Dukel

Ich hatte bei meinen Kunden und Projekten nie den onmicrosoft Alias hinzugefügt. In den migierten Postfächern war dieser automatisch enthalten.

Aber nicht manuell hinzugefügt.

Ich glaube da hast du etwas falsch verstanden. Zwischen MS365 und OnPrem kann auch mit den bisherigen eMail Adressen kommuniziert werden. Exchange OnPrem nach der Migration zu entfernen ist auch keine gute Idee.

Wieso willst du eMail Adressen ändern? Die Vorhandenen eMail Adressen werden doch weiterhin genutzt. Dazu ist der OnPrem Mgmt Exchange Server da.

Hier kann man davon ausgehen, dass der gemeine Administrator das eben nicht macht/kennt.

Man kann die eMail Adressrichtlinie auch mit mehreren Domänen nutzen. Die Empfehlung ist der UPN gleich der email Adresse zu setzen. Kann ist Logon Name und eMail Adresse die selbe.

Lizenzrechtlicht ist es unerheblich wie viele Instanzen. Es zählen nur die Anzahl der Server bzw. Cores. Technisch gesehen, sind mehrere Instanzen eher zu vermeiden. Wenn die Datenbanken unterschiedlich heißen und sonst nichts dagegen spricht, kann man alles in einer Instanz installieren.

Meine Kunden nutzen Personalisierte Admin Accounts und auch nur zur Administration.

Soll man hierzu noch etwas schreiben?

Du versuchst das mit dem "Administrator" und machst dir in einem anderen Beitrag sorgen um die Sicherheit? 1. gibt es den Admin SD Holder 2. nutzt man den Administrator nicht für die Tägliche Arbeit!

Sicherheitsmechanismen und Konzepte gibt es viele. Wichtig ist in jedem Fall. Patchen. Ein Tiering Modell ist in jedem Fall auch relativ einfach umzusetzen, ergibt etwas mehr Sicherheit und ist auch eine Basis für andere Sicherheitskonzepte.

SQL 2008? Da ist selbst der Extended Support seit zwei Jahren abgelaufen. Außerdem gibt es in jeder SQL Server Version Performance Verbesserungen (wobei das die Ursache vermutlich nicht beheben würde).

Ich kann leider nicht sagen, ob Kemp mit mehren DNS Namen funktioniert. Dann doch evtl. HAProxy.

Jein. Mit nur einer IP kannst du alles in einem VS machen und, wie bei owa/ecp/... die Weiterleitungen auf SubVS Ebene. "/RDWeb" geht dann an den RDS Host.

Das User / Devices eine CAL benötigen, wenn sie auf einen DHCP Server zugreifen kommt daher, wenn diese Geräte (bzw. die User, die auf einem Gerät arbeiten) eine IP von dem DHCP Server anfordern und nicht wegen irgendwelcher Synchronisierungen. Und ein DHCP Server synchronisiert auch nur Leases, die vorher von einem Gerät angefordert wurden.

Welcher DHCP Server vergibt IP Adressen, wenn kein Client anfragt?

Gibt es einen Trust zwischen den Domänen? SharePoint kann dies. Sowohl SSO (Kerberos) als auch mehrere Domänen (mit Trust).

Wird neben dem Betreff auch der Header angepasst? Da würde ich nach dem Header (bei Spamassassin ist es X-Spam: Yes) filtern statt dem Betreff.

Entweder ich bin sicher, dass es keine Malware auf meinen Systemen gibt, dann kann ich das so belassen. Oder ich bin mir nicht sicher, dann hat man eine Risiko Analyse zu erstellen mit der Option, die Umgebung neu zu installieren. Da es immer zu dem Fall kommen kann, dass einem nichts anderes übrig bleibt die Umgebung neu aufzubauen, sollte man so was geplant haben.

Man muss aber auch einmal davon ausgehen, die komplette Umgebung neu aufzubauen. Hier ist jetzt die Chance dafür ein Konzept zu erstellen. Wenn die Umgebung zu komplex zum neu Aufsetzen ist, dann muss das ändern. Das ist immer noch ein großes Risiko (welches man Eingehen kann, würde ich aber nicht ohne GL entscheiden!) das so zu bereinigen.

Zeigen die Urls alle auf den R-Proxy? Gibt es Logs? Gehen die Adressen intern? http://1*****:80 ?

Man erkennt nicht viel an der Config. Entweder die externen Namen auf die jeweiligen Servern zeigen lassen oder die Url Teile (/rdweb zum RDS Host, /owa&/ecp&... zum Exchange, /qnap zur Storage) auf die jeweiligen Server. Für erstes muss DNS passen. EDIT: So in der Art: location /mapi { proxy_pass https://exchange01; } location /owa { proxy_pass https://exchange01; } location /rdweb { proxy_pass https://rds01; }

Was ist ein "Reiner" Loadbancer? Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...). Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer?

Du lizenzierst nicht die VM's ("Hüllen") sondern das OS in der VM (OSE).

Das Verhalten ist schon immer so. Bei einer solchen Migration migriert man die Daten am besten ohne ACL's (Robocopy statt Drag&Drop). Dann werden die vorhandenen, neuen ACL's genutzt oder man setzt die ACL's danach. Jetzt kannst du z.B. die ACL's überall neu setzen.