RobertWi

Um zu testen, ob wir das auch wissen. Die richtigen schweren Fragen kommen dann jetzt vermutlich.

Moin, domain-joined Clients: Set-Clientaccessserver NAME_DES_SERVERS -Autodiscoverserviceinternaluri KORREKTE_URL Nicht Domain Clients: Sorge dafür, dass die richtigen URLs im Zertifikat sind (besser), oder nutze im DNS einen SRV-Eintrag (funktioniert nicht mit jedem Endgerät)

Und eine komplett andere Suche. Daher im Gegenteil: Wenn eh aktualisiert wird, würde ich genau dieses Problem nicht mehr suchen.

CAL unterlegen normalerweise keinem "Concurrent Use" Model. Sie sind faktisch einem Menschen zugeordnet -> für jeden potentiellen Mensch eine CAL.

Korrekt. Sind ja "User-CAL", keine "User pro Server-CAL". Wenn man schon mal ein Lizenzthema hat, dass sich so eindeutig beantworten lässt, wundert das nicht. :)

Moin, Windows-CALs brauchst Du pro Mensch oder pro zugreifendes Gerät, nicht pro Server. Daher: die Windows-CAL hast Du doch schon, weil Du ja AD hast.

Moin, sowohl Exchange 2003, also auch Outlook 2003 sind nicht mehr supportet und der Einsatz bei einem sicherheitskritischen Thema wie E-Mail daher irgendwas zwischen naiv und fahrlässig. Was genau erwartest Du Dir von den Fachleuten hier als Antwort, außer: Bring das auf einen aktuellen, supporteten Stand?

Passwörter können, wenn sie "abhanden" gekommen sind, auch von normalen Usern benutzt werden. Um einen Benutzer zu aktivieren braucht es aber mehr oder weniger administrative Berechtigungen.

Korrekt. Nein. Nur das, was Du auch im EAC siehst. Exchange führt da keinen Zähler. Das könnte man über die Nachrichtenverfolgung rausbekommen, ist aber aufwendig.

Und was hast Du da überhaupt für Regeln? Nach welchen Kriterien wird denn weitergeleitet? Eventuell geht das auch effektiver als Transport-Regel.

Automapping deaktivieren -> http://www.msblog.eu/exchange-2010-sp2-automapping-deaktivieren/ Einbindung über Systemsteuerung ins Outlook Profil Automapping wird selektiv deaktivert und danach verschwindet das Postfach automatisch, wenn Outlook neugestartet wird. In Outlook das VON-Feld einblenden und manuell umstellen. Da gibt es keine Option, es ist entweder immer das Funktionspostfach oder immer der eigene Absender. Erstellen: Ja. Automatisch: Hängt vom Typ der Regel ab. "Client-only" Regeln gehen wie immer nur mit geöffnetem Outlook. Das geht auch.

Moin, warum Dein EDV-Dienstleister in DEINEM Fall keine öffentlichen Ordner benutzt hat, solltest Du ihn selbst fragen. Ich kenne allerdings genügend Gründe dagegen und ein paar dafür. Für ÖO: - Sofort im Outlook enthalten, ohne dass der Anwender was tun muss - Nur eine Funktion, also nur Posteingang oder Kalender Gegen ÖO: - "Merkwürdige" Gelesen/Ungelesen Behandlung - blöde Arbeit für den Admin (auch mit Ex 2013 nicht besser, die alten Probleme wurden gegen neue ausgetauscht) - keine Automatische Vorbelegung des Absenders - keine automatische Verschiebung der gesendeten Mail in den ÖO - deutlich weniger Regeln - kein einfacher, echter Cache Mode - kein Zugriff mit mobilen Clients - keine eigene Signatur Für Funktionspostfächer: - dank Automapping automatische Einbindung, ohne Eingriff durch den Anwender - automatische Vorbelegung des Absenders (wenn Automapping deaktiviert und PF manuell eingebunden) - automatische im korrekten gesendete Objekte Ordner (wenn Automapping deaktiviert und PF manuell eingebunden, sonst über einen OL_Regkey) - automatische eigene Sigatur (wenn Automapping deaktiviert und PF manuell eingebunden) - echter Cache Mode (wenn Automapping deaktiviert und PF manuell eingebunden) - Regeln, wie im Postfach (wenn Automapping deaktiviert und PF manuell eingebunden) - Zugriff mit mobilen Clients Gegen: - alle schönen Funktionen nur nach Deaktivierung Automapping und manuellem einbinden - bringt alles mit, was ein Postfach hat, auch wenn es man es nicht braucht (dann können zum Beispiel Kontakte im falschen Postfach landen, wenn man nicht aufpasst) Im Endeffekt führt die Liste dazu, dass ich zu 95% mit Funktionspostfächern arbeitet, und nur sehr selten mit ÖO.

