Migration in einer arbeitsarmen Zeit durchzuführen,

oder kann die Installation auch tagsüber durchgeführt werden? Ich spiele auf das "Risiko" bzgl. SCP an.

Außerdem noch eine Frage,

in diversen MFPs und anderen Geräten steckt die IP-Adresse des jetzigen Exchange. Ist es bedenkenlos möglich,

die IP-Adresse der beiden Exchange-Systeme zu tauschen um zu vermeiden, dass wir jedes Gerät anfassen müssen?

Alternativ habe ich überlegt einen kleinen, internen Postfix zu installieren, der den Versand für solche Geräte übernimmt.

Oder evtl. ein CNAME auf den jeweiligen Exchange legen. Das würde in Zukunft die Arbeit ersparen.

Eine (dumme) Frage habe ich aber noch. In der DNS-Konfiguration habe ich jetzt für mail.firma.de und autodiscover.firma.de

die interne IP des Exchange angegeben - das ist soweit korrekt, oder? Wenn dort die ext. IP hinterlegt werden müsste, hätte ich mir den Tanz ja sparen können ... ?