Daniel -MSFT-

Dann hattest Du vermutlich die eigentliche Netzwerkkonfiguration am DC durchgeführt und nicht auf dem TS? Wenn das Standardgateway vom TS genauso wie die des DCs die 192.168.100.1 ist, ist klar, das das nicht geht. Der TS weiss nix von der statischen Route des DCs und da er den DC nicht als Gateway nutzt, kann die Kommunikation nicht auf der Box landen. Die Konfiguration an der Firewall ist bessere und sauberere Lösung. Das solltest Du genau so wie jetzt geplant machen.

Ja.

Dann schau mal ins TMG Firewall-Log. Nicht dass eine Regel hier die Kommunikatin mit dem neuen Server filtert?

Zweite Karte weg ist eine gute Idee. Wenn die IP-Adresse der Box nicht geändert werden kann, trag einfach alternativ auf der ersten Karte als zweite IP die 192.168.11.1/24 ein. Standardgateway bleibt die 192.168.100.254. Hast Du beim route add-Kommando auch "-p" genutzt? Was sagt route print? Have fun! Daniel

BTW: Du willst ja sicher nicht vom Server aus auf das VPN zugreifen, sondern von den Clients. Dann müssten die Clients auch slden Server als Standard-Gateway bekommen und Du müsstest am Server das IP Forwarding einschalten. Besser wäre es, Du vergibst Deinem Gatewy eine zweite IP-Adresse uns trägst dort die statische Route auf die Blackbox ein.

Dann prüf doch mal die Netzwerkkonfiguration. Ipconfig /all vom DC, einem funktionierenden Client und dem TMG wäre ein Anfang.

Schau mal, wo man die Domäne wechselt, ob dort der Domainname als Netbios- oder DNS-Name drinsteht. Du kannst dort dann einfach die Domäne wechseln und den anderen eintragen. Also wenn der Netbios-Name drinsteht, dann einfach auf den DNS-Namen wecheln oder umgekehrt.

Um das vielleicht mal ganz klar auszudrücken: Der Server ist absolut ok. Die Fehlermeldungen bekommst Du, wenn Du AUF DEM SERVER die Gruppenrichtlinien mit neuen Templates bearbeiten willst. Du musst die Richtlinien auf dem modernsten Client bearbeiten. Also RSAT für Windows 8.1 herunterladen und auf einem Windows 8.1-Rechner installieren: https://www.microsoft.com/de-de/download/details.aspx?id=39296 Dann von diesem Rechner aus den Server administrieren: "Mit den Remoteserver-Verwaltungstools für Windows 8.1 können IT-Administratoren Rollen und Features auf Computern, auf denen Windows Server 2012 oder Windows Server 2012 R2 ausgeführt wird, von einem Remotecomputer aus verwalten, der Windows 8.1 ausführt." Alles klar?

Die Server 2008 R2 Standardlizenz kannst Du auch der Serverhardware zuweisen und darauf eine 2008 R2 Standard-VM lizenzieren. Wenn Du einen weiteren Server für Failover nutzen willst, brauchst Du für den weitere Lizenzen. Und natürlich die CALs nicht vergessen...

Schau mal in die Office Deployment & Activation FAQ auf Seit 14: http://download.microsoft.com/download/8/E/0/8E06C6BD-520F-4F2C-9738-96CCC883694E/Office%20Installation%20and%20Activation%20FAQ%20VF1.0.pdf Da gibt es durchaus ein Limit, das bei 25 liegt. Have fun! Daniel

BTW: Mit PowerShel kannst Du Dir das Leben viel einfacher machen. Kombiniere einfach Windows PowerShell Tip of the Week - Running Windows PowerShell Scripts Against Multiple Computers mit Verwenden des Cmdlet "Stop-Process". Das passt vermutlich in einen Einzeiler, wen Du die Liste der Computer einer Textdatei entnimmst. Have fun! Daniel

Lies Dir mal die Analyse durch: http://blogs.technet.com/b/markrussinovich/archive/2012/07/02/3506849.aspx Das könnte auch Dein Problem sein, wenn Du Netzlaufwerke nutzt. Eine Alternative sind dazu auch Netzwerkressourcen statt Laufwerksbuchstaben: http://blogs.technet.com/b/dmelanchthon/archive/2005/03/04/385073.aspx

Mit ActiveSync *kann* man Sicherheitspolicies erzwingen, man muss das aber nicht. Du kannst auch einfach abschalten, dass eine PIN erzwungen werden soll. Kein Grund, ActiveSync nicht zu nutzen. Aber mit ActiveSync kannst Du z.B. auch bei einem verlorenen Gerät ein Remote Wipe durchführen. Das geht mit IMAP nicht. Generell halte ich den Schutz der Firmendaten auf den gerade gegen Verlust/Diebstahl so anfälligen mobilen Geräten für wichtiger als die Komforteinbussen, eine PIN eingeben zu müssen. Wie würdest Du es denn finden, wenn Eure Firmendaten alle öffentlich einsehbar wären, so wie das bei Sony war: http://www.zeit.de/digital/datenschutz/2015-04/sony-hack-assange Have fun! Daniel

