Lukikum

Danke für den Hinweis ;)

Ja die Frage war praktisch nur ob das so funktioniert oder ob ich irgendwas übersehen habe ;)

ADFS wird bei uns leider nicht in absehbarer Zeit passieren :(

Exchange 2019 on prem neuste CU/SU Moin zusammen, wir wollen unsere Exchange für externe so weit wie möglich einschränken. Ziel soll es sein, das abfließen von Postfächerinhalten so schwer wie möglich zu machen. Für OWA richten wir gerade MFA ein und ActiveSynch ist über die Device Quarantäne abgeischert. Jetzt fehlt mir noch das abschalten MAPIoverHTTP und EWS. Ich habe auf FrankysWeb den Guide für MAPI gefunden: https://www.frankysweb.de/outlook-anywhere-nur-fuer-bestimmte-benutzer-erlauben/ Das ist etwas aufwändiger, da man für extern dann eine neue URL braucht. Hat aber den Vorteil, dass man sich aussuchen kann wer von extern noch zugreifen darf. Der Vorteil ist für uns aber nicht von großer Bedeutung, weshalb ich nach einer etwas einfachereren Lösung suche: Wir haben für unseren externen Zugriff einen dedizierten KEMP Loadmaster eingerichtet. Dort gibt es einen SubVs extra nur für das /mapi Verzeichnis. Wenn ich den deaktivierte, sollte das doch bereits ausreichend sein, richtig? Das gleiche habe ich auch mit EWS vor, um Outlook for Mac mit einzubeziehen. Lasst mich gerne wissen was ihr davon haltet oder ob ich irgendetwas übersehen habe. Liebe Grüße Lukas

Weiß ich nicht, habe die Struktur so geerbt. Gedanke dahinter war vermutlich die anderen Datenbanken von den riesen Mailboxes zu entlasten indem man eine eigene Datebank anlegt und die Mailboxes mit dem Archiv aufteilt. Warum auf der "DB-Archiv01" und "DB-Archiv02" nach der Migration jeweils eine Kopie der verschobenen Archive liegen. InPlaceArchiv von User XY soll aus "DB-Archiv01" raus damit da wieder mehr speicherplatz frei wird. Dafür habe ich sie ja auch eigentlicha uf die "DB-Archiv02" geschoben. Okay die ist bei der DB 30 Tage. Also habe ich als Option die runterzusetzen oder 30 Tage zu warten.. Alles klar ich danke dir!

Ahhh okay. Ich gehe mal davon aus du meinst die DeletedItemRetention in den Datenbank Einstellungen?

Ex2019 on Prem latest cu/su. 4 Server, 1 DAG Moin zusammen, Ich habe am Montag für In-Place Archive eine extra Daten bank angelegt "DB-Archiv01". Die ist mir etwas zu voll gelaufen, weshalb ich noch eine weitere Datenbank "DB-Archiv02" auf einem anderem Volume angelegt habe. Anschließend habe ich über ECP eine Migration Batch für 3 dicke Archive gestartet (Alle über 60GB). Nach 24 Stunden war der/die/das Batch fertig mit dem Status "Finalized". Error Message gab es keine, items keine geskipped. Beim überprüfen ist mir nichts aufgefallen und die GB Anzahl hat auch gepasst, keine User hatten Probleme. 24 Stunden später habe ich dann mit dem Befehl geschaut und gesehen, dass die Archive auf beiden Datenbanken sind, mit unterschiedlichen ItemCounts und Mailboxsize. Get-MailboxDatabase -Identity "DB-ArchivXX" | Get-MailboxStatistics | Sort-Object TotalItemSize -descending | Select-Object DisplayName,ItemCount,@{name="MailboxSize";exp={$_.totalitemsize}} -first 25 Auf der User Mailbox wird als die Archivdatenbank die neue Datenbank angezeigt, dort ist auch der Itemcount größer, die Mailboxsize komischerweise kleiner als bei dem alten Archiv. Habt ihr eien Idee woran das liegen kann? Ist das evtl. normal und ich muss ich etwas gedulden bis die alten Archive rausfliegen? Schon mal danke für euren Input. Liebe Grüße Lukas

Hi Nobby, danke für den doppelten Hinweis. Ich denke mal du meinst das Approve-EASDevice.PS1 ? Ist genau das was ich gebraucht habe, ich danke dir!

Ich schätze mal es werden so um die 150 Geräte sein. Also ein bisschen händische Arbeit aber machbar.

Exchange on prem 2019 latest CU Moin zusammen, um ActiveSync abzusichern wollen wir die Device Quarantäne in Exchange einführen. Nur stellt sich mir die Frage, ob/wie ich vorher unsere Apple Dienstgeräte hinzufügen kann. Wir benutzen Jamf und dort kann man einige Infos exportieren. Leider habe ich aber kein Command gefunden um direkt ActiveSyncDevices hinzuzufügen. Alle Geräte in die Quarantäne laufen zu lassen und dann einzeln freizugeben stelle ich mir eher mühsam vor.. Kennt sich da jemand mit aus? Liebe Grüße Lukas

Geil hab ich mir tatsächlich noch nie genauer angeschaut. Schade dass so was im Arbeitsalltag entgeht. Ich schaue mir das mal genauer an, aber das könnte echt eine kostenlose alternative zur active sync mfa sein. Da fehlt zwar vemutlich der SelfService, aber sollte bei uns noch überschaubar sein. Danke !!

Uii das ist völlig an mir vorbei gegangen. Wir haben ADFS halt nicht eingerichtet, dneke aber dass der Aufwand zue iner komplett neuen MFA Lösung nicht viel unterscheiden wird. Hat jemand damit schon Erfahrung gemacht? Wie sieht so eine Quarantäne am Exchange denn aus? Gibt es einen Blog Post darüber?

Wir wollten das über Dualshield von dem Anbieter Deepnet realisieren. Der zweite Faktor wäre dann in dem Fall die Device ID. Habe ich aber noch nicht getestet. Über die Outlook APP soll es wohl nicht gehen, wir benutzen aber eh nur Apple Mail, da soll das funktionieren.

Umgebung Exchange 2019 on prem neuste CU/SU Moin zusammen, wir überlegen momentan Outlook (MAPI over HTTP) für außerhalb dicht zu machen und die User zum VPN zu zwingen (OWA und Active Sync soll mit MFA erhalten bleiben). Nun würde mich interessieren um wie viele User es sich dabei überhaupt handeln würde. Hat jemand eine Idee wie wir das auswerten könnten? Der Log Parser eignet sich bestimmt gut dafür, allerdings funktioniert meine Query nicht, da ich nicht weiß welchen LogType ich wählen muss (Habe leider kaum Erfahrung mit dem Parser): SELECT COUNT(DISTINCT AuthenticatedUserEmail) AS NumUniqueUsers FROM '[LOGFILEPATH]' WHERE ClientIP= 'IP ADRESSE VOM DEDIZIERTEN KEMP LOADBALANCER' Pfad: C:\Program Files\Microsoft\Exchange Server\V15\Logging\MapiHttp\Mailbox Ich habe auch überlegt die IIS logs zu nehmen, allerdings weiß ich dort noch nicht ganz wie ich externe Mapi von internen Mapi unterscheiden kann. LG Lukas

Ich dachte Zugriff von Externen Netzen bezeichnet man immer als Outlook Anywhere, mein Fehler. Es müsste MAPI sein. RPC is deaktiviert auf den Kemp