Lukikum

Danke für den Hinweis ;)

Ja die Frage war praktisch nur ob das so funktioniert oder ob ich irgendwas übersehen habe ;)

ADFS wird bei uns leider nicht in absehbarer Zeit passieren :(

Exchange 2019 on prem neuste CU/SU Moin zusammen, wir wollen unsere Exchange für externe so weit wie möglich einschränken. Ziel soll es sein, das abfließen von Postfächerinhalten so schwer wie möglich zu machen. Für OWA richten wir gerade MFA ein und ActiveSynch ist über die Device Quarantäne abgeischert. Jetzt fehlt mir noch das abschalten MAPIoverHTTP und EWS. Ich habe auf FrankysWeb den Guide für MAPI gefunden: https://www.frankysweb.de/outlook-anywhere-nur-fuer-bestimmte-benutzer-erlauben/ Das ist etwas aufwändiger, da man für extern dann eine neue URL braucht. Hat aber den Vorteil, dass man sich aussuchen kann wer von extern noch zugreifen darf. Der Vorteil ist für uns aber nicht von großer Bedeutung, weshalb ich nach einer etwas einfachereren Lösung suche: Wir haben für unseren externen Zugriff einen dedizierten KEMP Loadmaster eingerichtet. Dort gibt es einen SubVs extra nur für das /mapi Verzeichnis. Wenn ich den deaktivierte, sollte das doch bereits ausreichend sein, richtig? Das gleiche habe ich auch mit EWS vor, um Outlook for Mac mit einzubeziehen. Lasst mich gerne wissen was ihr davon haltet oder ob ich irgendetwas übersehen habe. Liebe Grüße Lukas

Weiß ich nicht, habe die Struktur so geerbt. Gedanke dahinter war vermutlich die anderen Datenbanken von den riesen Mailboxes zu entlasten indem man eine eigene Datebank anlegt und die Mailboxes mit dem Archiv aufteilt. Warum auf der "DB-Archiv01" und "DB-Archiv02" nach der Migration jeweils eine Kopie der verschobenen Archive liegen. InPlaceArchiv von User XY soll aus "DB-Archiv01" raus damit da wieder mehr speicherplatz frei wird. Dafür habe ich sie ja auch eigentlicha uf die "DB-Archiv02" geschoben. Okay die ist bei der DB 30 Tage. Also habe ich als Option die runterzusetzen oder 30 Tage zu warten.. Alles klar ich danke dir!

Ahhh okay. Ich gehe mal davon aus du meinst die DeletedItemRetention in den Datenbank Einstellungen?

Ex2019 on Prem latest cu/su. 4 Server, 1 DAG Moin zusammen, Ich habe am Montag für In-Place Archive eine extra Daten bank angelegt "DB-Archiv01". Die ist mir etwas zu voll gelaufen, weshalb ich noch eine weitere Datenbank "DB-Archiv02" auf einem anderem Volume angelegt habe. Anschließend habe ich über ECP eine Migration Batch für 3 dicke Archive gestartet (Alle über 60GB). Nach 24 Stunden war der/die/das Batch fertig mit dem Status "Finalized". Error Message gab es keine, items keine geskipped. Beim überprüfen ist mir nichts aufgefallen und die GB Anzahl hat auch gepasst, keine User hatten Probleme. 24 Stunden später habe ich dann mit dem Befehl geschaut und gesehen, dass die Archive auf beiden Datenbanken sind, mit unterschiedlichen ItemCounts und Mailboxsize. Get-MailboxDatabase -Identity "DB-ArchivXX" | Get-MailboxStatistics | Sort-Object TotalItemSize -descending | Select-Object DisplayName,ItemCount,@{name="MailboxSize";exp={$_.totalitemsize}} -first 25 Auf der User Mailbox wird als die Archivdatenbank die neue Datenbank angezeigt, dort ist auch der Itemcount größer, die Mailboxsize komischerweise kleiner als bei dem alten Archiv. Habt ihr eien Idee woran das liegen kann? Ist das evtl. normal und ich muss ich etwas gedulden bis die alten Archive rausfliegen? Schon mal danke für euren Input. Liebe Grüße Lukas

Hi Nobby, danke für den doppelten Hinweis. Ich denke mal du meinst das Approve-EASDevice.PS1 ? Ist genau das was ich gebraucht habe, ich danke dir!

