NorbertFe

Du solltest ein VPN zu deinem dedizierten Server herstellen. Alles andere lege ich in die Schublade "grob fahrlässig und planlos" ab. :)

Wird eine Frage fragiger mit mehr Fragezeichen? Allein, dass du Zweifel hast an der Rechtmäßigkeit sollte dir zu denken geben. Du erwirbst einen Lizenzschlüssel und nicht zwingend eine Lizenz. Der Unterschied sollte dir ja bekannt sein.

Ja und wenn wir schon dabei sind, ist auch Heiraten (mit Namenswechsel) und Sterben per Unternehmensrichtlinie untersagt. :)

Was machen denn ggf. Kollegen die keine lateinischen Schriftzeichen für ihren Originalen Namen verwenden? ;) Wird hoffentlich niemand auf die Idee kommen das als Unicode Namen zu vergeben, nur weils evtl. geht?

Genau das wird dir niemand empfehlen. Denn was nutzt dir der Snapshot bei einer so tief im AD integrierten Applikation und dazu noch eine datenbankbasierte? Mach ein korrektes Applicationaware Backup (entweder den Store klassisch sichern oder per VM und VSS). Ansonsten .net aktualisieren plus alle sonstigen Voraussetzungen für CU21. Danach direkt CU21 installieren dann booten und danach noch die aktuellsten CU11 Security Updates. Danach alles testen. Bye Norbert

Kann ich ja nix dafür, dass ihre Eltern so unaufmerksam bei der Namenswahl/-vergabe waren. ;)

Genau. Abgesehen von der Anmeldung macht das ja auch keinen wirklichen Unterschied. Und seine Emailadresse wird er sicher auch ohne Umlaute schreiben.

Wer darf das gpo denn übernehmen?

Ohne den domänencomputern das Lesen der gpo zu gewähren wird es auf keinen Fall funktionieren. An deiner Stelle würde ich erstmal mit Authentifizierten Nutzern weiter testen.

Ich würde weiterhin davon abraten. Irgendwann stolpert man immer über ein System, welches damit nicht klarkommt. Sei es ein Sync zu einem anderen Verzeichnis oder Applikationen die gegen das ad authentifizieren.

Sinnvollerweise kopierst du den Ordner einfach von einem laufenden Windows 10 1803 deiner PCs. Da sind weniger Fehler drin als im Download. Normalerweise nicht und wenn, würdest du wohl eher mehr Fehler erhalten. Das ist das Problem mit Windows 10, da wurde leider der Grundsatz über Bord geworfen, dass das neuere os auch alle policies der vorhergehenden Versionen beinhaltet. Das bedeutet natürlich nicht, dass alle weg sind, sondern es sind immer mal Feinheiten.

Ja. https://docs.microsoft.com/en-us/exchange/mail-flow/message-size-limits?view=exchserver-2019

Gibts in der Praxis aber tatsächlich. :) Sieht dann so aus: Ich frag mich, was solche Absender machen, wenn auch die neue Domain missbraucht wird. :) SPF hilft nur bedingt. Im Endeffekt DMARC mit DKIM und SPF. Aber wie schon festgestellt, wenige nutzen es und noch weniger prüfen es vermutlich. Bye Norbert

2. WSUS in der DMZ wäre eine Möglichkeit, die ich gerade mit einem Kunden testen will. Wir selbst verwenden Direct Access und damit stellt sich die Frage nicht. :)

http://blog.icewolf.ch/archive/2012/11/13/group-policies-group-policy-preferences-tattooing.aspx find grad keine andere Quelle, aber so allgemein wie du das (alle/meisten) schrubst, trifft es nicht zu.

Wie kommst du auf diese kühne Aussage?

Noch mal meine erste Antwort lesen? Was ist unter „darf nicht per https erreichbar sein“ so schwer zu verstehen?

Das solltest du beantworten können und nicht wir.

Was im Übrigen auch ganz am Anfang explizit so geschrieben wurde.

Die DAG ist irrelevant. Also die Lizenzmobilität ist sowohl bei DAG Membern als auch bei standalone Exchangeservern notwendig. Und die Verwendung einer DAG bedingt keine andere Lizenzform.

Oooooooohmmmmmmmm meine Glaskugel sagt mir gerade: Ja, vielleicht oder auch nicht.

Nein, dich mit UPN, SAMACCOUNT oder DOMAIN\SAMACCOUNT anzumelden. Das geht auf jeden Fall, wenn man nur BEnutzername konfiguriert hat im OWA. Die anderen virtual directories sollten natürlich ebenfalls alle jeweils korrekt konfiguriert sein. Was korrekt bedeutet, hängt natürlich von deiner Umgebung ab. :) Dann mach Wireshark an und schau wo es hakt. :/

Wie wärs, wenn du es einfach ausprobierst? ;)

Ja, aber nicht im Exchange (der zeigt nur das an, was du im AD konfigurierst). Also mußt du 1. 26 UPN Suffixes einpflegen 2. bei den Nutzern den Userprincipal Name identisch zu seiner jeweiligen Adresse ändern. Bye Norbert

Häh? Meine Antwort gelesen? Mit internen Clients kann man das identisch handhaben (wenn man bspw. nen Kemp Loadbalancer hat, geht das per "klick". Wenn aber alle internen Clients auch Domain Member sein sollten ist das egal, weil die intern dann ja den SCP fragen. Bye Norbert