NorbertFe

Grad neulich erst mit shimadzu erlebt. Kommt zwar mit Möglichkeit von windows 11, aber nur 22h2 das ja gerade out of Support ging. Erst auf mehrfache Rückfrage: ja doch 24h2 ist seit wenigen Wochen freigegeben aber noch nicht in der installationsdoku erfasst. Von ltsc vermutlich noch nie gehört. Und das sind alles Dinge die ja auch unter Windows 10 schon seit 10 Jahren ähnlich laufen. Trotzdem sind die Hersteller nicht in der Lage oder willens das Problem im Sinne der Kunden (und deren Sicherheit) anzugehen.

Naja da haste dann zusätzlich noch den Message queuing Service drauf 😆

Interessant, denn bisher ist eine der Voraussetzungen für die Installation die hier: Web-Lgcy-Mgmt-Console und die ist in Windows 2025 ja nicht mehr vorhanden. https://learn.microsoft.com/en-us/windows-server/get-started/removed-deprecated-features-windows-server-2025 Und wenn die eigentlich schon "lange" nicht mehr benötigt wird, dann ist das eigentlich nur wieder ein Beispiel, wie lange (CU14 kam im Februar 2024 raus) unsinnige/unnötige Altlasten ungetestet mitgeschleppt werden. :/ Vor allem hat genau das jetzt bei einigen meiner Kunden zur Folge, dass ich eben nicht in den letzten 3 Monaten Windows Server 2025 für neue Exchange Installationen (ja sowas gibts gerade häufiger wegen Vorbereitung auf SE) genutzt habe und somit ggf. nochmal auf 2025 neu installieren darf. Und ich bin sicherlich nicht der Einzige den das annervt, könnte ich mir denken.

Ja natürlich ;)

Und wieso dann nicht 32bit nehmen?

Jehova

Welche Add-Ons funktionieren denn nur in 32bit?

Ja, indem du die Rechte per Powershell vergibst ohne Automapping. Steht doch da. ;)

Nein, aber wenn du nicht automapping nutzt, sondern Vollzugriff ohne automapping vergibst, kann sich der Nutzer das Info Postfach als eigenes Postfach einbinden und dann passt sofort alles.

Man beachte meine Signatur. ;)

Alles klar. Bye Norbert PS: Standard

Und selbst wenn nicht, darfst du sie nur im Zeitraum einer gültigen Action pack Mitgliedschaft nutzen afair.

Es geht nicht um das Löschen des Zertifikats sondern das Entfernen des alten Zertifikats aus der auth-config. Schau doch nach, dann weißt du es.

Weil es lokal definiert ist und somit bei Kompromittierung auch lokal aufgehoben werden kann. Im Gegensatz zu einer externen Firewall.

Hilft es die privaten IP Bereiche zu anonymisieren? ;) Naja. Sinnvoller wäre es natürlich sowas nicht per GPO zu steuern, weil das in meinen Augen falsche Sicherheit vorgaukelt. Normalerweise würde man sowas am Router/FW vor dem Host regeln. Ob das dann die Edge Firewall oder eine interne ist hängt von der Umgebung ab. Wenn du es nicht per GPO regeln magst aber auch nicht per Firewall könnte man natürlich auch einfach die Default Route ändern und nur die internen Kreise sauber routen.

Was ist denn das für ein Benutzerkonto, auf dem du den Haken setzen möchtest. Kann es sein, dass da Verweigerungen greifen oder die Vererbung der Sicherheit deaktiviert wurde?

Wenn du die Authconfig geändert hast, ist da üblicherweise der Schritt dabei das bisherige Zertifikat aus der Konfiguration zu entfernen. Da du dazu nichts geschrieben hast, ist das meinerseits nur eine Vermutung.

Du hast das auth Zertifikat gewechselt und vermutlich das alte sofort entfernt. Das führt genau zu diesem Problem. Geduld ist eine Tugend. ;)

GPO könnte man genauso auslesen. :p Also das ist kein wirkliches Argument. War aber meinerseits auch rein interessehalber gefragt.

Dann einfach bis morgen warten. Vermutlich geht’s dann einfach. Ich weiß, das ist schwer, aber alles andere wird nicht helfen und nur mehr kaputtmachen. wenn es morgen immer noch nicht gehen sollte, kann man weiterschauen.

Ich meine die Firewallregeln und nicht den Task. ;) Ja, und? Und wieso an zwei Stellen? Wieso sollte man sowas im userkontext überhaupt versuchen? Wäre ja selbst wenn es funktionieren sollte irgendwie kontraproduktiv.

Tjo, wenn man an Dingen „rumschraubt“… ich hätte mehrere Stunden evtl. Konkreter fassen sollen == durchaus 12h und mehr. funktioniert nur owa nicht, oder gar nix (Outlook)? Bin da ebenfalls der Meinung @mikros. Du machst höchstens mehr kaputt.

Und wieso nicht einfach per gpo?

Da nimmt man das, in dem der Name und Autodiscover steht mit dem sich die Clients unterhalten. Wenn du die auth-config geändert hast, ja. Im iis machst du am besten gar nichts. Da kann man höchstens mal prüfen, was im back-end konfiguriert/gebunden ist. Alle anderen Einstellungen immer nur im ecp oder ems konfigurieren.

Und das auth cert ist normalerweise weder an smtp noch iis gebunden. Und wenn man das auth-cert wechselt kann es durchaus mehrere Stunden dauern bis owa wieder funktioniert.