Lukikum

vor 9 Minuten schrieb NorbertFe:

Und dran denken die neueste Kemp Version 7.2.60.1 zu installieren. :)

Danke für den Hinweis ;)

vor einer Stunde schrieb cj_berlin:

Damit ist doch das Problem gelöst, oder?

Ja die Frage war praktisch nur ob das so funktioniert oder ob ich irgendwas übersehen habe ;)

vor einer Stunde schrieb testperson:

über ADFS

ADFS wird bei uns leider nicht in absehbarer Zeit passieren :(

Exchange 2019 on prem neuste CU/SU

Moin zusammen,

wir wollen unsere Exchange für externe so weit wie möglich einschränken. Ziel soll es sein, das abfließen von Postfächerinhalten so schwer wie möglich zu machen. Für OWA richten wir gerade MFA ein und ActiveSynch ist über die Device Quarantäne abgeischert.

Jetzt fehlt mir noch das abschalten MAPIoverHTTP und EWS.

Ich habe auf FrankysWeb den Guide für MAPI gefunden:
https://www.frankysweb.de/outlook-anywhere-nur-fuer-bestimmte-benutzer-erlauben/

Das ist etwas aufwändiger, da man für extern dann eine neue URL braucht. Hat aber den Vorteil, dass man sich aussuchen kann wer von extern noch zugreifen darf.

Der Vorteil ist für uns aber nicht von großer Bedeutung, weshalb ich nach einer etwas einfachereren Lösung suche:

Wir haben für unseren externen Zugriff einen dedizierten KEMP Loadmaster eingerichtet. Dort gibt es einen SubVs extra nur für das /mapi Verzeichnis. Wenn ich den deaktivierte, sollte das doch bereits ausreichend sein, richtig?

Das gleiche habe ich auch mit EWS vor, um Outlook for Mac mit einzubeziehen.

Lasst mich gerne wissen was ihr davon haltet oder ob ich irgendetwas übersehen habe.

Liebe Grüße
Lukas

vor 4 Minuten schrieb NorbertFe:

Warum legt man eigene Datenbanken für sowas an? Das sorgt doch genau für solche Probleme, wie du sie jetzt hast. ;)

Weiß ich nicht, habe die Struktur so geerbt. Gedanke dahinter war vermutlich die anderen Datenbanken von den riesen Mailboxes zu entlasten indem man eine eigene Datebank anlegt und die Mailboxes mit dem Archiv aufteilt.

 

vor 6 Minuten schrieb NorbertFe:

Was genau?

Warum auf der "DB-Archiv01" und "DB-Archiv02" nach der Migration jeweils eine Kopie der verschobenen Archive liegen.

vor 7 Minuten schrieb NorbertFe:

Was soll wo rausfliegen?

InPlaceArchiv von User XY soll aus "DB-Archiv01" raus damit da wieder mehr speicherplatz frei wird. Dafür habe ich sie ja auch eigentlicha uf die "DB-Archiv02" geschoben.

vor 13 Minuten schrieb mikro:

Ich meine die Mailbox Retention...

 

Okay die ist bei der DB 30 Tage. Also habe ich als Option die runterzusetzen oder 30 Tage zu warten.. Alles klar ich danke dir!

vor 3 Minuten schrieb mikro:

Moin, die wird je nach deiner Retentionzeit da immer noch ein wenig liegen ;) 

Das sie kleiner ist liegt daran das der Whitespace entfernt wird...

Gruß mikro

Ahhh okay. Ich gehe mal davon aus du meinst die DeletedItemRetention in den Datenbank Einstellungen?

Ex2019 on Prem latest cu/su. 4 Server, 1 DAG

Moin zusammen,

Ich habe am Montag für In-Place Archive eine extra Daten bank angelegt "DB-Archiv01". Die ist mir etwas zu voll gelaufen, weshalb ich noch eine weitere Datenbank "DB-Archiv02" auf einem anderem Volume angelegt habe.

Anschließend habe ich über ECP eine Migration Batch für 3 dicke Archive gestartet (Alle über 60GB). Nach 24 Stunden war der/die/das Batch fertig mit dem Status "Finalized". Error Message gab es keine, items keine geskipped. Beim überprüfen ist mir nichts aufgefallen und die GB Anzahl hat auch gepasst, keine User hatten Probleme.

24 Stunden später habe ich dann mit dem Befehl geschaut und gesehen, dass die Archive auf beiden Datenbanken sind, mit unterschiedlichen ItemCounts und Mailboxsize.
Get-MailboxDatabase -Identity "DB-ArchivXX" | Get-MailboxStatistics | Sort-Object TotalItemSize -descending | Select-Object DisplayName,ItemCount,@{name="MailboxSize";exp={$_.totalitemsize}} -first 25

Auf der User Mailbox wird als die Archivdatenbank die neue Datenbank angezeigt, dort ist auch der Itemcount größer, die Mailboxsize komischerweise kleiner als bei dem alten Archiv.

