testperson

Hi, ja es gibt Scripte, um "Profile" in FSLogix Container zu migrieren bzw. "zu wandeln". UPM zu FSLogix z.B.: http://www.citrixirc.com/?p=848. Du solltest aber überlegen was bei euch wie am besten passt. Z.B.: https://www.mycugc.org/blogs/brandon-mitchell1/2019/08/20/microsoft-fslogix-profile-containers-and-folder-re Ggfs. ist es für euch auch einfacher bei UPM bzw. eurer derzeitigen "Profillösung" zu bleiben und nur den "O365" in Profile Container zu schieben. Evtl. macht es aber auch Sinn Profile Container, Office Container und Folder Redirection einzusetzen. - It depends. ;) Die VHDX Container lassen sich per PowerShell oder auch Diskpart oder dem Diskmanager bearbeiten. Es gibt auch entsprechende Scripts zum Aufräumen. Ebenso kannst du auch, wie beim UPM, über Exclusion-Lists bestimmten "Profilmüll" direkt außen vor lassen. Hier finden sich auch viele wertvolle Infos: https://stealthpuppy.com/fslogix-containers-capacity/ Gruß Jan

Hi, ja. ;) Get-Mailbox | where { -not $_.HiddenFromAddressListsEnabled } Da musst du dir nur noch den Output passend basteln. Gruß Jan

Dann halt die Überlegung mit "günstigem Speicher" von daabm und z.B. vorerst nur die O365 relevanten Profilteile in die FSLogix Office Container auslagern.

Hi, OneDrive Files on Demand wäre evtl. ein Ansatz, sofern Ihr Win 10 Desktop OSs einsetzt. Serverseitig aber erst ab Windows Server 2019, was wiederum nicht mit CVAD (XA) 7.15 LTSR passt. Gruß Jan

Hi, der Transwiz von Forensit könnte ein Ansatz sein: https://www.forensit.com/move-computer.html Gruß Jan

Hi, welche Rolle soll denn später im Cluster laufen bzw. was soll geclusterd werden? Gruß Jan

Die "Alternative" wäre halt auch eine Idee um "Wildcard" auszuschließen.

Hi, ggfs: https://www.digicert.com/replace-your-symantec-ssl-tls-certificates-de/? Eine Alternative wäre einen neuen CSR zu erstellen und z.B. bei PSW ggfs. ein 30 Tage Test-Zeertifikat zu beantragen und erneut zu testen. Ggfs. auch Let's Encrypt oder direkt ein Zertifikat kaufen. Gruß Jan

Hi, hat sich denn der Benutzer in der Gruppe "NoShutdown" einmal ab- und angemeldet nach dem hinzufügen zur Gruppe? Da vorhanden war, müssten auch die Computerkonten Zugriff gehabt haben. AFAIK braucht der PC zum Anwenden des Loopbackverarbeitungsmodus einen Reboot. Allerdings solltest du auch folgendes beachten (https://gpsearch.azurewebsites.net/#4635): Gruß Jan

Dann musst du ja fast nur noch ein Jahr warten oder einen Deppen finden, der einen entsprechenden Vertrag für dich abschließt. Dabei kann man dann auch einen passenden LTE Router mit mieten oder kaufen. Mit "fast 17 Jahren" wird dir hier wohl nur ein Spaten und eine Schaufel ausm Baumarkt helfen. Dann kannst du schonmal den Graben für deinen FTTH Anschluss ziehen. Du wirst in deinem Alter wohl weder einen Bagger noch einen Spülbohrer oder ähnliches bekommen.

Sofern du alt genug bist und das nötige Geld hast, dann kannst du einen LTE Daten Tarif à la HomeSpot, GigaCube, etc. buchen oder den HotSpot am Handy aktivieren. ;) Ansonsten kann man auch prima bei Freunden oder im Burger King WiFi zocken. :-P Ich hätte es früher wohl auch nicht eingesehen, aber es wird sicherlich Gründe dafür geben.

Hi, mal losgelöst vom Berechtigungs Wirrwarr: Beim Lesen der Whitepaper / im Technet sollte einem eigentlich recht schnell auffallen, dass Exchange CUs immer eine vollwertige Installation sind und man immer mit dem neusten CU "frisch" installiert. Das neuste CU hat als Voraussetzung .Net 4.8. Ebenfalls fehlen dir die VC Redist 2012 / 2013. Zum Berechtigungs Wirrwarr: Wie soll den die produktive Umgebung später aussehen und um wie viele User geht es da? Ggfs. wäre ein Blick auf Exchange Online zielführender. Gruß Jan P.S.: Happy New Year (auch wenn ich noch ein paar Stunden 2019 habe). ;)

Hi, ForEach -Parallel: https://docs.microsoft.com/en-us/powershell/module/psworkflow/about/about_foreach-parallel?view=powershell-5.1 Gruß Jan

Hi, was soll / will der Kunde denn überhaupt mit dem Notfall-Admin tun? Und wann soll dieser zum Einsatz kommen? Gruß Jan

