winmadness

Hallo Norbert,

vielen Dank für Deine Antwort. Da wir mittelfristig sowieso planen auf MS 365 umzusteigen ist der Einsatz von EOP naheliegend. Im Moment haben wir ein Produkt von ESET im Einsatz. Hier ist die Bedienung "suboptimal".

Wir haben einen MS Exchange Server 2016 On-Prem im Einsatz. Ich würde gerne den bestehenden Spam-Filter ablösen und MS 365 wie folgt verwenden:  über MS 365 Connectors unseren Exchange Server verbinden und darüber den gesamten SMTP Verkehr laufen lassen. Im Moment haben wir nur einige MS 365 Konten für externe Mitarbeiter und MS Teams im Einsatz. Zwei Fragen hierzu:

·       Reicht der MS 365 „Spamfilter“ oder benötige ich noch ein zusätzliches Produkt  auf dem MS Exchange Server

·       Soweit ich mich informiert habe benötigen wir mindestens ein Exchange Online Protection Abo für jedes Postfach, richtig?

Na ja die Lebenserfahrung zeigt dass man solche Dinge nicht geheimhalten kann. Aber das soll nicht unser Problem sein.

Hier noch ein Nachtrag bzgl. Hardware ID - mit Powershell auszulesen:

get-wmiobject Win32_ComputerSystemProduct  | Select-Object -ExpandProperty UUID

OK, verstanden. Was ich aber dann nicht verstehe ist das Grundproblem. So wie das klingt kann es sich nicht um ein schützenwertes Dokument handeln, wenn so viele Leute Zugriff erhalten. Also ich denke mit Geheimhaltung ist an einem "öffentlich Ort" nicht weit her, oder irre ich mich?

Nachtrag: Wenn Du bei der PS Script Lösung bleiben willst würde ich nicht die MAC Adresse verwenden sondern eine "eindeutige Hardware ID" verwenden. Leider kann ich hier nicht weiterhelfen da ich mich damit nicht beschäftig habe.  Evtl. das Passwort im Script verschlüsseln.

vor 7 Minuten schrieb Marc850:

in den Jahren mehrere Hundert Personen zu Gesicht bekommen

Und die nutzen alle den selben PC bzgl. der MAC? Oder hat jeder einen eigenen PC und Du musst das Skript entsprechend anpassen bzw. hunderte MAC Adressen eintragen?

Das stimmt nicht ganz - man kann durchaus aus einer exe-Datei mit etwas Aufwand ein unverschlüsseltes Passwort auslesen. Aber ich denke für Deine Anwender sollte der Schutz (evtl.) reichen. Aber das Problem bleibt, auch das Skript kann samt der PDF Datei kopiert und damit auf jedem Computer geöffnet werden. Die MAC-Adresse kann man einfach ändern (fünf Minuten googeln und es schafft jeder Laie). Was ich damit sagen will Dein Ansatz führt meiner Meinung nach in die falsche Richtung. Wenn jemand wirklich das Dokument kopieren und auf einem anderen Rechner öffnen will so kann er dies mit etwas Aufwand tun. Und wenn Du davon ausgehst dass ein Mitarbeiter das Passwort abfängt kannst Du auch davon ausgehen dass die Energie ausreicht um die MAC-Adresse zu ändern.

Mein Ansatz wäre ein technischer und organisatorischer. Ich würde die PDF Datei mit Passwort und den PDF eigenen Sicherheitseinstellungen versehen. Für jede berechtigte Person eine Kopie mit individuellem Wasserzeichen und Passwort erstellen. Des Weiteren das Dokument z.B. nur über OneDrive bereitstellen. Dort kann man das Downloaden / Kopieren und Drucken verhindern (bin mir aber nicht sicher ob das nicht ein findiger Anwender umgehen kann). Den Mitarbeiter auf das individuelle Wasserzeichen hinweisen mit dem Verbot der Weitergabe. Bei einem Leak weißt Du wer es war.

"Verschlüsselt" Du das Skript auch? Wenn nicht, dann kann jeder durch einen kurzen Blick in das Skript das Passwort ermitteln und somit das PDF Dokument öffnen.  Oder habe ich hier einen Denkfehler?

