Squire

Die Clients die irgendwo an einen DC gehen sind aber nicht zufällig via VPN eingewählt? Wenn ja, dann muss auch das jeweilige VPN Netz dem jeweiligen Standort zugewiesen werden

Ist der IE auch gepublished? Sollen die Links lokal aufgemacht werden? Dann via Inhaltsumleitung!

@TO... Ich habe bei einem Kunden eine Policy auf nem 2012R2 DHCP laufen. Dort werden die OpenScape VOIP Telefone der Übersichtlichkeitshalber in den oberen Bereich der DHCP Range per Policy gelegt. Ich geh jedoch auf den Vendor und nicht nach der Mac Adresse. Im "normalen" DHCP Bereich vergibt der Server die Adressen ohne irgendwelche Policy. Reservierungen auch in dem von der Verteilung ausgeschlossenen Bereichen (für Drucker etc.) funktionieren ohne Probleme.

ähm ... nein ... beim 2013/2016 Exchange funktioniert das bei der Sophos UTM mit dem Default Receive Connector. Es muss kein extra Connector auf dem Exchange gemacht werden

ist für den Lizenzserver wirklich HA bzw. Failover nötig? Selbst wenn der Lizenzserver jetzt nicht erreichbar ist laufen die Clients/Server doch weiter in der Grace Period (bei RDP soweit ich das im Hinterkopf hab 120 Tage ... KMS ebenso) Die Zeit reicht allemal das System aus nem Backup wiederherzustellen oder neuaufzusetzen

Ich hab auch ne UTM am Laufen, wobei ich mit dem Spamfilter eigentlich zufrieden bin. Was man unbedingt machen sollte: Recipient Verification einschalten - entweder gegen das AD oder als Call Out ich hab bei mir noch Reject invalid HELO / missing RDNS, BATV und SPF check eingeschaltet Nebenbei - es gibt keine 100% Antispam Lösung (außer der Mailserver hängt nicht am Internet). Jede Lösung hat ihre Vor- und Nachteile. @cracymetzel: bei mir rutscht nur ab und an Spam durch ... vielleicht machst mal ein Ticket bei Sophos auf

kommt darauf an, ob nur Bestandsaufnahme, Design oder beides und Vorbereitung oder komplett Sorglos Wohlfühlpaket ADMT ist schnell aufgesetzt - da gibt es ein gutes Whitepaper von Microsoft. Für genauere Aussagen sind hier zu wenige Informationen. Das muss man im Detail anschauen, was ist vorhanden, was ist notwendig, was muss alles angepasst werden. Ich sag mal so: Die Benutzeraccounts und Profile umziehen sind das Harmloseste ...

ich würde den srv-Eintrag im externen DNS lassen und statt dessen einen A-Record autodiscover.x.de setzen mit dem gleichen Ziel wie Deine OWA Adresse. Funktioniert zuverlässig. Gegebenenfalls im externen DNS die "Autodiscover" Funktion deaktivieren. (So war das bei meiner Strato Webpräsens ... mit aktiven autodiscover und entsprechenden srv Eintrag lief das nicht sauber ... Autodiscoverdienst von Strato für meine Domäne deaktiviert und entsprechenden A-Record angelegt .. alles hübsch ... auch beim Microsoft Connectivity Analyzer)

Das war dann ein Missverständnis ... in der Einladung ist der Anhang - im Kalender nicht

Ist es definitiv. In der Firma läuft Exchange 2010 - Termineinladung mit PDF an meinen Exchange 2016 und Abruf über die genannten Handies ist der Anhang dran. Sowohl in der nativen Samsung Mail App als auch in der GMail App. Umgedreht vom 2016er in Richtung 2010 geht es genauso

Hallo, eben ausprobiert .. bei Android ist der Dateianhang dran ... (OnePlus 3 mit Android 7 (ActiveSync V16) und Samsung Galaxy S7 Edge und Samsung Galaxy Tab S2 jeweils mit Android 6.0.1 und ActiveSync V14.1) Exchange Server 2010 Sp3 letztes CU und Exchange 2016 CU4 ... jeweils in beide Richtungen probiert

Ich kann nur folgenden Rat geben: Holt euch jemand Qualifizierten für das Projekt ins Haus. macht ein Pflichtenheft und setzt das ganze dann zusammen um. Gebastel oder falsches Design für diese Anforderung wäre mir zu heiß! Nebenbei - Deine Anspruchshaltung an MVPs bzw. Boardmitglieder solltest Du dringend überdenken - ich denk ich schreib jetzt für einen Großteil der hier Schreibenden. Wir verdienen als Consultants oder Admins unsere Kohle und schreiben und helfen hier als privates Freizeitvergnügen. Wie weit jemand hilft oder Ratschläge gibt ist ausschließlich ihm selbst überlassen. Verpflichtet zum helfen/schreiben ist keiner von uns!

