Alle Aktivitäten

GPO erstellt "UDP bei RDP deaktivieren" Zu “Computer Configuration > Administration Templates > Windows Components > Remote Desktop Services > Remote Desktop Connection Client” navigieren. Die Option "Turn Off UDP On Client" aktivieren. Und dann noch unter Administrative Vorlagen Remotedesktopdienste RDP Host Verbindungen Transportprotokoll auswählen und aktivieren und auf "Nur TCP verwenden" stellen. Eventuell per Befehl per CMD mit Adminrechnten auf jedem Server & PC absetzen der nicht aktuelle an der Domain / Firma verbunden ist. reg add "HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client" /v fClientDisableUDP /d 1 /t REG_DWORD

Ich habe auf diesen Kommentar gewartet @daabm

Ehm... https://learn.microsoft.com/en-us/windows-server/administration/performance-tuning/role/active-directory-server/capacity-planning-for-active-directory-domain-services Unsere größte Domäne hat knapp 200.000 User -> direkt mal 16 GB RAM als unteres Limit.

Danke dir.... Dann werde ich das morgen einmal bei 3 Benutzern testen....

Peter, Peter… das hat nichts mit dem VPN Tunnel zu tun…

Kann mir einer hierzu noch etwas sagen? Gibt das nicht auch Probleme mit dem SSL-VPN-Tunnel der über den UDP Port 1194 läuft? Oder hat das damit nichts zutun?

Im hcu wär auch nicht soviel besser ;)

Ok 😆

Ja

Danke dir mir das einmal anschauen. Bevor ich das aktiviere. Kannst du mir noch dabei helfen? Gibt das nicht auch Probleme mit dem SSL-VPN-Tunnel der über den UDP Port 1194 läuft? Oder hat das damit nichts zutun? Danke dir. Ja

Die User dürfen also in HKLM in den Policies Zweig schreiben? Wenn du es pro Client verwalten willst: GPS: Turn Off UDP On Client (gpsearch.azurewebsites.net) Wenn du es an den RDSHs zentral verwalten willst: GPS: Select RDP transport protocols (gpsearch.azurewebsites.net)

Doch, kann ich. Aber bis dahin, nutzt man einfach Schattendomänen und Kontakte.

#### Viele Homeoffice Benutzer sind aber per SSL-VPN-Tunnel mittels UDP-Port verbunden. Ist das dann nicht kontraproduktiv?

👍 naja wenn „neue maildomain = sofort = bereits in Nutzung“, dann kannst du so schnell gar nicht migrieren, dass du den workaround nicht zumindest einführen müsstest.

Danke für deinen Input. Ich werde das testen. Danke habe ich gemacht. Musste es aber auf dem Client und dem RDP-Server machen. Nur auf dem RDP-Server hat nicht funktioniert. Wir kann ich ich denn jetzt am besten auf allen PCs diesen Befehl absetzen? Per Loginscript? Ja, aber dann müsste ich bei jedem Benutzer das Benutzerprofil anpassen und dann dort den Befehl mit geben. Oder per GPO. Wie kann ich das per GPO machen? Was ist die bessere Variante? Oder gibt es noch eine bessere?

deswegen schrieb ich ja "schnell" - im Sinne von, so schnell, dass man sich mit kruden Workarounds gar nicht erst aufhalten muss

Ich dachte, das wäre sowieso das Ziel. Deswegen schrieb ich ja von „während der Migration“. Je kürzer der Migrationszeitraum, umso besser.

Moin, ich werfe mal ein anderes Konzept ins Rennen: Ihr migriert die zwei Umgebungen schnell zu euch rüber und betreibt nur eine Exchange-Organisation. Die anderen Sites können gern wieder einen lokalen Exchange kriegen, falls die WAN-Performance ein Problem ist. Die AD-Forests der neuen Häuser können ja bis zur endgültigen Migration da bleiben, ihr betreibt euren Exchange also für die anderen beiden Häuser als Ressourcen-Forest. Mit dem im OP skizzierten Konzept werdet ihr des Lebens nicht froh. Und auch mit dem Gateway ist es so eine Sache - die wenigsten von ihnen können den Recipient Type sauber auswerten. Spätestens wenn das Thema MailUser auf den Tisch kommt, wird es wieder spannend.

Sind das physische Maschinen oder VM‘s? Wie viele Kerne sind zugewiesen (wenn VM) - einer ist d..f Bin bei Nils, 16G braucht ein DC nicht, und wenn der ständig bei 30% Last ist stimmt was anderes nicht Was für ein AV ist installiert, die Ausnahmen korrekt gesetzt? und danke an Martin, mache Dinge vergisst man im Laufe der Zeit

Moin, Ein DC braucht weder viel RAM noch viel CPU. Wenn das also was lahm ist, dann ist das ein deutliches Zeichen, dass irgendwas aus dem Lot ist. Gruß, Nils

Hi, ich blicke nicht 100 % durch. Kann dir aber erstmal nur dazu raten, dass Gateway davor zu betreiben und von dort direkt an den jeweils richtigen Exchange zustellen zu lassen. Gruß Jan

Was zählen schon technische Fakten. ;) Ich würde an eurer Stelle alles über das zentrale Gateway regeln. Und auch das address rewrite würde ich an der Stelle regeln. Dann müsst ihr nur während der Migration die empfängertabelle im Gateway aktuell halten.