Ich schätze mal es werden so um die 150 Geräte sein. Also ein bisschen händische Arbeit aber machbar.

Exchange on prem 2019 latest CU Moin zusammen, um ActiveSync abzusichern wollen wir die Device Quarantäne in Exchange einführen. Nur stellt sich mir die Frage, ob/wie ich vorher unsere Apple Dienstgeräte hinzufügen kann. Wir benutzen Jamf und dort kann man einige Infos exportieren. Leider habe ich aber kein Command gefunden um direkt ActiveSyncDevices hinzuzufügen. Alle Geräte in die Quarantäne laufen zu lassen und dann einzeln freizugeben stelle ich mir eher mühsam vor.. Kennt sich da jemand mit aus? Liebe Grüße Lukas

Geil hab ich mir tatsächlich noch nie genauer angeschaut. Schade dass so was im Arbeitsalltag entgeht. Ich schaue mir das mal genauer an, aber das könnte echt eine kostenlose alternative zur active sync mfa sein. Da fehlt zwar vemutlich der SelfService, aber sollte bei uns noch überschaubar sein. Danke !!

Uii das ist völlig an mir vorbei gegangen. Wir haben ADFS halt nicht eingerichtet, dneke aber dass der Aufwand zue iner komplett neuen MFA Lösung nicht viel unterscheiden wird. Hat jemand damit schon Erfahrung gemacht? Wie sieht so eine Quarantäne am Exchange denn aus? Gibt es einen Blog Post darüber?

Wir wollten das über Dualshield von dem Anbieter Deepnet realisieren. Der zweite Faktor wäre dann in dem Fall die Device ID. Habe ich aber noch nicht getestet. Über die Outlook APP soll es wohl nicht gehen, wir benutzen aber eh nur Apple Mail, da soll das funktionieren.

Umgebung Exchange 2019 on prem neuste CU/SU Moin zusammen, wir überlegen momentan Outlook (MAPI over HTTP) für außerhalb dicht zu machen und die User zum VPN zu zwingen (OWA und Active Sync soll mit MFA erhalten bleiben). Nun würde mich interessieren um wie viele User es sich dabei überhaupt handeln würde. Hat jemand eine Idee wie wir das auswerten könnten? Der Log Parser eignet sich bestimmt gut dafür, allerdings funktioniert meine Query nicht, da ich nicht weiß welchen LogType ich wählen muss (Habe leider kaum Erfahrung mit dem Parser): SELECT COUNT(DISTINCT AuthenticatedUserEmail) AS NumUniqueUsers FROM '[LOGFILEPATH]' WHERE ClientIP= 'IP ADRESSE VOM DEDIZIERTEN KEMP LOADBALANCER' Pfad: C:\Program Files\Microsoft\Exchange Server\V15\Logging\MapiHttp\Mailbox Ich habe auch überlegt die IIS logs zu nehmen, allerdings weiß ich dort noch nicht ganz wie ich externe Mapi von internen Mapi unterscheiden kann. LG Lukas

Ich dachte Zugriff von Externen Netzen bezeichnet man immer als Outlook Anywhere, mein Fehler. Es müsste MAPI sein. RPC is deaktiviert auf den Kemp

Die internen laufen über andere dedizierte KEMP Loadbalancer. Extended Protection ist aktiv. Das mit dem SSL Bridging ist ein guter Hinweis. Dafür haben wir bei den KEMP dasselbe Zertifikat hinterlegt, evtl. fehlt aber noch eine weitere Einstellung. Das Problem ist das erste mal im Januar aufgefallen. Die Loadbalancer sind schon länger im Einsatz circa seit August 2023. Ich kann aber nicht ausschließen dass es nicht schon bei der Einführung Probleme gab.