Habt ihr eien Idee woran das liegen kann? Ist das evtl. normal und ich muss ich etwas gedulden bis die alten Archive rausfliegen?

Schon mal danke für euren Input.

Liebe Grüße
Lukas

vor 6 Minuten schrieb Nobbyaushb:

Das script in dem Link von Frank Carius hast du gesehen?

Hi Nobby,

danke für den doppelten Hinweis. Ich denke mal du meinst das Approve-EASDevice.PS1 ? Ist genau das was ich gebraucht habe, ich danke dir!
 

vor 17 Stunden schrieb Squire:

Um wieviele User dreht es sich denn?

Ich schätze mal es werden so um die 150 Geräte sein. Also ein bisschen händische Arbeit aber machbar.

 

Exchange on prem 2019 latest CU


Moin zusammen,

um ActiveSync abzusichern wollen wir die Device Quarantäne in Exchange einführen. Nur stellt sich mir die Frage, ob/wie ich vorher unsere Apple Dienstgeräte hinzufügen kann. Wir benutzen Jamf und dort kann man einige Infos exportieren. Leider habe ich aber kein Command gefunden um direkt ActiveSyncDevices hinzuzufügen.

Alle Geräte in die Quarantäne laufen zu lassen und dann einzeln freizugeben stelle ich mir eher mühsam vor..

Kennt sich da jemand mit aus?

Liebe Grüße
Lukas

 

vor 6 Minuten schrieb testperson:

Guck im ECP doch mal unter dem Punkt "mobile" bzw. "Mobil"

Geil hab ich mir tatsächlich noch nie genauer angeschaut. Schade dass so was im Arbeitsalltag entgeht. Ich schaue mir das mal genauer an, aber das könnte echt eine kostenlose alternative zur active sync mfa sein. Da fehlt zwar vemutlich der SelfService, aber sollte bei uns noch überschaubar sein. Danke !!

vor 3 Minuten schrieb Dukel:

 

Ist doch schon da, seit CU13:

https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019

 

 

Uii das ist völlig an mir vorbei gegangen. Wir haben ADFS halt nicht eingerichtet, dneke aber dass der Aufwand zue iner komplett neuen MFA Lösung nicht viel unterscheiden wird. Hat jemand damit schon Erfahrung gemacht?

vor 11 Minuten schrieb testperson:

Evtl. wartet ihr ab, bis modern Auth für Exchange On-Premises da ist. Mit etwas Glück ist das ja schon im nächsten bzw. letzten Exchange 2019 CU drin. ;)

 

Ansonsten sehe ich auf den ersten, schnellen Blick keinen Vorteil gegenüber einer entsprechenden Quarantäne für die mobile Devices am Exchange.

Wie sieht so eine Quarantäne am Exchange denn aus? Gibt es einen Blog Post darüber?

Gerade eben schrieb NorbertFe:

Halb OT: Wie habt ihr denn Active Sync mit MFA realisiert?

Wir wollten das über Dualshield von dem Anbieter Deepnet realisieren. Der zweite Faktor wäre dann in dem Fall die Device ID. Habe ich aber noch nicht getestet. Über die Outlook APP soll es wohl nicht gehen, wir benutzen aber eh nur Apple Mail, da soll das funktionieren.

Umgebung Exchange 2019 on prem neuste CU/SU

Moin zusammen,

wir überlegen momentan Outlook (MAPI over HTTP) für außerhalb dicht zu machen und die User zum VPN zu zwingen (OWA und Active Sync soll mit MFA erhalten bleiben). Nun würde mich interessieren um wie viele User es sich dabei überhaupt handeln würde. Hat jemand eine Idee wie wir das auswerten könnten? Der Log Parser eignet sich bestimmt gut dafür, allerdings funktioniert meine Query nicht, da ich nicht weiß welchen LogType ich wählen muss (Habe leider kaum Erfahrung mit dem Parser):

SELECT COUNT(DISTINCT AuthenticatedUserEmail) AS NumUniqueUsers
FROM '[LOGFILEPATH]'
WHERE ClientIP= 'IP ADRESSE VOM DEDIZIERTEN KEMP LOADBALANCER'

Pfad:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\MapiHttp\Mailbox

Ich habe auch überlegt die IIS logs zu nehmen, allerdings weiß ich dort noch nicht ganz wie ich externe Mapi von internen Mapi unterscheiden kann.

LG
Lukas

vor 11 Minuten schrieb NorbertFe:

Reden wir hier wirklich über Outlook Anywhere (/rpc) oder über Mapi/Http (/mapi)? Und ist das jeweilis im Kemp auch verfügbar?

Ich dachte Zugriff von Externen Netzen bezeichnet man immer als Outlook Anywhere, mein Fehler. Es müsste MAPI sein. RPC is deaktiviert auf den Kemp

vor 1 Minute schrieb NorbertFe:

 

Die internen nicht? Wie regelst du das? Ist SSL Bridging konfiguriert und Extended Protection aktiv? Hat es schon mal funktioniert? Seit wann nicht mehr?