Naja intransparent sind die Microsoft Preise nun wirklich nicht ... rund 2400€ für Server (16Core), 10 User Cal und 10 RDS Cal

ja .. aber da hast Du ein Selfsigned Zertifikat an alle Dienste gebunden

nein ... weil Du schickst via SMTP und nicht aus der jeweiligen Mailbox des Benutzers Wenn Du das über den Connector machst kannst Du auch als Donald.Trump@deinefirma.de schicken - die Absendeadresse ist Schall und Rauch

ich finde es eh sehr seltsam, dass nach seinem Post von vorhin das Zertifikat nur für SMTP gebunden ist ...

kann es sein, dass das Zertifikat noch in der Firewall eingebunden ist?

Irgendwas ist da schief gelaufen beim Import. Der private Schlüssel sollte exportierbar sein. Kann es sein, dass Du eine "Linuxversion" des Zertifikats hast? Dann müsstest Du mit OpenSSL das cer-File erst in ein *.pfx wandeln. Syntax wäre folgender - dann das pfx über die MMC importieren openssl pkcs12 -export -in zertifikat.cer -inkey privatekey.key -out output.pfx

dann würde ich sagen: ist nicht importiert! Importiere es noch mal über die mmc

Zuerst mal die Frage ... sind in Deinem gekauften Zertifikat alle notwendigen Namen drinnen? Wenn ja würde ich das Zertifikat über die MMC hinzufügen .. also mmc öffnen, Snapin zertifikate für Computerkonto hinzufügen und Zertifikat importieren dann in der Exchange powershell get-exchangecertificate | fl thumbprint,CertificateDomains Such das richtige Zertifikat und kopier den Thumbprint enable-exchangecertificate -thumbprint "Thumbprint einfügen" -services smtp,iis,imap,pop (die Services nehmen, die du brauchst) iis durchstarten fertig

@magheinz: Veeam macht bei jedem Backup einen Snapshot pro VM war schon immer so und wird auch so bleiben. Ehrliche Meinung: vernünftig dimensionierter Host mit ausreichend Speicherplatz und genug Reserven. Backupziel würde ich dann ggf. ein 4 oder 6 Bay NAS mit Raid5 oder 6 nehmen. Das was der TO vorgeschlagen hat ist m.E. Pfusch und würde ich auf keinen Fall machen! Manchmal muss man als Admin auch NEIN sagen. Wenns gegen die Wand fährt, dann heißt es, der Admin ist schuld ...

Er hat Exchange 2010 und Outlook 2016

Hi, Exchange 2010 SP3 Rollup 15 ist aktuell - Du bist außerhalb des Supports ... das nur nebenbei Ich hab in der Firma durchgepatchte 2010er Exchange mit durchgepatchten Outlook 2016 ... keine Probleme. Sowohl unter Windows 7 als auch unter Windows 10 Hast Du beim Virenscanner die von MS empfohlenen Verzeichnisse ausgenommen? Guckst Du hier Die OST hast Du schon mal in die Tonne gedrückt? Sprich alles unter %localappdata%\microsoft\outlook mal raus genommen und Outlook nochmal komplett neuaufbauen lassen ... Im Online Modus irgendwelche Fehler?

Logischerweise muss der Port auch von außen nach innen offen sein. Bzw. sollte man Exchange ja eigentlich veröffentlichen und nicht einfach nur die Ports durchreichen ... also über eine WAF, UTM, etc ...

wie gesagt ... mach es Dir einfacher ... zieh einen ESX drauf und dann den Windows 2012R2. Wenn Du nicht gerade ein Tape Laufwerk an die Büchse anschließen willst geh einfach den Weg über den Hypervisor. macht viel weniger Stress!