gelöscht

Beides, Kerberos oder NTLM kann zuftreffend sein. Wenn es nur ein Server is und sich die Cients auf den Server FQDN verbinden (default), dann sollte das Kerberos sein. Dazu müsstest Du aber in das entsprechende HTTP Proxy Log schauen, da steht das Auth Protokoll drin. Ansonsten: was passiert wenn Du bei dem Popup auf abrechen drückst? Bleibt Outlook verbunden oder wird die Verbindung zu Store getrennt? Bleibt die Verbindung bestehen könnte es eher an Autodiscover, EWS oder OAB liegen. Wir sie getrennt eher Outlook Anywhere bzw. MAPI/HTTP. ASR

In Exchange kannst Du die Sender-Filterung nehmen und die eigene SMTP Domain(s) blocken wenn die Nachrichten von extern in die Exchange Org kommen. ASR

Wie genau sieht das denn aus für die Mailbox, kannst du den Output mal posten: Get-Mailbox <mailbox> | fl *audit* Zur Auswertung würde ich z.B. so ein Script nehmen: https://gallery.technet.microsoft.com/scriptcenter/Generate-a-Report-of-a33cde56 nicht das ECP. ASR

Hallo, welche Risiken sollte das haben? AFAIk hat das MessageRate Limit auf dem FrontEnd keine Auswirkung, er macht ja nur ein Proxy zu einem Hub Connector. Du kannst für die App auch direkt einen Hub Connector erstellen und die Applikation auf diesen konfigurieren, Port 2525 Mit Outlook, OWA, ActiveSync Clients hat das Thema ohnehin nichts zu tun, die verwenden keinen Receive-Connector, für Sie gibt es kein MessageRateLimit. ASR BTW: SMTP Tarpitting würde ich für eine App deaktivieren, also auf Null stellen.

Und NTLM hat nichts damit zu tun ob ein Client Domain Member oder Workgroup Member ist. ASR

Ja, das sind oft die, die sich dann umdrehen und all Ihre Smartphone Daten (inkl. Mails) als Backup in die XYZ cloud snycen. Anders rum: ich kenne seit 2-3 Jahren keine Firma mehr die, wenn sie von was immer auf Exchange geht, noch mit einer on-prem Installation anfängt. Viele sind schon genervt wenn sie auch nur einen on-prem Exchange Management Server brauchen. Auch das: "wir wollen nur E-Mail" ändert isch häufig exterm schnell und schon werden "O365 Groups", Skype Online etc. evaluiert. Die Einfacheit macht macht es möglich. ASR

Bei passender Delegation könnte der User die Gruppe mit den Berechtigungen sogar über ADUC managen, also Mitglieder hinzufügen/entfernen. Gibt aber auch Tools mit schönerer GUI dafür. ASR

Hallo, würde auch sagen dass die web.config corrupt oder nicht zugreifbar (Virenscanner) ist. Installiere das aktuelle CU nebst passendem .Net Framework wenn Du die Datei nicht von einem zweiten Server übernehmen kannst. Wenn das nicht geht kannst Du auch das UpdateCas.ps1 aus dem bin Folder ausführen . Mit Procmon kannst Du überprüfen ob andere Prozesse auf diesen Folder/Datei zugreifen. ASR

Servus, auf welchem Connector hast Du den das Limit dann erhöht? Dem FrontEnd oder HubTransport? Soweit ich weiß greift das Limit nicht bei FrontEnd Connectoren, dann wäre das Verhalen logisch, richtig? ASR

Exchange (2016) kann auch mit DNS RR sehr gut funktionieren, ich kenne einige die das aus verschiedenen Gründen so zumindest ein paar Monate betrieben haben. Die Lastverteilung klappt sogar erstaunlich gut - wenn alle Server online sind. Ich stimme aber zu: über diesen Weg dürfte das kaum zu supporten sein, zu vielschichtig sind die möglichen Fehlerquellen. Das hier ist schon fast ein Klassiker: https://kb.vmware.com/s/article/2039495 - aber es kann alles mögliche sein. Woran machst Du fest dass es keine Performance Probleme mehr gibt? ASR

Warum kannst Du das nicht? Bei mir geht das mit Disable-DistributionGroup <meineDG>. Danach ein Enable-DistributionGroup auf das geklonte Objekt in der Root Domain und das Setzten der notwenigen Eigenschaften (Berechtigungen, E-Mail-Adressen, Alias, X.500). Solltest Du eben vorher exportieren, ist aber analog wie Du das mit den Mailboxen machst/gemacht hast. ASR

In Produktivumgebungen deployen wir Exchange ja auch nicht in VMs... sondern folgen der "Perferred Architecture" Empfehlung des Herstellers, richtig? my 2 cents...

