testperson

Das Office Paket macht die Sache jetzt nicht leicher. Office wird i.d.R. nach zugreifenden Geräten auf den / die Terminalserver lizenziert. Die Ausnahme ist ein Office im SPLA / aus Office365. Wenn du die RDS-Rolle(n) nicht installierst, brauchst du auch keinen RDS Lizenzierungsserver. Dann liegen die Lizenzen "nur" im Schrank rum. (Ob das lizenzrechtlich i.O. kann ich nicht sagen.) Wenn du die RDS-Rolle(n) / den RDS-Session-Host installierst, benötigst du auch einen RDS Lizenzierungsserver, wo entsprechende Lizenzen eingetragen werden müssen. Was sind für dich "Server CALs" und was "User CALs"? Du brauchst halt WIN-SVR-CALs (User oder Device) zum Zugriff auf den Server und zusätzlich RDS-CALs (User oder Device) zum Zugriff per Remotedesktop. (Auch hier gibt es sicherlich andere Wege / Ausnahmen per irgendwelcher CAL Suites und / oder Microsoft 365 / etc. "Lizenzen") Wenn Ihr aber einen "Landesvertrag der Uni" habt, gibt es da nicht einen Ansprechpartner in der Uni bei MS, der dir hier weiterhelfen kann?

1809 hat ja jetzt nichts mit dem aktuellen Patchstand zu tun. Haben die Server schonmal Kontakt mit einem aktuellen WSUS oder mit Windows Update gehabt und entsprechende Updates installiert? Hast du auch mal eine andere Einstellung neben der des IE getestet?

Auch wenn es nicht hier in den Thread gehört und OT ist: Wie würdest du die Aussage "Virtualisierungs Hosts mit aktiviertem Hyper Threading sollten maximal eine CPU Auslastung von 50% haben, da in der Praxis ja nur die Hälfte an Cores da ist und 50% somit 100% entspricht" kommentieren? (Hier geht es auch um das oben verlinkte Softwarehaus ;))

Hi, ist denn auf den zwei neuen Windows Server 2016 die Rolle "Remote Desktop Session Host" installiert bzw. ist die benötigte Infrastruktur (Broker / Lizenzierungshost (/ Gateway / RDWeb)) für die RDS-Dienste vorhanden? Generell benötigst du einen Remote Desktop Lizenzierungshost auf dem du deine entsprechenden RDS-CALs einträgst. Im Fall User-Lizenzierung reicht da eine. Im Schrank sollten aber für jeden User eine RDS-CAL liegen! Im Fall der Device Lizenzierung musst du alle RDS-Device-CALs eintragen, da hier tatsächlich gezählt wird. Die Windows Server CALs für den Zugriff auf Dateidienste, Active Directory o.ä. werden nirgends eingetragen und warten im Schrank aufs Audit. Gruß Jan

... und dann kommt das Softwarehaus um die Ecke: https://www.datev.de/dnlexom/client/app/index.html#/document/1080080/D117093591674435467 ;) P.S.: Ja, da geht es überwiegend um Terminalserver und Datenbanken. Und natürlich ist der Hersteller so vorerst sehr schnell aus einem "Performance Problem" raus. Und es ist auch nichts was ich unter das o.g. "generell" nehmen würde. :)

Hi, sind die Systeme aktuell gepatched? Ist ein Virenschutz auf den Systemen der hier reingrätscht? Ist das nur bei den IE-Einstellungen oder auch bei anderen? Gruß Jan

Hi, ich würde auch von der neuen Domäne abraten. Profile könntest du z.B. mit dem User Profile Wizard von Forensit migrieren: https://www.forensit.com/domain-migration.html Gruß Jan

Hi, Das hängt wohl von der Implementierung seitens Mailstore ab. Ggfs. kannst du da ja auch noch einen Reverse-Proxy vorschalten, der z.B. per http nur das für Let's Encrypt benötigte durchlässt. Dann kann man aber auch direkt "alles in dem Bereich" an den Reverse-Proxy auslagern und / oder direkt ein Zertifikat für 2 Jahre für ca. 30€ kaufen (, was wohl das einfachste sein dürfte). Gruß Jan

Hi, hat denn der Benutzer vom "Hauptpostfach" passende Berechtigungen (Vollzugriff) auf das weitere Postfach? Falls du jetzt mit Vollzugriff berechtigst, mach es direkt per EMS und setze "-Automapping:$false" oder berechtige über passende Gruppen. Gruß Jan

Hi, wie ist denn der etwas genauere Plan zur Virtualisierung? Wo läuft der Hypervisor und wo der Essentials Server? Des Weiteren könnte es evtl. durchaus sinnvoller sein, direkt einen Standard Server samt CALs zu kaufen. Dann bist du von Anfang an flexibler und je nachdem auch nicht "viel" teurer. Gruß Jan

Hi, sind das Postfächer vom gleichen Exchange oder ist das weitere Postfach aus einer anderen Organisation? Wird das weitere Postfach per Automapping bzw. im eigentlichen Postfach eingebunden oder ist es als weiteres Exchange Konto im Profil? Generell dürfte für das andere Postfach jedenfalls nichts in Anmeldeinformationsverwaltung auftauchen. Gruß Jan

Man könnte sicherlich auch intern einen Proxy aufsetzen und nach extern SSL Offloading betreiben. ;)

Und was davon stand nicht in der ersten Antwort hier im Thread dazu? Es bleibt allerdings in den meisten Konstellationen halt einfach eine ungünstige Konfiguration.