Besser wäre es doch die PDF eigenen Zugriffsbeschränkungen / Sicherheitseinstellungen zu verwenden. Also alle Einschränkungen bzgl. Drucken, Bearbeiten und Kopieren im PDF Dokument setzen. Dann hast Du den gleichen Effekt wie mit dem Skript mit dem Vorteil, dass Du das Passwort gezielt an berechtigte Personen weitergeben kannst. Mit der derzeitigen Lösung reicht in kurzer Blick in das Skript und jeder kann das Dokument öffnen. Und wenn Du das Skript nur an berechtigte Personen weiter gibst haben die trotzdem die Möglichkeit das Passwort aus dem Skript zu ermitteln.

Das große Problem bleibt, jeder der das Passwort hat (egal ob aus dem Skript ermittelt oder wie bei meinem Vorschlag von Dir mitgeteilt) kann das Dokument kopieren.

Outlook hat Selbstheilungskräfte. Nach und nach erschienen die Delegate Folder in meinen Postfach. Jetzt kann ich auch darauf zugreifen. Ich habe keine Änderungen am System vorgenommen, nur normal mit Outlook gearbeitet. Mal sehen wie lange das Wunder anhält.

Ein kurioser Fehler, evtl. findet sich eine Lösung.

Fehlerbild: Die per Automapping freigegebenen Postfächer (<Type>Delegate</Type>: Shared Mailbox, Postfächer anderer Benutzer mit Vollzugriff) werden in meinem Outlook (Version 2016, Windows 10, alle Updates installiert) nicht angezeigt. Das Archiv und öffentliche Ordner werden angezeigt. Und das nur auf  meinem Rechner. D.h. auf anderen Rechner sehe ich alle Postfächer.

Folgendes habe ich bereits ausprobiert:

• Klassiker: Profil neu anlegen (Online und Exchange Cache Modus)
• Outlook neu installiert
• Alle Profile gelöscht
• Alle Dateien im Ordner %appdata%\Local\Microsoft\Outlook  inkl. Inhalte Unterordner gelöscht
• Bei einem Postfach mein Recht auf Vollzugriff entzogen und wieder erteilt
• In der Autodiscover.xml Datei sind alle Postfächer korrekt mit dem XML Tag <AlternativeMailbox> bzw. <PublicFolderInformation> eingetragen (Beispiel siehe unten)
• Natürlich habe ich den Outlook „E-Mail Konfiguration testen …“ durchgeführt
• ein Postfach das Automapping entfernt und im Profil als zusätzliches Postfach eingehängt. Das Postfach wird zwar angezeigt aber wenn ich draufklicke erscheint die Meldung "Die Ordnergruppe konnte nicht geöffnet weren. Ein Clientvorgang ist fehlgeschlagen.

Mein Rechner ist über VPN (IPsec/IKEv2), alternativ OpenVPN Zugang (ebenfalls ohne Erfolg getestet) mit den Firmen-Lan verbunden. Outlook funktioniert sonst ohne weitere Probleme.

Das Fehlerbild legt nahe dass meine Outlook Installation das Problem  darstellt. Leider weiß ich nicht welche Konfigurationseinstellungen / Dateien ich noch löschen soll.

     <AlternativeMailbox>
        <Type>Delegate</Type>
        <DisplayName>Firmen Service</DisplayName>
        <SmtpAddress>xxx@xxx.com</SmtpAddress>
        <OwnerSmtpAddress>xxx@xxx.com</OwnerSmtpAddress>
      </AlternativeMailbox>

vor 18 Minuten schrieb winmadness:

Und das nur auf  meinem Rechner. D.h. auf anderen Rechner sehe ich alle Postfächer.

Nachtrag: mit dem Satz meine ich, dass ich auf einem anderen Rechner ein Profil mit meinem Postfach angelegt und erfolgreich getestet habe.

Fehler gefunden, ein Outlook Makro, welches den das Postfach öffnet verursacht die Fehlermeldung. Damit kein Outlook Fehler. Vielen Dank für die Hilfe. 