Das ist das "fehlerhafte" Exchange Zertifikat, nicht das der CA. Sieht man doch am Namen, oder? Das der CA siehst Du nur an einem Client OHNE Fehlermeldung in der Kette, oder Du holst es Dir aus der CA, wie DocData schreibt.

Vielleicht hat ja jemand noch eine zündende Idee, würde mich auch interessieren. Ich hab zumindest bisher selbst nichts gefunden.

Moin, ich habe die "Hand" (bei Ol 2013 sind das zwei Pfeile) an ganz vielen Ordner, die ich garantiert noch nie freigegeben hatte, oder sonst irgendwie an den Berechtigungen gespielt habe. Irgendeine Systematik konnte ich da noch nicht entdecken. Mittlerweile ignoriere ich die einfach.

Moin, welchen Patchstand hat der Exchange? Reicht es eventuell, den Transport-Dienst neuzustarten? Was steht im SMTP-Protokoll?

Ja, mache. Ich konfiguriere natürlich grundsätzlich so, wie es der Hersteller vorschreibt. Meistens funktioniert es dann sogar.

Siehe hier: http://docs.blackberry.com/en/admin/deliverables/63985/BES10_v10.2.3_Configuration_Guide_en.pdf Seite 115.

Wobei das in diesem Fall nichts geholfen hätte, weil auch die zahlenden Kunden betroffen waren. Es sind alle fraglichen Domänen geändert worden, egal ob kostenlos oder bezahlt.

Warum gab es denn bei einer neuen Installation schon ein Zertifikat? Der Speicher ist da eigentlich komplett leer. Da scheinen also Reste von irgendwas anderem auf dem Server gewesen zu sein.

Moin, der User "serviceAccount" (den man für solche Dinge explizit anlegen sollte), bekommt im RBAC die Rolle "ApplicationImpersonation" zugewiesen. Er kann dann von der Software benutzt werden, um eine fremde Identität anzunehmen ("Impersonierung") und mit deren Berechtigung zu arbeiten. Das wird zum Beispiel von Blackberry benutzt, wenn Du Mails über BB schreibst. Dann machst das eigentlich nicht Du, sondern der BB-Service, da das ja über den BB läuft. Beim Empfänger wurde dann der BB-Service als Absender stehen. Durch die Impersonierung übernimmt der Service Deine Person und beim Empfänger stehst Du als Absender drin. UM-Lösungen benutzen das auch gerne, damit Vociemail-Calls nicht vom UM-Server, sondern scheinbar vom Anrufer kommt (wenn der in der gleichen Organisation sitzt). Ein Beispiel, dass jeder kennt, ist Vollzugriff. Nimmst Du Outlook, bleibst Du der eigentlicher User. Nutzt Du aber OWA, wirst Du quasi zum neuen Postfach. Das ist auch der technische Grund, warum Senden Als dann nicht mehr wirksam ist: Ich BIN die andere Person geworden. Auch hier wird Impersonierung benutzt. Siehe auch hier: http://technet.microsoft.com/de-de/library/dd776119(v=exchg.150).aspx

Moin, Du sollst ja auch nicht das Exchange Zertifikat beim Client importieren, sondern das der CA. Am besten gehst Du von einem internen Client auf OWA und schaust Dir das Zertifikat an. Dann solltest Du im Zertifikatspfad darüber die CA sehen. Öffne es und exportiere es in eine Datei. Und die wird dann bei den Clients in der vertrauenswürdigen Stammzertifizierungsstellen importiert. Bei internen (sprich Domain Clients) musst Du das nicht machen, weil hier das Zertifikat automatisch via GPO verteilt wird, nachdem Du eine AD-integrierte CA installiert hast.

