NorbertFe

Natürlich bleiben die bestehen. Du solltest halt deine sync-Rules vorab (vor der ersten Synchronisation) mal zurechtlegen, damit du eben auch nur den einen user synchronisierst und weißt, warum und wieso.

Was hat denn ein Versuch jetzt gekostet?

Ich hätte einfach mal ein get-mailbox versucht und das dann da reinpipen. Hab grad keinen pc zur Hand.

Aha, und wo hapert es da? Geht nicht oder ähnliches hilft leider wenig weiter. https://learn.microsoft.com/en-us/powershell/module/exchange/import-recipientdataproperty?view=exchange-ps&redirectedfrom=MSDN hier mal als Start. Der im Übrigen auch im Artikel oben verlinkt ist. Den Rest schaffst du sicher alleine. bye norbert

Ah Enterprise Server :) Das ergibt dann die Differenz. Sorry, hab oben die 190€ für User gelesen. War wohl schon "spät" ;)

Wurde ja auch nichts anderes behauptet. ;)

Die Probleme hast du aber nur wegen deiner Mischung von onprem/cloud. Warum tut man sich das also ohne triftigen Grund an? Braucht man ja nicht. Ist halt eine Option, wenn man onprem will oder braucht.

Was ist denn das Ziel? Warum nicht alles onprem bzw. alles in der Cloud?

Was im Übrigen aber auch mindestens genauso lange bereits dokumentiert ist. ;) https://learn.microsoft.com/de-de/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-extended-protection?view=exchserver-2019#extended-protection-and-modern-hybrid-configuration

Ja aber ich fand das Tool von ms etwas einfacher in der Bedienung als wireshark. 😉

Ich sehe da eine Diskrepanz von ca. 40 CALs. Also eine Aussage stimmt nicht und das könnte evtl. den Preisunterschied erklären, weil ich mit 150 CALs gerechnet hab.

Das erscheint mir irgendwie recht teuer für 150 User. Was will er denn da pro CAL und Server (3 Years) haben? Nein ich will kein Angebot dagegensetzen. :) Ich würde das nur mal in Frage stellen, dass knapp 40k tatsächlich der Preis ist. Wieso 3 Jahre? Office 2024 ist gerade erschienen und hat 5 Jahre Lifecycle.

Ihr braucht kein Windows und auch sonst keine Funktionen die im M365 E3 drin sind? Dann Pech und es bleibt dann für euch bei Exchange + SA und Exchange CAL + SA. Günstiger als was denn? Es gibt genau 2 (ZWEI) bisher von MS bekanntgegebene Lizenzierungsoptionen, die hier bereits erwähnt wurden.

Nein mit dem wird nur der Bind durchgeführt und der User der die Authentifizierung durchführt gesucht. ;) Mach dir mal ein Wireshark oder ähnliches auf und schau dir den LDAP Traffic im Falle einer Anmeldung an (im Zweifel dafür mal kurz auf LDAP ohne S umschalten). Hier mal mit netsh und dem NetworkMonitor (den es aber nur noch in archive.org gibt afair) https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/

Welcher User?

Weil die Gruppe PräWindows 2000 so ziemlich alle Attribute im AD lesen kann (abgesehen von confidental attributes). Das kann sich bei Citrix' Kundenverhalten ja bald ändern. ;)

Hat aber den Nachteil, dass man dann mit der Kiste eben Mitglied des AD ist und somit ggf. auch dort neue Angriffspunkte schafft, die LDAPs oder Radius in der Form nicht haben. Bei ADFS reicht es den Group-Managed Service Account in die Gruppe zu packen unter dem die ADFS laufen. Aber im Zweifel muss man eben mal das Logging im AD hochdrehen. Lösbar sollte es auf jeden Fall auch ohne die Prä-Windows 2000 Gruppe sein.

Indem ein LDAP Bind durchgeführt wird. Hier sieht man das ganz gut: https://connect2id.com/products/ldapauth/auth-explained Für Radius findest du es sicher auch irgendwo. Das ist gut, aber warum kommst du zu dieser Erkenntnis erst jetzt? ;) Ich mein, der Name der Gruppe sollte doch Indikator genug sein. Dazu müssen aber nicht die Authentifizierten User in der Gruppe stecken, da tuts zur Not auch das RD Gateway oder der NPS. Und selbst das könnte man sich vermutlich sparen wenn man die Windows-Autorisierungszugriffsgruppe nutzt.

Nö, macht man eigentlich schon länger nicht mehr so. LDAP Abfragen oder RADIUS sind auch ohne Domainjoin jederzeit möglich (letzteres setzt natürlich einen RADIUS Server voraus). Der User braucht schon ein paar "besondere" Rechte. Vor allem falls Mitgliedschaften abgefragt werden sollen/müssen. Leider steckt bei vielen aber die Gruppe der Authentifizierten User in der Gruppe Prä-Windows 2000. ;) Und die darf viel zu viel lesen. Den Rest versteh ich nicht so ganz, was du da "ableiten" willst usw.

Ah sorry falschrum gedacht. Ich ging davon aus, dass die Shared Mailbox in der Cloud liegt. Aber unabhängig davon: es ist nicht supported :) es kann meist funktionieren, aber wenn nicht, hast du Pech. ;)

Kommt darauf an, was du hören magst. ;) Produkte sind meiner Erfahrung nach für ihren Zweck gut geeignet. Ob sie in deiner Situation helfen kann ich aber nicht sagen :)

Nein. Und deswegen macht es ja jetzt auch keinen Sinn sie JETZT zu kaufen (es sei denn sie ist für den Betrieb notwendig Stichwort Lizenzmobilität) Du kannst also jetzt auf 2019 upgraden und musst eben alles neu kaufen Exchange SE plus SA plus SE CALs plus SA. Deswegen ist eine SA auch _nahtlos_ zu führen. Du kannst sie nicht verlängern. Sonst würde ja jeder immer nur dann die SA kaufen, wenn er meint sie mal günstig zu benötigen. Also SA ist am Ende auch nur ein Abo Modell. Alternativ kannst du natürlich auch auf M365 E3 Lizenzen umstellen, da wäre dann Exchange SE und CALs schon enthalten.

Ist es nicht. Wenn die SA zum Erscheinen von Exchange SE aktiv ist, brauchst du sie erst verlängern, wenn der Ablauftermin näher rückt. Wenn ihr keine SA für die CALs habt, dann müsst ihr die ebenfalls erwerben. Falls ihr CALs mit SA habt, dann natürlich nur die SA rechtzeitig verlängern. Dann müßt ihr die SA verlängern. Kann dir niemand sagen, ob das so ist und außerdem wird dir niemand zu einem Lizenzverstoß raten. Bye Norbert

Hast du den Link gelesen? Warum zitiere ich denn daraus, wenn du hinterher fragst wieso und weshalb? Du sollst per exo powershell die Gruppe auf dem exo Postfach neu berechtigen.

Steht die Gruppe denn noch drin mit den Rechten? Ansonsten kann man generell dazu raten keine Berechtigungen oder übergreifend zu pflegen. ich kann dir aber bestätigen, dass zumindest bei Neueintragung der Gruppe auf der cloudseite die Berechtigungen dann auch irgendwann funktionieren müssen. https://learn.microsoft.com/en-us/exchange/permissions