Nein meine ich nicht, deshalb hab ich ja auch die drei Schritte aufgeschrieben die Du machen müsstest. Die X500 Adressen repräsentieren den LegDN des alten AD Objekts in deiner Subdomain auf dem neuen Objekt in der root. Hast Du das nicht und jemand verwendet den Nickname Cache bekommt er einen NDR - egal ob an eine Mailbox, DL oder ein Kontakt gesendet wird. Such mal danach in der Suchmaschine Deiner Wahl, z.B. http://msexchangeguru.com/2012/03/15/x500/ Wenn Du keine Erfahrung damit hast würde ich mir einen Dienstleister suchen der Dir das scripten/machen/dabei helfen kann. ASR

Klar, der Link ist genau richtig. Und praktisch seid es in Hyper-V die VHDX disks gibt, sind diese auch supported. Nobby ist auf einem alten Stand, die früheren VHD waren als dynamische Disks sau langsam und deshalb nicht unterstützt. ASR

Nein, es braucht keine AD Trust dafür. ASR

Ja, das Verhalten ist so erstmal "by Design". Versendet das Helpdesk Ding authentfiziert per SMTP? ASR

Hallo Hase, wie hast Du denn die User Objekte in root domain bekommen? ADMT? Und wie hast Du die X500 Adressen hinzugefügt? Abhängigt davon würde ich bei den anderen Objekt Typen ganuso machen. Dynamic DLs kannst Du nicht mit ADMT klonen, also einfach löschen und neu anlegen. 1. Objekt in die root domain klonen 2. In der Child domain "mail deaktivieren" 3. In der root domain "mail aktivieren", bei Bedarf x500 Adresse vom alten Objekt übernehmen oder ein Tool kaufen das die Schritte übernehmen kann. ASR

Warum nicht? ASR

Für das System/Installationslaufwerk empfehle ich immer min. 250-500GB. IIS logs würde ich alles älter als 30Tage per Script und Scheduled Task löschen lassen. ASR

Und ich verstehe die Frage nicht. Du kannst das MFG (Microsoft Federation Gateway) verwenden oder einen AAS https://technet.microsoft.com/en-us/library/bb124122(v=exchg.160).aspx einrichten. Für beides braucht keinen AD Trust, der ist aber auch nicht im Weg. Wenn die Server keinen Internet Access haben wird es eben mit dem MFG nicht klappen. ASR

Diverses geht sonst nicht, z.B. Search-Admin Audit log etc. Klickst Du: https://technet.microsoft.com/en-us/library/dn249849(v=exchg.150).aspx ASR

Am universellsten sicherlich mit SharePoint, Datenablage, Kontakte und Kalender sind da flexibler, könntest sogar mails damit empfangen wenn es sein muss. Kommt aber auf die Anforderungen an. Für Meeting Räume und pur E-Mail könnt ihr Mailboxen nehmen.

Diese Arbitration Mailboxen müssen an sich ZUERST nach 2016 verschoben werden. ASR

Hat auch keiner geschrieben. Er könnte aber für user1@contoso.de eine Mailadresse user1_a@contoso.de auf dem POP Server (wenn der das kann) hinzufügen und dorthin weiterleiten/umleiten. Die Adresse user1_a@contoso.de ist im AD ja nicht existent. Dann braucht es noch einen passenden Send-Connector und contoso.de als internal relay. Wozu das alles allerdings gut sein soll ist eine gute Frage. ASR

Ich sehe da keinen Mehrwert, nur mehr Aufwand auch noch Exchange 2016 zu deployen. OAuth braucht er ohnehin nicht wenn es das Ziel ist alle Mailboxen nach ExO zu verschieben. ASR