NorbertFe

Ok so that’s the answer for one question. ;) did you install it? Install the gMSA on your host by running the following command from the PowerShell command prompt: Install-AdServiceAccount <gMSA>

Das is hier echt interessant. ;) ich zähle die Leute die ihn erklären, dass ^ nicht richtig ist ;)

Did you install the manual created account onto this server? Has the server the permission to get the password?

Did you not create the group managed service account by yourself? Always a good idea.

Ach quark, sowas ist signatur und wird geflissentlich ignoriert. :) Ich geh mich jetzt schämen.

Ich kann noch diverse "ältere" Versionen anbieten, wenn Bedarf besteht.

Oder Extreme Networks. ;)

Und die 70 Arbeitsplätze bedient nur ein Mensch? Nur zur Info man lizenziert bei Windows und Exchange jeweils entweder Geräte (also bei dir 70) oder Benutzer (Menschen, humane Wesen). Man lizenziert keine Mailboxen oder Benutzeraccounts.

Evtl mal das gelesen? https://docs.microsoft.com/en-us/answers/questions/22799/unable-to-install-the-synchronization-service-unkn.html

Und was steht im Anwendungs- und Systemereignisprotokoll?

Ja, du wirst dort vermutlich etwas "nachhelfen" müssen. Bei "verbastelten" Umgebungen ist der schnellste Weg: net Stop W32time W32tm.exe /unregister W32tm.exe /register net Start W32time Wenns zuviele DCs dafür sind, müßte man genau vergleichen, welche deiner Werte dazu führen, dass die Dinger meinen nicht zurückzuschwenken. :)

Und nu? Vielleicht suchst du ja falsch :)

Ich hab noch überlegt, ob ich den Satz um " , und hier im Forum wird sie auch keinen Anklang finden" ergänze. ;)

Eigentlich nicht. ;) LAPs wäre eine Option, aber die wird weder dir noch den Usern gefallen. ;)

Ja warum denn nicht? Aber doch nicht bei ADM/Registry Teilen. Ne die würde man "notfalls" resetten.

Also eigentlich macht man das einfach so: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo Dann klappts auch mit neuen DCs usw. Kurz das Grundsätzliche. Nur der PDC Emulator holt die Zeit von "extern" wo auch immer und alle DCs holen sich die Zeit vom PDC Emulator und alle anderen dann von ihren Anmeldeservern.

Nein soweit mir bekannt geht das nicht.

Ich bin da bei dir :)

Viel mehr ist afaik auch noch nicht zu finden: https://www.microsoft.com/de-de/microsoft-365/roadmap?filters=&searchterms=63212 in der Hoffnung, dass sich dann dnssec verbreitet? ;)

Und da kann man nix nachrüsten und du kennst auch die andere Seite der Kommunikation?

Üblicherweise von einer der beteiligten Parteien der Korrespondenz. ;)

nein eine autodiscoverdomain lautet autodiscover.domain.tld ;) Immer.

Das ist wie der Name schon sagt „intern“ testconnectivity testet aber bin extern. Also wie sieht deine autodiscoverdomain aus? Die sollte auf den exchange verweisen und im Normalfall im san des verwendeten Zertifikats stehen. Deine Firewall muss dann den entsprechenden Pfad natürlich auch durchlassen.

Was ist denn auf der anderen Seite für eine Domain mit welchem Level? Wenns was halbwegs modernes ist (Windows 2008R2 oder höher), dann bleibt alles so wie es ist und du mußt nix tun.

Vermutlich hätte ein Reset des AutodiscoverAppPools im IIS ausgereicht. ;) https://support.microsoft.com/en-us/topic/outlook-logon-fails-after-mailbox-moves-from-exchange-2010-to-exchange-2013-or-exchange-2016-bd3f59ed-c521-4349-5c00-c49717b5e04d Aber 6 von 108 ist ne sehr gute Quote. :)