NorbertFe

Bitte beachten, dass das bei lokaler Definition nur lokale Nutzerkonten betrifft (Passwortrichtlinie oder Änderung usw.) und nicht für Domänenkonten gilt. Sowas definiert man aber selbst dann per Domain GPO (auf anderer Ebene oder OU), als das lokal zu konfigurieren.

Sogar mit 2022 OS ;) Mit CU12.

Wie schon erwähnt prüft das Tool NICHT die Sysvol-Replikation.

Das ist irgendwie auch "nur halb" richtig. Wenn von einem nicht Exchangepostfach an einen NICHT Existierenden Empfänger (mailadresse) geschickt wird, sollte der EXCHANGE eben KEINEN NDR generieren. Steht oben jetzt bereits in mehreren Posts. Es wird nur der Statuscode im SMTP Traffic übermittelt. Was der ursprüngliche Absenderserver daraus bastelt, liegt nicht in deinem Einflussbereich. Und führen bei Admins schneller zum Ziel als diese bunten Dinger von O365, die kein normaler User liest sondern Screenshots vom bunten Teil an den Admin schickt, der darauf antwortet, schick mir den Teil wo steht "für Administratoren". ;)

Gut, wenn man einen Spamfilter hat, der sowas einfach macht. ;) Achso

Nö, glaube ich nicht, dass wir da unterschiedliche Ansichten haben. Interessant wäre, warum auch intern der remote Server was returned. ;) Siehste, so unterschiedlich sind unsere Ansichten gar nicht.

Siehe 2. im Post über dir.

Nochmal, deine Konfiguration läßt eine Fehlkonfiguration vermuten, denn wenn die Adresse nicht existent ist, wird der NDR gar nicht vom Exchange sondern vom Senderserver erstellt. Alles andere führt im Normalfall zu Backscatter und für dich unnötigen Ressourcenverbrauch (HDD, CPU, Bandbreite) und damit ggf. auf eine entsprechende Blacklist. :)

Du machst es einem echt schwer, dir zu helfen. 1. Wie wärs, wenn du statt unnötiger Screenshots, auf denen dann auch nur die Hälfte der Infos erkennbar ist, einfach per Powershell mal alle Connectoren und die RELEVANTEN Infos hier listest. 2. Offenbar wurde schon viel an den Connectoren geschraubt, denn deine Beschreibungen lassen eigentlich keine andere Schlussfolgerung zu, dass da jemand den Überblick verloren hat. 3. Ist das Logging auf den Frontend Connectoren aktiv, dann würde man nämlich sehen, über welchen Connector dein Fileserver einliefert. Lösung könnte auch sein, dein Skript einfach auf dem Fileserver laufen zu lassen. 4. Der Hinweis auf externe Hilfe dient im Allgemeinen dazu, dir ewiges Suchen und nen Haufen Fehlkonfigurationen zu ersparen. Ich denke, dass das für jemanden der sich auskennt eine Sache von ca. ner halben STunde ist. Es fehlen mit Sicherheit die IPv6 Adressen, weil jemand meinte er weiß besser, was er tut. ;) Und wenn man dann weiß, dass sich Exchange per Default mit IPv6 unterhält, erklärt das auch, warum es lokal nicht funktioniert.

Nein, es ist zusätzlich Authentifizierung von Nutzern erlaubt. Was total überflüssig wäre, wenn man einfach den Default Client Frontend nutzen würde. Der ist nämlich genauso konfiguriert (nur ohne Anonyme Nutzer). Aber er sucht halt gern ;)

Ok, ich hab nicht nachgeschaut, weil ich’s konfiguriere. ;)

Stimmt, hab ich übersehen, weil ich es sowieso immer konfiguriere und die Firewall nur zu bestimmten timeservern kommt. Und das ist dann nicht der. :)

Hmm kann ich am Handy grad nicht testen, aber was ist dein Ziel? Den ndr liest sowieso kein normaler User (den ich kenne) und die die das können, wissen auch mit dem Standard was das Problem ist.

Kommen Mails von extern durch obwohl es den Empfänger gar nicht gibt? Denn den ndr generiert normalerweise ja der Sender und nicht der Empfänger (jedenfalls sollte es so sein).

Einen anonymous relay mit Authentifizierung zu konfigurieren ist auch irgendwie unsinnig. ;)

Wie schon geschrieben. Das ist aber neulich auch mit Windows 2012R2 passiert. ;) Also ob das (deine Ansicht) sinnvoll ist? Hab ich das behauptet? Trotzdem ist Exchange 2016 (CU23) nur bis Windows Server 2019 Domain Controller supported.

Und dann steht nix im im DFS-R Eventlog? Kaum vorstellbar. ;)

Leg doch mal nen neues GPO an. Landet das auf allen DCs? Wenn im Eventlog nichts steht, muss man ja irgendwie mal eingrenzen.

Nutzt du dfs Replikation fürs sysvol?

Ich meine, dass meine KMS Server bisher auch bei einem Inplace Upgrade immer nochmal die Keys hinterher sehen wollten. Der Aufwand hält sich also die Waage.

Was ist denn das Problem am Key neu eintragen? Geht ja auch in wenigen Minuten. ;) Irgendwo gibts hier schon so einen ähnlichen Thread zum KMS Ersatz. Such mal.

Nein, dem pdc Emulator muss man seinen Zeitwerten geben/konfigurieren, sonst läuft irgendwann gar nix mehr so richtig. Also out of the box ist das definitiv notwendig.

Also eigentlich habt ihr das Problem von Anfang an irgendwie selbst verursacht. ;) wie wärs hiermit? https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo

Und steht was im DFS Eventlog?

Dann darfst du maximal Domain Controller mit Windows Server 2019 einsetzen. Das Domain/Forest Functional Level ist bei CU 22/23 auf jeden Fall Windows Server 2016 (mehr gibts ja nicht) ;) Beachten muss man da nix.