Hi, ruf die Seite per http anstatt mit https auf. ;) Gruß Jan P.S.: Das sinnvollste dürfte sein, wenn der Hersteller einfach ein neues, gültiges Zertifikat einbindet.

Hi, hier wäre ein Ansatz: https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/ Gruß Jan

Hi, diese Meldung einfach mit "Ignorieren" bestätigen und eben ignorieren. ;) Danach gehts ganz normal weiter. Um nicht mit den DVDs jonglieren zu müssen: https://www.datev.de/dnlexom/client/app/index.html#/document/1036585 Dann könntest du ggfs. auch direkt auf den gleichen Stand wie der andere Terminalserver installieren (oder auch direkt alles auf den neusten Stand updaten). Gruß Jan

Das sind aber auch Äpfel und Birnen. Klar geht der Mischbetrieb. Das ist halt "Shared SMTP Namespace". Aber davon würde ich eben abraten. Insbesondere wenn ein "Provider Mailserver" im Spiel ist an den man administrativ nicht ran kommt. Deine Arbeit "die Lösung" zu finden ist kostenlos? Einrichtung "der Lösung" ist kostenlos? Betrieb "der Lösung" ist kostenlos? ... Evtl. wäre es ja noch ein Ansatz zu O365 zu wechseln.

Was sagt denn der Betreiber vom Exchange zu dem Plan? Der muss ja ggfs. auch mitspielen bzw. hat sogar ggfs. passende Lösungen für ein solches Szenario. Einen Link dazu finde ich grade nicht mehr. Ein entsprechender Webserver mit passender Konfig, sollte das ermöglichen. Ebenfalls ist das mit einem Citrix ADC machbar. Was wird denn da für ein Postfach in der Cloud verlangt? Wenn ich mir die SPLA Preisliste angucke, ist das je nach SAL (außer evtl. Enterprise (Plus)) in meinen Augen noch im Rahmen. Und dafür würde ich mir das nicht antun.

An dieser Stelle würde ich dringend zu entweder oder raten. Warum soll es denn "ein Paar" Exchange User geben? Es gibt ja auch noch Exchange Alternativen. Am Ende des Tages wäre aber die Frage, ob die zusätzlichen Exchange CALs auf Dauer nicht günstiger sind wie evtl. (späteres) "Gefrickel". BTW.: Du lizenzierst i.d.R. keine Postfächer sondern Menschen und/oder Geräte.

Microsoft sieht das doch mit einem weiteren Exchange Server vor. Was wiederum dieses "Problem" erledigt sowie im Idealfall einen passenden LoadBalancer inkl. Reverse Proxy mitbringt. Fall gelöst. :)

An der Misere ist ja nun ganz klar MS schuld. Die könnten ja auch einfach einen zwei limitierten kleinen Exchange kostenlos bereitstellen. Noch was zum Thema Portforwarding: In der "Post TMG World" sah Microsoft es als unproblematisch an, den Exchange direkt zu veröffentlichen, da sie "securing our code, writing secure code, testing our code for security" betreiben. Das wurde ja aber auch schon widerlegt. ;) Aber auch wenn alles sicher ist, könnte man hinterfragen, ob man alles und jeden von extern an den Exchange lassen möchte und ob /ecp von extern eine gute Idee ist. (https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Life-in-a-Post-TMG-World-8211-Is-It-As-Scary-As-You-Think/ba-p/592683)

;)

Hi, das heißt TMG / UAG? Da gibt es einige 3rd Party Lösungen. Kommt jetzt halt drauf an, was an Features benötigt wird und was sonst noch neben dem Exchange da ist sowie was dann unter Umständen am besten passt.. Citrix Netscaler ADC (ggfs. auch per "Freemium" -> Keine Pre Authentication) KEMP LoadMaster (ggfs. auch "Free LoadMaster" -> Kein HA) HA Proxy Ein "WebServer" mit entsprechenden Funkionen (Apache / NGINX / IIS) ... Gruß Jan P.S.: Man könnte sich jetzt natürlich mit dem Citrix ADC Freemium HA bauen und dahinter zwei Free LoadMaster mit Pre-Auth betreiben. ;)

Hi, ja, das geht. Du brauchst halt irgendwo die Logik, die weiß welcher User wohin muss. Gruß Jan

Hi, du könntest noch überlegen, ob es überhaupt notwendig ist, die User in eine "Unter OU" mit ihrer Stadt zu schieben. Brauchst du aus administrativer Sicht die User in "Stadt OUs"? Generell könnte man diese Information z.B. über die Adresse des AD-Users lösen. New-ADUser kennt den "-Path" Parameter mit dem du den Distinguished Name der OU angeben kannst. Gruß Jan