Moin, ok, warum so kompliziert? Es sind nicht alle Domains betroffen. Richte Dir bei no-ip. einfach einen neuen Host auf eine der nicht betroffenen Domains ein. Danach musst Du natürlich entweder Dein DNS ändern (wenn Du mit CNAMEs arbeitest) oder das Konto im iPhone neu verbinden auf den neun Namen. Aber Du musst halt nicht mit einem neuen Anbieter arbeiten.

Moin, bei welcher Art von "Installation" bekommst Du denn diesen Fehler?

Ich kann Deine Probleme nachvollziehen. Aber ist Aufgabe von Leuten wie uns als "externe Berater" den Kunden klar zu machen, dass auch KMU IT nicht für umsonst bekommen und ein gewisses Maß an Technik auch ein gewisses Maß an Geld kostet. Exchange ist ein tolles Produkt, aber das hat nun mal Anforderungen. Wenn er die nicht erfüllen will oder kann, dann kann halt kein Exchange einsetzen. Der GF kommt ja auch nicht auf Idee, einen LKW zu kaufen, wenn er niemanden hat, der ihn fahren kann. Und er weiß, dass er hier also weiteres Geld ausgeben muss. Es ist wichtig, dass man den Leuten klar macht, dass gute und stabile IT eben auch kostet. Und brauchen dann zwingend Exchange? Sie rechnen sich irgendwelche Vorteile davon aus, sind aber nicht bereit, in den Aufwand zu investieren. Dann wäre Office365 zum Beispiel auch eine Möglichkeit. "Wasch mich, aber mach mich nicht nass" funktioniert nirgendwo, auch nicht in der IT. Das wäre zum Beispiel eine Möglichkeit und erlaubt. Ermöglicht schon mal die sinnvolle Trennung von DC und Exchange. Dazu noch eine weitere VM mit SQL (braucht aber auch eine weitere Lizenz und eventuell einen größeren Server). Da fehlt dann zwar noch HA und DR, aber es ist schon mal eine deutlich bessere Rollentrennung. Das kann man nicht pauschal sagen, weil es von Produkt zu Produkt unterschiedlich ist DC und Exchange bringen zum Beispiel Verfügbarkeit mit. Für einen Fileserver und SQL könnte man Hyper-V-Replication nehmen. Man kann das aber auch auf ein SAN packen und Hyper-V clustern. Für einen DC gilt der Satz "ein DC ist ein DC ist ein DC" genauso. Dort sind auch manche Dinge nicht mal supported, z.B. ein Hyper-V. Definiere "groß". Alles, was ich aus Deinen Sätzen immer herauslese ist, dass die ANFORDERUNGEN groß sind, aber nicht die Möglichkeiten! Ich hätte auch gerne einen Pheaton, mein Geld reicht aber leider nur für einen Golf. Wieso? Sie wollen doch eine bestimmte LEISTUNG haben. Wieso kann man dann nicht sagen, dass kostet xx.xxxx Euro? Ebene. Es ist ja auch in seinem Sinne, wenn alles sauber läuft und nicht ständig bei jedem Update was schiefgeht und immer wieder ein (teurer!) Berater ins Haus muss, der das repariert. Merke: Auch in der IT gilt - wer billig kauft, kauft doppelt. (damit meine ich nicht, dass Du billig bist, sondern nur, dass Kunden oftmals nur auf den Preis schauen und im nachhinein böse überrascht werden). Richtig. Und sobald mir klar wird, dass da eine gewisse Beratungsresistenz vorliegt, habe ich mir die Freiheit erlaubt, dem Kunden die Wahl zu lassen, entweder meine Expertise anzuerkennen oder sich jemand anderen zu suchen. Und natürlich führt das öfter auch "zu jemand" anderen, aber damit kann ich gut leben. Ich habe aber auch schon oft den anderen Fall erlebt, wo ich Exchange Installationen "aufgeräumt" habe, die der kleine IT-Laden um die Ecker (der neben Server auch Webseiten und PHP macht, Drucker verkauft und Xboxen aufstellt) verbockt hat. Schmale Gradwanderung - gut ausgedrücket! Also lege ich alles daran, den Grat zu verbreitern. Und nicht darin, nicht abzustürzen. Anyway: Ist glaube, die Gedanken sind klar geworden. Ich bin auch realistisch und weiß, wie die Praxis aussieht und dass die "Theorie nur theoretisch bis zur ersten Praxiserfahrung" gilt. Aber ein den Willen, das zu verbessern, habe ich trotzdem noch.