Hi, ja, sowas ist machbar. Die richtige Richtung wäre hier wohl ein Dienstleister vor Ort mit dem du das ganze durchgehst. Jetzt schon nach Soft- und Hardware fragen ist vermutlich ein Schritt zu weit. Deine Anforderung "zentralisierte Speicherung" wäre in meinen Augen nur zweitrangig. Wichtiger wäre die Frage nach der Verfügbarkeit und hier bei dir im Konkreten die Frage nach Backup / Restore bzw. Disaster Recovery. Eine weitere Frage wäre, ob ihr tatsächlich nur mit Word arbeitet bzw. was da sonst noch so benötigt wird. Daher: Wann würde der Ausfall der "zentralen Daten" euch ernsthafte Probleme bereiten? Gruß Jan

Hi, also in der Theorie, sofern man Automapping wirklich möchte, könnte man per PowerShell Script vermutlich die AD-Eigenschaften der User bzw. der freigegebenen Postfächer entsprechend bearbeiten und somit Automapping aktivieren. Das wäre eine Ansatz dafür: https://www.faq-o-matic.net/2019/03/05/exchange-mailbox-delegation-automapping/ Du musst dann eben nur die Mitglieder der Gruppe auslesen und dann entsprechend in "msExchDelegateListLink" schreiben. Gruß Jan

Hi, nein. Gruß Jan

Hi, ich verstehe nicht ganz was du vor hast. Wäre VHDX Boot oder direkt Client Hyper-V / VMware Workstation keine Option? Gruß Jan

Ich hätte einfach keine Lust auf "händischen Lastenausgleich" ebenfalls ist es schwierig so mal einen Server in Wartung zu nehmen bzw. was passiert wenn ein Terminalserver ausfällt?

Hi, ich würde an dieser Stelle ansetzen (sofern möglich). Ich meine mich allerdings auch dunkel an einen Bug bzw. eine ungünstige Konstellation zu erinnern, wo nach dem Trennen die Sitzung gekilled wurde. Einige unserer Kunden setzen leider auch ein solch wunderwerk in Software ein, welches eine Anmeldung benötigt... Gruß Jan

Hi, kurz und knapp: Zertifikat bei z.B. PSW kaufen -> 2 Jahre Glücklich sein. Wenn es tatsächlich selfsigned vom Exchange ist, wirst du bei SHA1 bleiben und jedes Device muss das neue Zertifikat bestätigen. Bei einer eigenen PKI müsste die ausstellende CA erst geprüft werden, ob diese SHA256 hashed. Hier würde auf den Devices nichts passieren. Ggfs. wäre es dann auch angebracht die Zertifikate der Root (und Subs) zu prüfen, ob die nicht auch noch SHA1 sind. Sollten in der Zertifikatskette SHA1 Zertifikate zu finden sein, müssten diese neu ausgestellt werden und entsprechend wieder aufs Device drauf. Wenn es hier nur um Exchange geht, siehe oben sowie ggfs. PKI entsorgen. Ansonsten wäre die Frage was die PKI tut und dann je nachdem neue PKI aufsetzen, Zertifikate tauschen, alte PKI entsorgen. Gruß Jan

Hi, ja das geht, würde ich aber nicht machen. Es dürfte zielführender sein, die Probleme zu analysieren und zu beheben. Gruß Jan

Zum Einen, Chapeau! Hast du dich jetzt zwei Jahre auf diese Antwort und das rumgeflame hier vorbereitet? Zum Anderen könnte man überlegen die "bestimmten Domain Controller (und das was da evtl. noch dranhängt)" in einem eigenen Forest zu betreiben. Im Bereich "Security" wird es sehr schnell in Arbeit, Kosten und Unbequemlichkeit ausarten.

Hi, für die besinnlichen Tage noch was zu tun: https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Released-December-2019-Quarterly-Exchange-Updates/ba-p/1068848 Leider sind die weitereführenden Links zu den CUs noch nicht erreichbar. Jedenfalls ist .Net 4.8 jetzt Pflicht. Exchange 2019 CU4: https://support.microsoft.com/en-ie/help/4522149/cumulative-update-4-for-exchange-server-2019 Exchange 2016 CU15: https://support.microsoft.com/en-ie/help/4522150/cumulative-update-15-for-exchange-server-2016 Gruß Jan

Hi, je nach Konfigruation von ESET bzw. egal welchem AV, würde ich fast sagen "by Design". Ad-Hoc würde ich auf Punkt 3 tippen: https://support.eset.com/en/recommended-settings-for-eset-file-security-installed-on-a-terminal-or-citrix-server-7x Eine weitere Frage wäre, was z.B. die "Network Protection" tut. Bei einem AV würde ich ein Produkt suchen welches auch tatsächlich nur "oldschool" AV macht. Leider pfuschen die meisten Hersteller irgendwelchen Mist in Ihre Produkte, die einem das Leben nicht leichter und sicherer machen. Gruß Jan