NorbertFe

Die Meldung kommt afaik über Citrix, da ist dann eine Anmeldung über RDP nicht erlaubt. Dass TS und DC keine besonders sichere Konfiguration darstellt, weißt du hoffentlich selbst. :)

Nach 13 Jahren hast du das gleiche Problem und noch 2003 im Einsatz? Ich würde vorschlagen du eröffnest einen neuen Thread und verlinkst ggf. auf diesen hier. ;)

Ah danke für die Info. Bei mir sind UPN (linker Teil) und SAMAccountname identisch.

Wie schon gesagt, bei mir ist das nicht notwendig, deswegen kam ja meine Rückfrage. ;) Ich aktiviere alle meine User nur mittels enable-Mailbox m.mustermann (und ja der hat hinterher den Alias m.mustermann).

Ja das sagen alle, bis der erste mit so einem Namen kommt und einem das Namenskonzept um die Ohren fliegt. :) (Ja Nebenschauplatz). Für alles andere hast du ja jetzt ein Beispiel.

Naja ohne zu wissen, wie du deine User so anlegst, schwer nachzuvollziehen. Wenn ich einen User anlege, dann hat der den Alias 1. Buchstabe Vorname.Nachname. Wenn das bei dir nicht so ist, müßte man es mal testen, woran das liegt. Alternativ dann eben wie oben angegeben vorgeben (nur war das bei mir bisher nie notwendig). Übrigens hast du mit dem SAMAccountName dann aber Pech, wenn deine User mehr als 20 Zeichen mit Vorname, Nachname und Punkt zustande bringen. ;) Und das ist gar nicht mal so selten.

Wie gesagt, normalerweise ist der Alias gleich dem SAMAccountname. Oder ist das bei dir anders?

Ja aber das kann man ja einschränken auf den Docusnap Server.

Per Default wird der Alias eigentlich immer wie der SAMAccountName aussehen. Also eigentlich reicht enable-mailbox mueller -targetdatabase EDB01

Schön find ich ja die beiden Blogs: http://blog.fosketts.net/2012/02/16/cifs-smb/ https://stealthpuppy.com/smb-not-cifs/

Ich kenne die nicht, aber ich bezweifle, dass heutzutage noch irgendein "modernes" Gerät wirklich CIFS spricht. :p Wobei ich nach diverser Recherche dazu komme, dass SMBv1 und CIFS wohl synonym sind, bzw. CIFS dann die MS Implementierung von SMBv1. Man möge mich korrigieren. :)

Nö, ich hab die und ich seh sie auch regelmässig auf WIndows Server 2016. Nur leider hab ich noch nicht rausgefunden, wann genau die getriggert wird. Auch in 1607 gabs meines Wissens nach schon die Wartungszeitpläne für die Updates. Ich hab grad kein LTSB zur Hand, aber ich meine, dass man damit noch ein wenig tunen konnte.

Naja solange das bei Netapp noch CIFS heißt, wundert mich auch gar nix. :p ;) Jeder doofe Windows Server und Client signiert seit Jahren und den SMB Traffic und ich behaupte mal, dass die wenigstens das deaktiviert haben. Und auch Netapp schreibt ja, dass die Performancebeeinflussung stark schwanken kann. Ich würde also einfach testen, wie es dort vorgegeben ist. Ich sehe den Sicherheitsgewinn deutlich vor evtuellen 1-4% Performanceverlust (geratene/gewürfelte Werte). Bye Norbert

Das funktioniert auf Dauer garantiert nicht sinnvoll, weil eben der Autodiscover-Prozess nicht vom Linux Spamfilter auf die beiden verschiedenen Exchangesysteme verteilen kann. ;) Meiner Meinung nach ginge es, wenn du für jede Domain noch A.emaildomain.com und B.emaildomain.com anlegst und den Nutzern aus diesen Domains dann jeweils auch eine gültige Emaildomain zuweist und im public und internen DNS dann die Autodiscover Einträge entsprechend anlegst. Dann könnte man sogar Federation Trust konfigurieren. Bye Norbert

Das kann man ja konfigurieren, so dass Dokusnap weiterhin funktioniert, oder nicht?

Und was sagt man dann? "Versuchen Sie es in 2 Minuten nochmal. Alternativ, wenn das alles immer so kritische Systeme sind, dann stimmt halt die Ausführung in nicht redundanter Form nicht. :)

Und das merkt wer?

Der Failovertyp ändert nichts am Problem. Meiner Meinung nach ist Failover trotzdem sinnvoll, nur muß man eben die Stolpersteine kennen und vermeiden. Dann läuft das relativ stressfrei.

Gibt es denn da tatsächlich noch Probleme beim SMB Signing, oder ist das nur ein Bauchgefühl aus vergangener Zeit (2003 SP1)?

Nein, aber den Wunsch, den gibts schon ewig.

Auf welchem Server?

Dann solltest du den hub Transport sowohl innen wie außen stoppen, denn ohne Edge Abo lehnt der Edge alles ab, da hilft die queue gar nix ;)

Dann mach das nicht in einem Zeitraum mit viel mailflow ;)

Deswegen ja Skripten und als task. ;) ja ich weiß, dass das dann trotzdem noch manuell ist.

Dann hast du was falsch gemacht, oder die vorherige Konfiguration war schon so zertorft, dass man noch etwas mehr aufräumen müßte. Aber insgesamt ist "funktioniert nicht" eben keine sehr hilfreiche Fehlerbeschreibung. ;)