NorbertFe

Das is dann halt b***d für dich. Du solltest dann dafür sorgen, dass der Client nicht der Meinung ist den dc zu erreichen.

Meine domänenanmeldung dauert nicht lange. Vielleicht solltest du ja dort anfangen zu suchen. ;)

Du kannst ja schlecht eine normale Umgebung und deren Möglichkeiten mit eurer vergleichen, die KRITIS genügen muss. Insofern ein wenig absolut deine Aussage. :)

Am Client kannst du nichts einstellen und am dc auch nicht. Bleibt also nur Netzwerk dazwischen. ;) aber warum willst du das überhaupt machen?

Stimmt, den gibts ja so selten ;)

Der war doch gar nicht hier...

Genau so hab ich ja die Frage interpretiert. :) Also Ja das gilt dann für ALLE GPOs die auf den Computer/User wirken der sich an diesem Computer (für den Loopback in EINEM GPO) aktiviert wurde. :p Ich weiß, dass du das weißt...

Ja. Vorausgesetzt die Berechtigung stimmt.

Das. :) Wobei "nie" auch nur ein Statement ist. Das hört nicht auf zu funktionieren, bloß weil du 120GB groß bist mit dem Postfach. Es ist aber sinnvoll, bei der Größe und Anzahl vorab ein bisschen Planung für die Verteilung der öffentlichen ordner auf die entsprechende Anzahl von Öffentlichen Ordnerpostfächer zu betreiben. Zusätzlich sollte trotzdem versucht werden die Anzahl und Menge ggf. zu reduzieren. Es gibt bei sowas auch nach der Migration immer mal wieder Probleme weils eben doch ein wenig anders läuft als mit Exchange 2010. "Total public folders in hierarchy" heißt ALLE Öffentlichen Ordner in deiner Hierarchie, also logischerweise auch Unterordner. Siehe oben. :)

Dafür gäbe es ja dann "löschen". ;) Also eure Arbeitsweise würde ich mir dann an der Stelle überlegen.

Gar nicht. Es sei denn sie werden im ad angelegt. Das will man üblicherweise aber nicht.

Man könnte natürlich auch einfach in die "gesendeten Objekte" schauen. :)

Und warum änderst du dann nicht das, anstatt den Refresh zu deaktivieren?

Der Displayname und der DN sind aber nicht identisch. :) Man kann die beide getrennt befüllen.

Das ist dann aber sicher :)

Domänenadmins auf PCs sind falsch konfiguriert. Will nur keiner hören.

Ja!

Und wenn das PCs sein sollten entferne die Domänenadmins.

das sind ca. 440€ brutto pro Woche. Wär das viel oder wenig für dich?

Na und? Hardware kann man auch einfach abschalten und in die Ecke stellen.

Ich würde mir wahrscheinlich eine Serverhardware sparen, anstatt da jetzt auf biegen und brechen die VMs irgendwie zu nutzen. Die Lizenz des dritten Servers kannst du evtl. ja auch einfach der neuen Hardware zuweisen, dann hast du immer noch die Option 4 VMs auf der neuen Hardware zu betreiben.

Du kannst LDAP nicht verbieten, denn dann wird dein AD an sich nicht mehr so rund laufen. Denn auf Port 389 wird zumindest auch die Verwendung von LDAPs und LDAP/TLS annonciert. Evtl. hilft dir das hier weiter: https://www.faq-o-matic.net/2018/07/16/ldap-signing-auf-domnencontrollern-erzwingen/ und wie man sowas "ausliest" ;) https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/ Bye Norbert

Aber das wäre ja die Lösung für ein Problem, welches gar nicht existiert ;)

Einen der beiden. Deswegen konfiguriert man ja auch einen dritten Namen, auf den die beiden scps konfiguriert werden und dann per round Robin (besser loadbalancer) angesprochen werden.

Nein das ist definitiv falsch. Ein gpupdate führt zur Anwendung der gpos auf dem lokalen Computer (in deinem Fall auf dem dc) und hat nichts mit der Verschiebung von computerkonten in ous usw. Zu tun.