Im Adressbuch kann ich beide Einträge mit den unterschiedlichen Namen sehen also "Hans Mustermann" und "Hans Mustermann (Firma B)". Auch die Auswahl über das Adressbuch als "Von" Adresse funktioniert ohne Probleme. Ich habe mir auch mal die AD Attribute angeschaut, diese sind in allen Feldern unterschiedlich.

SimplyDisplayName ist in beiden Fällen leer. Der "Name" und "DisplayName" ist unterschiedlich.

Gerade eben schrieb mikro:

Was passiert wenn du ein neues Profil anlegen willst mit der Emailadresse?

Mikro 

Ein neues Profil anlegen fuktioniert, da hier die Mail-Adresse und nicht der Anzeigennamen verwendet wird. Aber sobald ich das neue Profil aufrufe kommt die Fehlermeldung. D.h. Outlook sucht nach einem Postfach "Hans Mustermann" und kann nicht zwischen "Hans Mustermann" und "Hans Mustermann (Firma B)" unterscheiden.

vor 5 Minuten schrieb mikro:

Moin, ich glaube du hast da was missverstanden oder ich verstehe deinen Post nicht. Für deine Gruppe kannst du kein mailprofil anlegen in Outlook. Das wählst du nur im von Feld aus. 

 

Gruss mikro

Hallo Mikro,

ich habe auch kein Mailprofil für die Gruppe angelegt. Wie beschrieben kann das bestehende Outlook Profil sich nicht mehr mit dem Postfach "Hans Mustermann" verbinden, sobald ich die Gruppe mit den Namen "Hans Mustermann (Firma B)" benenne.

PS: Ich habe in meinen Post ausdrücklich geschrieben, dass ich mich mit dem bestehenden Profil "Hans Mustermann" in Outlook anmelde, keine Erwähnung von einem "Hans Mustermann (Firma B)" Profil.

Hallo,

ich habe auf einem MS Exchange 2016 ein Standard Postfach mit dem Anzeigename "Hans Mustermann". Damit der Benutzer auch unter einer anderen EMail-Adresse senden kann, habe ich die Lösung von Frank umgesetzt. Der Gruppe habe ich den Anzeigennamen "Hans Mustermann (Firma B)" gegeben. Funktioniert soweit alles. Einzig MS Outlook 2016 macht Probleme. Wenn ich mit dem bestehenden Profil für "Hans Mustermann" einloggen will, kommt die Fehlermeldung siehe Bild (Anhang).

Wenn ich die Gruppe auf "Hans.Mustermann (Firma B)" umbennene kann ich das Outlook Profil wieder starten. Ich bin etwas verwundert darüber dass Outlook nicht zwischen "Hans Mustermann" und "Hans Mustermann (Firma B)" unterscheiden kann. Ich habe das Profil schon neu angelegt - gleiches Problem.

Mache ich hier etwas falsch bzw. gibt es eine Lösung hierfür, ohne den Namen zu "verunstalten"?

Du hast von einem "Outlook Konto" geschrieben. Bedeutet dies, Du hast kein neues Profil angelegt - wenn nicht, dann bitte mit neuem Profil testen.

Was ergibt ein ping auf euren Exchange-Server - wird hier die korrekte, interne IP Adresse angezeigt. Wenn Du die Website im Browser

https://autodiscover.firmendomain.de/autodiscover/autodiscover.xml 

aufrufst müsste ein Login-Fenster erscheinen. Wenn nicht, dann ist der Autodiscover-Dienst nicht erreichbar.

Alles klar. Du könntest aber auf den betroffenen Clients eine Webseite wie heise.de testen (mit ping -6 bzw pind -4 und nslookup), welche sowohl über IPv4 als auch v6 erreichbar ist. Wenn ich Dich richtig verstanden habe kann eine solche Seite korrekt angezeigt. Dies liegt die Vermutung nahe das eure Webseite entweder nicht über das Internet-Interface augerufen wird (deshalb die Frage nach dem Intranet) oder die DNS Einträge nicht korrekt sind. Denn grundsätzlich gebe ich Dir Recht das ein Client zuerst IPv6 und dann IPv4 verwendet, wenn er korrekt konfiguriert ist. Du kannst, wie schon beschrieben, mit Hilfe der Seite "Test IPv6" prüfen, welches Protokoll verwendet wird.

