Sunny61

Da fehlt das CU 14 für Exchange 2016 und das CU3 für Exchange 2019. :) Ich weiß, ist noch nicht lange public, aber sollte man nicht vergessen. Wenn ich nach https://www.msxforum.de/blog/index.php?entry/41-build-nummern-tabellarisch/ gehe, finde ich nur Exchange 2016 mit dieser sehr ähnlichen Build. 15.01.1466.003. Und wenn es Exchange 2016 mit der Build ist, dann schleunigst aktualisieren. Aktuell ist CU 14 von Exchange 2016. Deine Build wäre aus März 2018, 18 Monate alt!

Und welches Problem bestand denn tatsächlich?

War der flasche WSUS im GPO eingetragen? Lass uns nicht dumm sterben.

Verbinde dich doch in der Konsole Active Directory Computer und Benutzer einmal mit dem DC1 und einmal mit DC2 und mit DC3. Es kann passieren wenn Du dich auf DC2 anmeldest und die Konsole startest du automatisch in der Konsole auf DC1 verbunden wirst. Ganz oben siehst Du den Namen des DC, mit dem du auf der Konsole gerade verbunden bist.

Du sprichst von der Freigabe, hast Du denn auch die NTFS-Berechtigungen angepasst? Wenn Du einen User zu einer Gruppe hinzufügst, muss sich der User anschließend neu anmelden, hast Du das gemacht? Du kannst natürlich die Ordnerumleitung für jeden User in einen zentralen Ordner umleiten, ob das Sinn macht sei dahingestellt.

Stimmt, du hast natürlich Recht. ;) Ich hab nicht richtig gelesen, mea culpa. ;)

Zeig doch das GPO für den W2016 für den WSUS.

Die User sollen gleich in der richtigen OU angelegt werden im AD.

Out of the Box darf ein User sich nicht per RDP an einem Server anmelden, solange Du nichts änderst sondern nur Remote Apps konfigurierst, passiert nichts anderes. Einfach mal Server aufsetzen und konfigurieren.

Export-CSV solltest Du dir anschauen: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/export-csv?view=powershell-6

Remote Apps sind die idealen Begleiter in diesem deinen Fall. Igel kann das fast besser als ein Windows Client. Wenn Du einen Connection Broker installierst, kannst Du dem User eine Website zur Verfügung stellen, dort meldet er sich an und sieht nur die EXE. Ausführen, fertig. Er sieht keinen Desktop, er bekommt nur das Programm durchgereicht. In diesem Artikel wird beschrieben, wie man das über einen Browser macht: https://www.computerweekly.com/de/tipp/Mit-Windows-10-auf-RemoteApp-Anwendungen-auf-Windows-Server-2016-zugreifen Bei uns werden ca. 20 Anwendungen über Igel zur Verfügung gestellt, funktioniert problemlos.

Was sehen wir genau auf der rechten Seite? Die externe Zone? Falls ja, was macht der DC da drin? Wie ist DNS in dem Screenshot konfiguriert? Weiterleitung oder Stamm? Funktioniert denn der Aufruf ohne die externe Zone?

Pragmatische Lösung. :)

Bei einem Kunden hatte ich das auch mal so angelegt, trotz 100 Rückfragen wollte man das so haben. Hat von Beginn an funktioniert. Irgendwas läuft bei dir flasch. :) Aber gut wenn Du es jetzt änderst.

Websites verbietet man mit Hilfe eines Proxy. Oder: Du kopierst dir die HOSTS von einem sauberen System in einen Ordner in eine Freigabe. Eine zweite HOSTS passend anpassen und testen, ebenfalls in eine Freigabe kopieren. Jetzt die passende HOSTS per Script pro User der sich anmeldet ins System kopieren.

Was passiert wenn du www.deinedom.tld aufrufst? Ein Redirect auf etwas anderes? Welche exakte Adresse steht dann im Browser wenn die Seite geladen ist? Aus welchen Gründen hast Du des denn gemacht? Nur damit intern und extern gleichlautend sind? Dann sind es IMO die falschen Gründe. Man hätte ja auch ein contoso.intra erstellen können. Hier werden ein paar Pro und Contras aufgeführt. https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

Welche Zonen hast Du denn genau? ad.contoso.com oder auch contoso.com?

...Quatsch

Ressourcen Manager für Dateiserver meint john23 vermutlich: https://docs.microsoft.com/de-de/windows-server/storage/fsrm/fsrm-overview Daraus dann die Dateiprüfungsverwaltung: https://docs.microsoft.com/de-de/windows-server/storage/fsrm/file-screening-management

Zeig doch mal ein ipconfig /all vom Client und vom DC. Wenn Du ein | clip hintendran hängst, kriegst Du die Angaben gleich in die Zwischenablage geschoben. Hier dann in einen Code Block einfügen.

Was genau steht in dem A Eintrag drin? Wenn das AD genau wie die Website heißt, sollte ein www als Hostnamen und als IP die externe IP Adresse der Website ausreichen.

Wo soll denn die Größe/der Speicherplatz angezeigt werden? Im Explorer? So eine Art Füllstandsanzeige?

Remote Apps und/oder Terminal Server und auf ThinClients setzen.

Ist denn das Netzteil auch ausreichend dimensioniert?

Ein weitere Baustein im Gesamtsystem kann SRP (Software Restriction Policy) und/oder Applocker sein. Das will allerdings sehr ausführlich getestet werden.