NorbertFe

Kannst ihm ja mal "temporär" eine Mailbox (enable-Mailbox) zuweisen und danach wieder per disable-mailbox entfernen.

Kannst ja mal schauen, was bei Werkstatt, Touchscreen im Attribut "msExchResourceMetaData" steht.

Nein, aber auf alles was per simple bind die dcs abfragt. Hier was zu lesen: https://www.faq-o-matic.net/2018/07/16/ldap-signing-auf-domnencontrollern-erzwingen/ ldap Channel binding ist dabei nicht berücksichtigt, aber das ist ebenfalls nichts, was Windows Clients betrifft, afair.

Flughafeneröffnung ist angeblich im Oktober 2020. ;)

Das Ding wird also gar nicht mehr supported bei dem Alter vermute ich. ;) 2008r2 jetzt als zusätzlichen dc zu implementieren ist trotzdem irgendwie ...

Ja. Und zwar so, wie oben beschrieben.

Und wie kommst du auf die Idee, dass deine Aussage richtig wäre und meine falsch? Vielleicht versuchst du ja erstmal, dich mit den GPOs und deren Feinheiten vertraut zu machen.

Nein Loopback hilft dir nicht. Du brauchst dann die Computerkonten (sinnvollerweise faßt man die in einer Gruppe zusammen) und die Gruppe der Domänenbenutzer

Da ist leider vielen das Hemd näher als die Hose. ;) MIt Terrorismus wirst du in unseren Breiten wenige überzeugen.

Das Beste, was man bei solchen Kunden tun kann.

Was wurde denn daraus? :)

Dann mach den Tunnel zu, so dass nur rdp durchkommt. So schwer ist das nicht ;)

Dafür gibts ja die Slow link detection ;) https://www.gruppenrichtlinien.de/artikel/slow-link-detection-erkennung-langsamer-verbindungen/

Und warum? Was geht denn durch das vpn durch?

Den Namen will cisco doch loswerden: https://www.cisco.com/c/en/us/about/corporate-strategy-office/acquisitions/ironport.html#~tab-faqs ;) ich finde den Preis für die Lösung auch recht überzogen, aber bei manchen gehts um den Hersteller.

Kannst temporär ein neues Zertifikat einhängen, was den internen und den externen Namen beinhaltet. ;) ist zwar genauso nervig, aber man muss nicht an jeden pc ran. Alternativ evtl. Mapi/http deaktivieren und auf Outlook anywhere hoffen.

Gibt sicher immer Verbesserungsmöglichkeiten, aber ihr seid definitiv nicht die einzigen, deren Exchange am Internet hängt. ;) grundsätzlich ist die Sophos mailsecurity in Ordnung, aber sie wird auch seit Jahren nur noch sehr stiefmütterlich, wenn überhaupt, weiterentwickelt. So zumindest mein empfinden. Abgesehen davon ist sie in meinen Augen auch zu unflexibel in der Konfiguration und das logging könnte auch besser sein. Insgesamt ist das halt ein „goodie“ in der Firewall, und wenn man die nicht austauschen will, gibts definitiv besseres. ich persönlich nutze bei vielen Installationen orf Fusion von Vamsoft und wenn es nicht direkt zum exchange im lan gehen soll/darf, läuft das bei diesen dann auf einem Edge Server in der dmz. Alternativ kann man sich natürlich auch hosted spamfilterung anschauen. bye norbert

Abschalten heißt für dich was? ;) der soll hinterher nicht mehr ans Netz!

Nein, das ist egal.

Naja immerhin noch 2,5 Jahre. ;) Und wenn du _jetzt_ noch mit 2008R2 rummachen darfst, dürften 2,5 Jahre ne Menge mehr sein als bisher. ;)

B Abschalten. Auf a die Fsmo Seizen und metadatacleanup durchführen. Danach wieder einen zweiten dc hinzufügen. Idealerweise kein so altes System wie 2008r2 verwenden. Alternativ einen Dienstleister hinzuziehen, der weiß wie und was er zu tun hat.

Für sowas gibts ne taskplanung und genügend Möglichkeiten das per shutdown oder powershell zu erledigen. ;)

Schlimm genug.

Dafür definitiv sind keine Adminrechte notwendig. Da reicht Netzwerkoperator. ;) Und warum sollte das nicht über einen Domänenaccount mit lokalen Adminrechten funktionieren?

Und wo ist da eine zeitliche Beschränkung? und vor allem, wie setzt du da das Passwort ggf. zurück? Evtl. wär ja LAPS eine Lösung für dich :)