NorbertFe

eine CA ist eine CA und kein ein Exchange ist ein Exchange und keine CA. Die beiden Dienste haben nichts auf der selben Maschine zu suchen. Genau wie ein DC ein DC ist und keine CA. ;)

Ab jetzt gehen auch alle anderen Protokolle außer OWA/ECP/MAPI per ADFS. https://techcommunity.microsoft.com/blog/exchange/update-on-exchange-server-adfs-modern-authentication-support/4338563 https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019 die deutsche Doku hängt noch etwas zurück.

Jetzt :) https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019

Ah.... https://gpsearch.azurewebsites.net/Default.aspx?PolicyID=16782 https://gpsearch.azurewebsites.net:/Default.aspx?PolicyID=16782 Wenn man Copy Link im Menü ausführt, dann schleicht sich da ein Doppelpunkt rein.

Natürlich auch für Server abschalten. Alles weg, was man nicht aktiv benutzen "will oder muss".

Ja, der geht bei mir normal auf. ;) Aber ich schick dir gern einen Screenshot:

Unabhängig davon, ob das wirkt oder nicht, gibts dafür natürlich auch eine richtige Richtlinie per admx. https://gpsearch.azurewebsites.net:/Default.aspx?PolicyID=16782 Musst du also nicht per GPP oder ähnlichem konfigurieren.

Dann weg damit ;)

Tjo.... mal synology anrufen ;)

Wäre ja auch eher interessant, welcher Prozess von der Diskstation sich irgendwie auf Ressourcen deiner Domain zugreifen will. Fallen mir ja nur andere SMB Shares oder LDAP usw. ein.

Schalte doch mal netlogon logging aktiv und schau da nach. Hat mir schon einige Male geholfen in solchen Fällen.

Wie sieht so eine Meldung im Eventlog denn aus?

Du könntest das Pipeline Tracing aktivieren: https://learn.microsoft.com/en-us/exchange/mail-flow/transport-logs/pipeline-tracing?view=exchserver-2019

Nicht einfach beide abschalten, sondern das richtige (siehe obigen Thread). Bin ich bei zwei Kunden schon auf die Nase gefallen, weil die VPN Lösung von Cisco das nutzte. ;)

Jupp, kommt aus einem Projekt, wo man nix auf dem DC installieren durfte ;)

Wenn man wireshark nicht auf einem dc installieren will, geht das übrigens auch mit netsh. https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/ das nur als Hinweis. zu Plotter usw. Das sind Funktionen, die man immer als erstes abschalten sollte. Gibt’s ja noch ein paar weitere, die bei Nichtnutzung im Idealfall nur Traffic verursachen und im worstcase Lücken öffnen die man ohne sie nicht hätte.

Solange man nicht genau weiß, welches Gerät da rumblökt, wirds natürlich immer schwer. Was spricht denn wireshark dazu, wer da broadcasts schickt?

Per gpo abschalten und dann mal mit wireshark schauen was noch zu finden ist.

Das ist ja auch sehr empfohlen, dass llmnr per gpo deaktiviert wird. :) netbios sollte afair bei nicht Verwendung von smbv1 sowieso nicht mehr zur Verfügung stehen.

Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen?

Niemals würde ich freiwillig einen AD Account in ein extern gehostetes System eingeben und schon gar nicht, wenns nicht mal mein eigenes System ist. Da würde ich maximal sowas wie Jan vorgeschlagen hat nutzen (Postmark). Achtung Meinungsäußerung: Wer sowas heutzutage noch immer verlangt und nur das anbietet, hat sowieso irgendwie die letzten 15 Jahre Spam und Antispammaßnahmen verpeilt. Und sowas ist für mich dann immer ein Grund zu hinterfragen, ob es der richtige Anbieter ist. Bye Norbert PS: Ich würde freiwillig auch nie SMTP Auth auf einem Exchange freigeben ins Internet. Wenn du das entsprechend einschränken kannst, dann könnte man _notfalls_ drüber reden, aber selbst das ist eher ne Notlösung. Hoster kompromittiert, schwups schon ist da ein Account zu deinem Exchange/AD in den Händen der falschen Leute.

Works as designed würde ich sagen. Habt ihr da was erwartet? ;)

und das hätttest du hier nicht einfach als Codeblock einfügen können? [PS] C:\Temp>GCM exsetup |%{$_.Fileversioninfo} ProductVersion FileVersion FileName -------------- ----------- -------- 15.01.2507.039 15.01.2507.039 D:\Exchange\bin\ExSetup.exe Stattdessen so einen unhandlichen Download?

Gibt so Firewalls (namentlich Sophos XGS) die diese Funktion nicht mehr haben. Im Gegentum zum Vorgänge Sophos SG ;)

Das denke ich mir auch manchmal, wenn ich im Büro ankomme. ;)