Die internen laufen über andere dedizierte KEMP Loadbalancer. Extended Protection ist aktiv. Das mit dem SSL Bridging ist ein guter Hinweis. Dafür haben wir bei den KEMP dasselbe Zertifikat hinterlegt, evtl. fehlt aber noch eine weitere Einstellung.

Das Problem ist das erste mal im Januar aufgefallen. Die Loadbalancer sind schon länger im Einsatz circa seit August 2023. Ich kann aber nicht ausschließen dass es nicht schon bei der Einführung Probleme gab.

Moin zusammen,

ich habe seit einigen Monaten dass Problem, dass neue Clients nicht mit Outlook Anywhere zurecht kommen.  Wenn der Cache Mode bei der Ersteinrichtung aktiviert ist, kommt die Meldung "Cannot start Microsoft Outlook. Cannot open the Outlook window" einziger fix bis jetzt ist im Online Mode zu bleiben. Im internen Netz gibt es keine Probleme.

Ist es ein bekanntes Problem? Ich konnte nichts wirkliches dazu finden.

Beim Remoteverbindungstest für Exchange gab es folgenden Fehler:

HTTP Status Code: 401 Unauthorized


Umgebung:
Exch 2019 on prem
Neustes CU und SU

Die externen Verbindungen laufen über einen KEMP Loadbalancer.

vor 3 Stunden schrieb Nobbyaushb:

Das geht meines Wissens nicht

Auto-Answer geht nur bei Inbound via Regel oder Tool

Danach ist mir nichts bekannt

Bleibt nur der Weg wie von dir beschrieben

Schade, trotzdem danke für die Antwort.

LG

Hallo zusammen,

gibt es bei exchange on prem 2019 die Möglichkeit Nachrichten im nachhinein vom Server beantworten zu lassen? Wir können aus Datenschutz nicht mehr auf das Postfach zugreifen, müssen aber allen eingegangen Mails der letzten 2 Wochen antworten, dass die ihre Mails bitte an ein anderes Postfach schicken sollen.

Alternativ würde mir nur einfallen, die Absender der letzten zwei Wochen durch die Nachrichtenverfolgung zu exportieren und darüber abzuarbeiten..

LG
Lukas

vor einer Stunde schrieb NorbertFe:

Konto nicht löschen, sondern im AD nur deaktivieren hilft auch. ;)

Ja stimme ich dir zu, allerdings kommen die Leute eher unerwartet zurück, da lässt sich das leider nicht vermeiden.

vor 3 Minuten schrieb MrCocktail:

X500 Adresse eintragen...

https://www.frankysweb.de/quick-dirty-imceaex-strings-in-x500-konvertieren/

Hi MrCocktail,

danke für die Blitzschnelle Rückmeldung. Ich schaue mir das mal und melde mich ob das Problem damit gelöst werden kann :)

Umgebung: Exch19 On prem neuste CU/SU

Moin zusammen,

es gibt bei uns schon seit einigen Jahren (bereits bei exch16 aufgetreten) folgendes Problem:

Wenn Leute z.B. in Ruhestand gehen und das Konto gelöscht wird, bleibt der Adressvorschlag noch im Client (Outlook2016) gespeichert. Wenn Sie dann z.B. aus dem Ruhestand zurückkehren und dann ein Konto mit der identischen E-Mailadresse bekommen, führt dieser alte Adressvorschlag zu NDR, weil die Adresse nicht richtig erkannt wird und stattdessen eher wie eine Art ID aussieht.

Ich weiß nicht ob der Bug so weit bekannt ist, wir haben als Workaround einfach immer gesagt dass die User den Adressvorschlag entfernen sollen. Dann war das Problem für den client beseitigt. Es wäre aber natürlich schön eine dauerhafte Lösung zu finden wo das Problem im besten Fall nicht mehr auftritt.

LG
Lukas

vor 1 Minute schrieb NorbertFe:

kannst zur Tagesordnung übergehen.

Alles klar, danke! Ich lass den Healtchecker mal drüber schauen und teste ein bisschen rum.

vor 1 Minute schrieb NorbertFe:

Wo genau ist jetzt dein Problem?

Ich habe beigebracht bekommen die Antivirus Software immer temporär zu deaktivieren, sobald ein SU eingespielt wird. Das wird von Microsoft auch so empfohlen:

"Temporarily disable any anti-virus software."

Um sicher zu gehen, dass das Update auch richtig installiert wird, wollte ich Fragen wie man es am besten neu installiert. Habe ich so noch nicht machen müssen.

Moin zusammen,

ich habe versehentlich das neuste SU mit aktiver Antivirus Software installiert. Es gab zwar keine Fehlermeldung oder ähnliches aber das muss ja nichts heißen.

Was ist nun am besten zu tun? Kann ich das Update einfach noch mal neu ohne avirus durchlaufen lassen?

LG
Lukas