Moin zusammen, ich habe seit einigen Monaten dass Problem, dass neue Clients nicht mit Outlook Anywhere zurecht kommen. Wenn der Cache Mode bei der Ersteinrichtung aktiviert ist, kommt die Meldung "Cannot start Microsoft Outlook. Cannot open the Outlook window" einziger fix bis jetzt ist im Online Mode zu bleiben. Im internen Netz gibt es keine Probleme. Ist es ein bekanntes Problem? Ich konnte nichts wirkliches dazu finden. Beim Remoteverbindungstest für Exchange gab es folgenden Fehler: Der Vorgang "Namen überprüfen" des Adressbuchs wird für Benutzer USER anhand von SERVER getestet. Beim Versuch, den Namen aufzulösen, ist ein Fehler aufgetreten. Weitere Details A protocol layer error occured. HttpStatusCode: 401 Failure LID: 47372 Failure Information: HTTP Status Code: 401 Unauthorized Umgebung: Exch 2019 on prem Neustes CU und SU Die externen Verbindungen laufen über einen KEMP Loadbalancer.

Schade, trotzdem danke für die Antwort. LG

Hallo zusammen, gibt es bei exchange on prem 2019 die Möglichkeit Nachrichten im nachhinein vom Server beantworten zu lassen? Wir können aus Datenschutz nicht mehr auf das Postfach zugreifen, müssen aber allen eingegangen Mails der letzten 2 Wochen antworten, dass die ihre Mails bitte an ein anderes Postfach schicken sollen. Alternativ würde mir nur einfallen, die Absender der letzten zwei Wochen durch die Nachrichtenverfolgung zu exportieren und darüber abzuarbeiten.. LG Lukas

Ja stimme ich dir zu, allerdings kommen die Leute eher unerwartet zurück, da lässt sich das leider nicht vermeiden.

Hi MrCocktail, danke für die Blitzschnelle Rückmeldung. Ich schaue mir das mal und melde mich ob das Problem damit gelöst werden kann :)

Umgebung: Exch19 On prem neuste CU/SU Moin zusammen, es gibt bei uns schon seit einigen Jahren (bereits bei exch16 aufgetreten) folgendes Problem: Wenn Leute z.B. in Ruhestand gehen und das Konto gelöscht wird, bleibt der Adressvorschlag noch im Client (Outlook2016) gespeichert. Wenn Sie dann z.B. aus dem Ruhestand zurückkehren und dann ein Konto mit der identischen E-Mailadresse bekommen, führt dieser alte Adressvorschlag zu NDR, weil die Adresse nicht richtig erkannt wird und stattdessen eher wie eine Art ID aussieht. Ich weiß nicht ob der Bug so weit bekannt ist, wir haben als Workaround einfach immer gesagt dass die User den Adressvorschlag entfernen sollen. Dann war das Problem für den client beseitigt. Es wäre aber natürlich schön eine dauerhafte Lösung zu finden wo das Problem im besten Fall nicht mehr auftritt. LG Lukas

Alles klar, danke! Ich lass den Healtchecker mal drüber schauen und teste ein bisschen rum.

Ich habe beigebracht bekommen die Antivirus Software immer temporär zu deaktivieren, sobald ein SU eingespielt wird. Das wird von Microsoft auch so empfohlen: "Temporarily disable any anti-virus software." Um sicher zu gehen, dass das Update auch richtig installiert wird, wollte ich Fragen wie man es am besten neu installiert. Habe ich so noch nicht machen müssen.

Moin zusammen, ich habe versehentlich das neuste SU mit aktiver Antivirus Software installiert. Es gab zwar keine Fehlermeldung oder ähnliches aber das muss ja nichts heißen. Was ist nun am besten zu tun? Kann ich das Update einfach noch mal neu ohne avirus durchlaufen lassen? LG Lukas