Nutz ihr Computer Startup-Skripte? Nimm mal XPerf oder den Windows Performance Recorder und analysiere den Bootvorgang ohne und mit Domänenzugriff: http://blogs.technet.com/b/askpfeplat/archive/2012/06/09/slow-boot-slow-logon-sbsl-a-tool-called-xperf-and-links-you-need-to-read.aspx https://helgeklein.com/blog/2013/07/analyzing-a-slow-boot-with-windows-performance-recorder-analyzer/ Have Fun! Daniel

BTW: Wenn Du den Terminal Server auf Azure betreibst, darfst Du Office 365 sowohl auf den Clients, als auch auf dem Terminal Server auf Azure nutzen, anstatt die Office SAL für den Terminal Server und Office für die lokalen Clients zu lizenzieren.

Du kannst auch in Deiner offiziellen Internetdomain einen Zeiger - CNAME - einrichten und auf den DynDNS-Namen zeigen lassen. Dann kannst Du ein offizielles Zertifikat für Deinen Domainnamen verwenden und brauche keine CAs bei Clients und mobilen Geräten installieren. Weiterhin würde ich an Deiner Stelle Autodiscover und Outlook Anywhere einrichten. Dann brauchst Du nicht IMAP und SMTP veröffentlichen, sondern nutzt an den Clients Exxhange ActiveSync mit automatischer Konfiguration. Eimfach E-Mailadresse und Kennwort eingeben und schon funktioniert das nicht nur mit Outlook, sondern auch mit Android, iPhone, iPad, Windows Phone, etc. von überall. Das wäre eine moderne Konfiguration. Die Bausteine dazu hast Du schon alle.

Das ist das Problem mit dem Internet. Niemand weiss, ob er nicht mit einem Hund spricht

Solange Du nur auf Azure bleibst, sind - wenn Du eine Windows VM nimmst, neben der Serverlizenz auch die CAL-Erfordernisse mit abgedeckt: http://azure.microsoft.com/de-de/pricing/licensing-faq/ Bei Hybridszenarien kommt es auf den Einzelfall an. Bei Strato oder Hosteurope musst Du selbst mal nachfragen. Meines Wissens nach ist das dort nicht der Fall.

Ob da Windows-Accounts benutzt werden oder interne Accounts in der Datenbank, spielt für die CAL-Pflicht keine Rolle. Aber ich hab meinen Beitrag oben modifiziert und das Zitat kenntlich gemacht ;-) Das konkrete Produkt wurde ja vom OP reingestellt.

Die "Authentifizierung über eine MySQL Datenbank" wird nicht ohne CALs und/oder externen Connector gehen. Have fun! Daniel

Exchange Online ist eine gehostete Exchange-Umgebung. Da ist kein Office dabei. Business Essentials ist eine Kombination aus Exchange Online, SharePoint Online, OneDrive for Business und Lync Online ohne die Enterprise-Features. Zum Vergleich kannst Du ja mal die Dienstbeschreibungen filtern und vergleichen: http://blogs.technet.com/b/dmelanchthon/archive/2013/10/16/office-365-dienstbeschreibungen-filtern.aspx Dirsync geht bei beiden. Du solltest bei Dir eventuell Same SignOn nutzen und kein ADFS SSO, es sei denn, Du konfigurierst auch eine ausfallsichere ADFS-Lösung, was in Azure möglich ist. Bei einer Cutover-Migration muss Outlook Anywhere funktionieren, also Dein Exchange nach aussen richtig publiziert sein. Bei 400 Postfächer solltest Du die Grenze von Business Essentials von maximal 300 User beachten. Weiterhin wird die Datenmenge für den Import recht gross sein, so dass Du Dir Gedanken über die Bandbreite machen solltest. Wie hoch ist denn Dein Upstream? Wie gross ist die zu migrierende Datenmenge? Wieviel Zeit planst Du ein? Azure erlaubt zum Beispiel den Datentransfer über Festplatten per Post. Das wäre eine Alternative. Was Du mit PST-Dateien über die Weboberfläche meinst, ist mir schleierhaft. Weiterhin willst Du PST-Dateien auf dem NAS ablegen, was nicht supported ist. Wie schon früher gesagt, Du zäumst das Pferd komplett von hinten auf, daher sehe ich hier nicht viele sinnvolle Möglichkeiten, Dir zu helfen.