Hallo zusammen, ich benötige in meinem Fall Unterstützung beim Routing von E-Mails. Wir haben 2 neue Häuser erworbenund diese sollen zu uns migriert werden. In allen Häusern stehen Exchange Server 2016 und die Netze sind für bestimmte Ports etc. miteinander verbunden. Alle beiden neuen Umgebungen haben eine AD-Vertrauensstellung zu uns. Die oberste Etage hat entschieden, dass eine neue E-Maildomäne für den Kunden über alle Exchange Server vorherrschen soll und die Postfächer sowie Verteiler nach und nach dann zu uns in das RZ migriert werden. Wir werden leider somit Adressen mit der neuen E-Mail-Domäne (bspw. @neuerKunde.de) über längere Zeit in allen 3 Standorten haben. Alle externen E-Mails werden über unserem Mailgateway reinkommen und erstmal an unsere Exchange Umgebung gesendet. Hier haben wir die neue Domäne schon als Intern festgelegt also so, dass der Exchange erstmal bei sich sucht und dann ist angedacht das mittels Sendeconnector die E-Mails weiterleitet wird falls keine Adresse vorhanden ist. Wir planen eine Art Kreis Routing also das die externen E-Mails bei uns reinkommen. Wenn beim uns die Adresse nicht existiert, soll diese weiter zum Exchange des Standortes 2 gesendet werden. Hat der Exchange am Standort 2 die Adresse auch nicht, soll sie zum Exchange vom Standort 3 gehen. Sollte dann wiederum diese auch nicht die Adresse haben müsste Sie zu uns in das RZ kommen. Externe Mails -> Gateway -> Exchange 1 -> Exchange 2 -> Exchange 3 -> Exchange 1 Natürlich soll der Weg auch für interne E-Mails gelten also, wenn interne Anwender die E-Mails an den neuen Adressen senden. Das dies nicht optimal ist haben wir schon angemerkt aber wir müssen es leider irgendwie hinbekommen. Falls Ihr weitere Bedenken habt auch gerne her damit Wie müssten wir die Sendeconnectoren konfigurieren damit das angedachte Routing funktioniert. Das wird doch sicherlich über die Kosten realisiert aber wie? Vielen Dank im Vorfeld und einen schönen 1. Mai MfG Paul

GPOs sind zweiköpfige Monster. Der eine Kopf steckt in Active Directory, der andere in Sysvol. Und die zwei haben unterschiedliche Replikationsmechanismen... AD-Replikation vs. DFSR. "Replikation anschubsen" ist fast immer nur AD und nicht DFSR - und beim Bearbeiten der Inhalte ist immer DFSR relevant, fast nie AD. repadmin kannst Du Dir in dem Fall also sparen, der ist flüssiger als Wasser BTW: In GPMC kann man ein Debug Log aktivieren, das bei so was erstaunlich hilfreich ist - https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc737379(v=ws.10)?redirectedfrom=MSDN (gilt immer noch, auch wenn da 2003 im Link steht ) PS: Für AV-Exceptions auf DCs gibt es fertige Listen bei Microsoft - https://support.microsoft.com/en-au/topic/virus-scanning-recommendations-for-enterprise-computers-that-are-running-windows-or-windows-server-kb822158-c067a732-f24a-9079-d240-3733e39b40bc - die würde ich dringend empfehlen umzusetzen. PPS: Die SIDs S-1-5-80-... sind Service-SIDs. Die werden nicht aufgelöst, weil es den entsprechend benamsten Service auf dem jeweiligen Computer nicht gibt. Ich würde empfehlen, die drin zu lassen, wenn es keine untergeordneten GPOs gibt, die das "offiziell" setzen. Und S-1-5-32-549 sind die Server-Operatoren, die es nur auf Servern gibt, nicht auf Clients.

Darüber hatte ich auch schon nachgedacht. Habe es aber aus einem anderen Grund erstmal verworfen. Mir ist aufgefallen, dass die beiden DCs hier recht lahme Krücken sind. Ein STRG-ALT ENTF dauert bestimmt 5 bis 10 Sekunden, bis mal der Bildinhalt zu sehen ist. RAM haben die jeweils 16G, der ist nur zu 30% ausgelastet. Die Prozessorleistung ist ständig bei 30% ausgelastet. Das kam mir recht viel vor. Ich habe noch andere Server, ähnlicher Bauart. Das sind z.B. einfache Fileserver usw. Die regieren wesentlich flotter. Bei denen ist die Dauerlast vom Prozessor bei mal gerade 5%. Die Prozessorlast kommt bei den DCs vom Virenschutz. Jetzt hatte ich heute noch gesehen, dass der Virenschutz überall einen Neustart erfordert. Ich werde daher jetzt als aller erstes die Rechner alle neustarten. Danach sehe ich mir nochmal die Prozessorlast auf den beiden DCs an. Ich hatte letzt den Exchange 5 oder 6 mal booten müssen, bis alle Windows-Updates und Virenschutzupdates zufrieden waren. Daher war vorhin noch meine Vermutung, dass das vielleicht die Fehlerursache sein könnte. Anschließend werde ich mal wie du geschrieben hattest die Replikation anschubsen. Zwischenzeitlich hatte ich vorhin mit einer Test-GPO rumgespielt. Mir einen Wert ausgesucht, z. B. "Anmelden am Dienst verweigern" und dann immer einen Nutzer nach dem anderen im Sekundentakt reingebracht und wieder entfernt. Mal gehts zwei mal, und dann wieder 2 oder 3 mal nicht. Die Latenz? Hm, ich glaube ein Ping hat so eine Antwortzeit von 10 - 15 ms. Bin mir da aber nicht so genau sicher.