Dukel

Ich meine, per Default, ist das nicht erlaubt, wenn es den Account administrator@deinedomain.de gibt, dass jeder mit dieser Adresse schicken darf. Hier greifen die Exchange Berechtigungen.

Kurzes Googlen: https://www.security-insider.de/azure-ad-anwendungsproxy-fuer-die-sichere-bereitstellung-von-webapps-a-1116308/ Hilft das?

Hast du pro Tier eigene Adminrechner / Sprungserver? oder einer für alle Tiers? Sind die Adminrechner besonders abgesichert? 2FA? Credential Guard? Bitlocker? ...

Für mich klingt das so, dass (Automatisches HA) möglich ist innerhalb des selben Clusters, aber nicht zu anderen Clustern (hier gilt dann die 90 Tage Regelung).

Wichtig ist, dass es eine Zeitquelle gibt. Wieso sollten die Clients (und andere) nur von einem DC die Zeit erhalten? Wieso nicht von allen? Wieso die Firewall von extern und nicht von intern?

Wie sieht es generell mit SQL Verbindungen vom Client aus? Merkt man z.B. vom SSMS einen unterschied ob dieser auf dem Client oder Server gestartet wird?

Tipp dafür: Set-MailboxDatabase -IsExcludedFromProvisioning:$true

So ein minimales Script braucht man nicht suchen, das geht aus dem Handgelenk: $user = Get-ADUser username -Properties mail # Wenn es genauer sein soll, sollte man proxyAddresses nutzen, muss dies aber extra parsen! if($user.mail -eq $user.UserPrincipalName){"ok"}else{"bad"} # Geht auch in einer Schleife für alle Nutzer foreach($user in Get-ADUser -Properties mail -Filter '*'){ if($user.mail -eq $user.UserPrincipalName){ "ok: $($user.SamAccountName)" }else{ "bad: $($user.SamAccountName)" } }

Veeam arbeitet hier anders. Hier wird der komplette Server (incl. der DB) gesichert und bei einem Single Item Restore wird das Backup gemountet (bei Exchange wird die DB gemountet) und man greift darauf zu und kann Postfächer oder einzelne Elemente restoren oder exportieren. Dafür ist kein Bricklevel Backup notwendig. @Scorp1337 Man könnte das entsprechende Postfach in eine eigene DB auslagern (nicht vergessen, diese DB dann nicht für andere Postfächer nutzbar machen). Diese kann man dann im Backup ausnehmen. Entweder diese DB in ein eigenes Laufwerk (und dieses ausnehmen) oder wie folgt: https://helpcenter.veeam.com/docs/backup/vsphere/backup_job_vss_exclude.html?ver=120

Testen kannst du es schon mit einzelnen Cloud Usern. Aber ob das so sinnvoll ist kann ich dir nicht sagen. Im Betrieb möchte man auf jeden Fall einen Sync und keine zwei unterschiedliche (AD und Cloud) Accounts. Es kommt auch auf das Ziel an. Möchte man langfristig komplett Cloud Only? Möchte man Hybrid bleiben? Um die Verwirrung aufzulösen hilft dir ein DL.

Ich würde auch empfehlen einen DL dazuzuholen. Auf jeden Fall möchtest du die Benutzer nicht manuell anlegen sondern synchronisieren!

Das ist bei Veeam Dokumentiert: https://helpcenter.veeam.com/docs/backup/vsphere/replica_resume_disconnect.html?ver=120

Wenn man an den Voraussetzungen nichts machen kann muss man initial halt Geduld haben. Einfach den Copy Job laufen lassen und nach zwei Wochen ist es inital übertragen und es werden nur noch die Änderungen übertragen. Evtl. gibt es bei AWS auch eine Send-In Möglichkeit. Man schickt einen Datenträger mit dem Backup und diese spielen die Daten in Ihrem RZ ein. https://aws.amazon.com/blogs/aws/send-us-that-data/

Daher sollte man sich angewöhnen von Core-Lizenzen und nicht von Server-Lizenzen zu sprechen. Dann sollten solche Nachfragen obsolete sein.

Man möchte aber die GPOs auf den DC's haben. Aber im Central Store. Aber das geht zu weit OT.

Mit Sicherheitsupdates ja. Bei LTSC 2019 gibt es bis 2024 Funktions und Sicherheitsupdates und bis 2029 nur noch Sicherheitsupdates.

https://learn.microsoft.com/en-us/lifecycle/policies/fixed Wenn es kein Extended Support gibt ist der Mainstream Support das Ende.

Ein Kunde verwaltet das (und vielen andere) mittels einem IDM Systems. Bei den Gruppen kommt es darauf an, ob das für andere Applikationen schon sauber (Stichwort agdlp) umgesetzt ist und dann nur noch in diese Richtung erweitert werden muss.

Ich hatte selber sowas geschrieben. Download einer großen Datei (auf meinem eigenen Webspace!) und die Dauer in eine kleine DB geschrieben.

Das wird so nicht gehen. Mit https://www.forensit.com/domain-migration.html kannst du dein vorhandenes Profil anpassen (ACL's) so dass du so gut wie nicht mehr (du wirst ggf. aus verschiedenen Tools oder Webseiten abgemeldet) anpassen musst. EDIT: Wenn der SBS hochfährt muss man sich ja nicht anmelden. Hier ist die Frage, ob die Domäne / DNS erreichbar ist. Dann kann man den neuen Server in die Domäne aufnehmen, zum zweiten DC machen und den SBS danach entfernen.

Ich schliesse mich dem an und wünsche alles alles gute.

Das Problem wird so nicht gelöst sondern Umgangen. Man sollte kein SSL nutzen, das Problem fixen oder das Zertifikat tauschen.

Welche denn? Vielleicht hat jemand anderes das selbe Problem.

Dann such dir eine (Kauf-) Software, die das macht oder beauftrage jemanden, der das macht. Ohne Know-How baut man sich sicher schnell eine Sicherheitslücke ins Haus.

Und wo ist jetzt dein Problem? Mach das doch ;)