Mit einem Registry Eintrag kannst Du den Autodiscover auf MS 365 explizit deaktivieren. Hier der Eintrag für MS Office 2016

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover
DWORD: ExcludeExplicitO365Endpoint
Value = 1

Ausführliche Infos von Microsoft zu dem Thema "Autodiscover".

Eine Frage aus "Eigeninteresse": Warum habt Ihr euch für einen eigenen Exchange Server entschieden und verlasst die Cloud? (Fast) alle gehen den umgekehrten Weg

Es ist immer gut gleich im Eingangsposting den Fehler so genau wie möglich zu beschreiben. Mit Deinem zweiten Posting hast Du das Problem exakter beschrieben. Eine Frage hätte ich noch:

Zitat

Was mich aber wundert, z.B. www.heise.de ließ sich immer aufrufen.

D.h. eure Webseite ist auf den betroffenen Clients seit der Ergänzung des AAAA Records nicht mehr erreichbar, aber eine Seite wie heise.de mit IPv4 und IPv6 Records sind erreichbar - richtig? Wenn ja, wird eure Website evtl. über das Intranet (z.B. VPN-Verbindung) angesprochen? Was sagt der ping und nslookup auf einem der betroffenen Clients.

Hast Du schon mal Clients getestet, welche sich nicht über die RDS Farm verbinden sondern direkt aus dem LAN auf das ERP System zugreifen? Somit kannst Du erst einmal eingrenzen, ob die RDS Farm oder das ERP System das Problem ist.

Die Standard-Schriftart kannst Du im Edge in "Einstellungen -> Darstellung -> Schriftarten" anpassen. Schaue dort mal nach bzw. verändere mal die Standard-Schriftart.

Wie Du richtig erkannt hast sind bei einigen Routern das IPv6 Protokoll nicht aktiviert. Über diese Website kannst Du auf den Clients testen, ob das IPv6 Protokoll unterstützt wird.

Auf den Clients mit IPv6 Unterstützung kannst Du über die Befehle

ping -6 a.domain.de
nslookup a.domain.de

übprüfen ob der Webserver über IPv6 erreichbar ist bzw. welche IP-Adressen verfügbar sind.

Über die MXToolbox kannst Du die DNS Records (z.B. AAAA Lockup) für Deinen Webserver abfragen.

Falls Du über eine DNS Anfrage die korrekte IPv6 Adresse für Deinen Webserver erhälst, dieser aber über einen ping bzw. Browser nicht über IPv6 erreichbar ist, dann liegt es an den Einstellungen auf dem Webserver. Hier mal die Firewall-Settings, Konfiguration der Netzwerkkarte, Switch, Provider Unterstützung etc. prüfen, ob IPv6 aktiviert ist.

Bgzl. Firefox hilft evtl. dieser Mozilla Supportartikel weiter.

Zitat

Danke für eure Hilfe, aber die Seiten kenne ich alle schon auswendig, haha

Nur auswendig kennen genügt offensichtlich nicht, man muss die Tipps von stackoverflow auch anwenden  Wenn ich in Deinem PS Script für die Option "-Compatibility" das Argument "Win8" gegen "V1" austausche dann wird die Test-Task auf meinem Windows 10 System problemlos angelegt.

Wenn Du "-Compatibility Win8" benötigst, dann musst Du wie im Thread beschrieben, ein Ablaufdatum angeben. Diesen Hinweis erhält Du übrigens auch, wenn Du manuell in der Aufgabenplanung einen Aufgabe anlegst mit "Konfigurieren für Windows 10" und "... Aufgabe löschen nach 'Sofort'".

Hallo,

schaue Dir mal das Projekt Caldavsynchronizer an. Als Outlook Add-On kann man damit Kalender und Kontakte synchronisieren. Ich verwende dies für mein privates Postfach (kein Exchange).