testperson

Mich "verwirrt" bei der Connect Sync / Cloud Sync Thematik, dass man bei Connect Sync das Seemless SSOn abschalten soll (Configure Microsoft Entra for increased security - Microsoft Entra | Microsoft Learn). Damit man das PRT bei Anmeldung bekommt, muss das Gerät Entra joined / Hybrid joined sein. Im Hybrid Szenario benötige ich dafür synchronisierte Device Objekte. Beim Cloud Sync kann ich jetzt keine Device Objekte synchronisieren und muss wiederum vom Connect Sync das SSOn "Feature" nach installieren (How to use single sign-on with cloud sync - Microsoft Entra ID | Microsoft Learn). Oder verstehe ich hier etwas falsch?

Moin, siehe: Introducing Cloud-Managed Remote Mailboxes: a Step to Last Exchange Server Retirement | Microsoft Community Hub Gruß Jan

Du musst dich doch nur selber um Zertifikate kümmern, sofern du anstelle per NTLM halt zertifikatsbasiert authentifizieren möchtest. Theoretisch sollte "bald" aber auch IAKerb / LocalKDC kommen, um auch lokal Kerberos zu können. Da die Nodes (im WG) Cluster so oder so in einem eigenen Management VLAN hängen (sollten), sollte NTLM "kein Drama" sein. Das scheint mir aber genau der richtige Weg zu sein.

Solange wir nicht über S2D Cluster reden, kann ich gut und gerne aufs WAC verzichten. Ich könnte mir aber vorstellen, dass (früher oder) später auch ein WAC Support für Workgroup Cluster kommt. Welchen ein und anderen Nachteil siehst du / sehen Manfred und Carsten denn noch? Ich könnte mir bei den beiden allerdings auch vorstellen, dass wir über S2D / Azure Local reden.

Gerade in eher kleinen Umgebungen würde ich tatsächlich den Workgroup Cluster bevorzugen. (Hängt am Ende dann aber auch "etwas" vom vorhandenen AD ab. Da trifft man ja auch auf Zu- / Umstände von bis...) Workgroup Cluster + (evtl. leicht angepasstes) OSconfig und man hat - meiner Meinung nach - eine brauchbare Grundlage.

Hi, welche Features versuchst du denn da gleichzeitig(?) zu installieren? Wie gehst du bei der Installation der Remote Desktop Services vor? Am Ende des Tages dürfte es in deinem Fall reichen, einfach nur die Rolle "Remote Desktop Session Host" und "Remote Desktop Licensing" zu installieren. Du wirst vermutlich weder Broker, WebAccess noch Gateway benötigen. Gruß Jan

Hi, "Import-GPO" (Import-GPO (GroupPolicy) | Microsoft Learn) kann mit dem Parameter "-MigrationTable" eine entsprechende Migration Table (Working with Group Policy Objects using GPMC | Microsoft Learn) mitgeben. Alternativ kannst du die Policies im Anschluss auch per "Set-GPPRegistryValue" (Set-GPRegistryValue (GroupPolicy) | Microsoft Learn) bearbeiten oder auch komplett erstellen. Je nachdem was du an "solchen Themen" hast, wären evtl. die Security Baselines von Microsoft ein Blick wert: Download Microsoft Security Compliance Toolkit 1.0 from Official Microsoft Download Center Gruß Jan

Im August Patchday wurde für Server 2025 mit KB5063878 (August 12, 2025—KB5063878: Update for Windows Server 2025 (OS Build 26100.4946) - Microsoft Support) (erneut) gefixed(?).

Hi, siehe: Released: August 2025 Exchange Server Security Updates | Microsoft Community Hub Heißt "Hotfix Update" ist aber ein "Security Update" Das Update aktiviert per Default das "Exchange Server AMSI body scanning". HTH Jan

Puh, nimm missbrauche in dem Fall doch einfach "%userdnsdomain%\<deine Freigabe/n>". (Solange es definitiv immer nur bei diesem einen DC bleibt). Virtualisieren und eine VM als DC bereitstellen und mit der zweiten einen Fileserver (ggfs. mit DFS-N) ist keine Option?

Hi, warum muss/soll das denn so sein? Gruß Jan

Pop Connector!!1!11!eins!!elf!11! *duckundweg* :-P

Fehlen da nicht vier Monate bis zum 02. April 2036? Oder gab es noch etwas vor Exchange 4.0?

Hi, welche Einstellungen hast du denn da genau per GPO konfiguriert? Verlinke die doch ggfs. kurz von Group Policy Search. Die Benutzer melden sich später mit ihren "ganz normalen Konten" am Gerät an und nach der Abmeldung soll das lokal erstellte Profil gelöscht werden? Zusätzlich sind für den "normalen Betrieb" Roaming Profiles im Einsatz, die genau nicht auf dem Suface Go genutzt werden sollen? Gruß Jan

Hi, wie sieht denn der (ganz) genaue Mailflow aus? Nicht das dort noch irgendwas zwischen steckt, was auch noch irgendwie in SMTP / E-Mail reingrätscht. Gruß Jan