Schau Dir mal den KPMG Bericht: " Compliancemanagement und E-Mail-Archivierung mit Exchange Server 2013 – Eine Analyse der wichtigsten Funktionen nach deutschem Handels- und Steuerrecht" an: http://www.kpmg.de/bescheinigungen/requestreport.aspx?35886 Dort findest Du eine Beschreibung der Funktionalität von Exchange 2013 und wie Du damit Compliance-Anforderungen erfüllen kannst. Have fun! Daniel

Wozu brauchst Du einen Dual Core mit 4 GB RAM für einen DC als Ausfallsicherung im RZ? Da reicht eine A0-Instanz für <10 EUR im Monat. Im Zweifel kannst Du den im Einsatzfall auch einfach auf ein neues Template mit mehr Ressourcen umstellen. Dazu käme der VPN-Endpunkt mit ~21 €, ausgehender Traffic (5 GB inkl., 95 weitere GB für 6,156 €) und 60 GB lokal redundanter Speicher für 1,074 €. Macht zusammen unter 40 €. Exchange könnte man auch Hybrid konfigurieren, dann brauchst Du keine Postfächer exportieren, sondern könntest sie verschieben. Wenn Du bei Export bleiben willst, dann importiere die PSTs in Exchange Online. Schau Dir dazu das PST-Capture Tool von uns an, damit kannst Du viel importieren. Und vergiss nicht, den LegacyExchangeDN als X.500-Adresse mit zu übernehmen. Für Ausfallsicherheit gibt es auch Dienste wie Azure Site Recovery - eventuell ist das konzeptionell der bessere Weg für Dich, als auf Replika zu setzen. Da Du bei 70 Usern schon nahe der SBS-Grenze bist, wäre eine Umstellung auf die normale Servervariante ratsam. Das erfordert dann aber auch eine lokale Serverlizenz und neue CALs für alle User. Der Reboot alle 2h eines SBS hat mit einem weiteren Domaincontroller im Netz zu tun, wenn der SBS nicht alle Betriebsmasterrollen hat. In Summe erscheint mir hier Dein Know How noch nicht soweit, dass Du das komplett allein machen solltest. Hast Du mal darüber nachgedacht, zuerst zu spezifizieren, was Du genau erreichen willst? Also RPO und RTO sowie das zur Verfügung stehende Budget? Danach kannst Du dann schauen, welche Lösung die Anforderungen abdeckt. Du zäumst das Pferd zur Zeit von hinten auf. Wie Du das ganze dann korrekt lizenzierst, hast Du auch noch nicht durchdacht. Jedenfalls wurden Dir da bei Computerbase und hier schon recht häufig Hinweise gegeben, dass das so nicht funktioniert, wie von Dir bisher geplant. BTW: Parallelthread in http://www.computerbase.de/forum/showthread.php?t=1470803 Have fun! Daniel

BTW: 150 EUR monatlich für einen Single Core? Bei Azure bekommst Du den ab <10 EUR dreifach redundant mit der notwendigen Windows Server und Zugriffslizenz inklusive: http://azure.microsoft.com/de-de/pricing/details/virtual-machines/ Wegen der Exchange Online-Fragen: Lies Dir mal die Dienstbeschreibungen durch: https://technet.microsoft.com/de-de/library/exchange-online-administration-and-management.aspx

Homedale liefert eine grafische Ausgabe von netsh wlan show networks mode=bssid Heatmapper ist sinnvoll, um einen günstigen Aufstellungspunkt für den oder die WLAN APs zu bestimmen, so dass der gesamte Bereich gut abgedeckt ist. Unterschiedliche Netzwerke auf unterschiedliche Kanäle zu stellen, halte ich auch für sinnvoll. Siehe z.B. http://blog.saddey.net/2007/07/08/wlan-hintergrunde-warum-sie-andere-kanale-als-1-6-und-11-vermeiden-sollten-wie-die-pest/ HotspotShield und ZenMate finde ich überflüssig. Dazu nutze ich auf meiner Fritzbox den VPN-Server und surfe aus einem fremden WLAN immer direkt über meinen eigenen VPN-Tunnel. Dazu braucht man nur einen vernünftigen Upstream zu Hause. Dank VDSl sind das bei mir 10 MBit, womit ich unterwegs leben kann. Siehe z.B. http://www.heise.de/netze/artikel/Kurztest-Die-neue-VPN-Konfiguration-der-Fritz-Box-1977360.html Connectify oder Virtual Router sind auch nur eine GUi für Windows-Funktionen. Siehe http://blogs.technet.com/b/dmelanchthon/archive/2009/09/24/virtual-wifi-macht-windows-7-zum-access-point.aspx Have fun! Daniel