testperson

Ja. Allerdings würde ich das vermeiden wollen und deaktiviere Automapping i.d.R. In der EMS. Alternativ bekommt eine Gruppe (Notfalls auch ein User) Vollzugriff, bindet sich das Konto im Outlook ein und erteilt dann die Berechtigungen auf andere Gruppen (User).

Hi, ein freigegebenes Postfach und ein Postfach unterscheiden sich eigentlich nur dadurch, dass der Account vom freigegebenem Postfach deaktiviert ist. Berechtigungstechnisch können beide gleich behandelt werden. Evtl. ist ein öffentlicher Ordner noch eine Alternative. ;) Gruß Jan

Hi, starte aus dem Computer-Startup-Script ein neues Script, welches halt auf die Anmeldung wartet. Alternativ nimm eine Aufgabe "Beim Start des Computer" und lass die warten, bis der User angemeldet ist. Die Aufgabe wäre mein Favorit. Im Startup-Script warten könnte "b***d" werden. Gruß Jan

Hi, lass das Script doch einfach warten, bis der Key da ist. Bzw. starte ein weiteres Script welches einfach looped bis der Key da ist. Wo steht denn der "Quellwert" in der Registry und wo kommt der her? Gruß Jan

Ggfs. im Eventlog oder mit dem Process Monitor prüfen an welcher Stelle es denn anfängt "zu dauern".

Hi, das ist korrekt so. Auf den "alten" DCs wird bei der Migration ein neuer Ordner SYSVOL_DFSR erstellt, "migriert", die Freigabe SYSVOL für den Ordner SYSVOL entfernt und eine neue Freigabe SYSVOL für den Ordner SYSVOL_DFSR erstellt. Da der 2019er DC dieses Prozedere nicht miterlebt hat, liegt dort alles, korrekterweise, im SYSVOL Ordner. Gruß Jan

Was bedeutet denn "schlechte WAN Verbindung"? Ggfs. sollte dort angesetzt werden.

Hi, solange deine Sites korrekt konfiguriert sind und der Exchange nicht in einer Site mit dem RODC steht, dürfte da nichts passieren. An dieser Stelle wäre die Frage, was du dir vom RODC versprichst? Vermulich dürfte es einfacher sein, dort einen "normalen" DC zu betreiben oder eben keinen. Gruß Jan

Hi, du machst am besten einen neuen Thread auf. Auch wenn nach 14 Jahren immer noch NTFS Auditing das passende Stichwort sein sollte. Gruß Jan

FYI: https://blog.fslogix.com/fslogix-customer-faq

OT: Schnell und DKIM in einem Satz. Das habe ich bisher leider nur für meine eigenen Domains erlebt.

Hi, du könntest im Eventlog schauen, ob dort das Ergebnis noch entsprechend zu finden ist. Ansonsten wirst du eine 100% funktionalität nur durch einen tatsächlichen Restore gewährleisten können. Gruß Jan

dann habt ihr da vermutlich nicht alle erwischt (oder bei betroffenen Usern muss ein neues Outlook Profil erstellt werden). ;) An dieser Stelle wäre auch noch die Frage nach dem Updatestand des Exchange Servers. Bei RDSH Sammlungen gibt es ein PowerShell Script bzw. https://docs.microsoft.com/en-us/powershell/module/remotedesktop/set-rdclientaccessname?view=win10-ps Da bin ich mir grade nicht 100% sicher. Es lässt sich aber auch da definitiv anpassen. Das wären jedenfalls für mich beides keine Gründe, um in eine neue Gesamtstruktur zu migrieren.

Hi, warum? Nur wegen .local? Geht evtl. (noch) einmal tief in euch und überlegt euch das. Generell ist das machbar. Kommt halt im Detail drauf an, was ihr da aus "alt" wie mitnehmen wollt. Der reine Mailflow dürfte da das kleinste Problem sein. Gruß Jan

Die findet sich ebenfalls direkt beim Download auf der Hersteller-Seite in den System Requirements: https://www.microsoft.com/en-us/download/details.aspx?id=49030 ;)

Dir ist nicht aufgefallen, dass ich in meinem letzten Beitrag auf das passende Produkt von PSW verlinkt habe? Aber läuft doch jetzt 1A. Also, never touch a running system.

Führe das auf dem DC bzw. dem DNS Server deiner AD-Domäne aus: dnscmd . /zoneadd outlook.<deine öffentliche Domain.tld> /dsprimary dnscmd . /zoneadd autodiscover.<deine öffentliche Domain.tld> /dsprimary dnscmd . /recordadd outlook.<deine öffentliche Domain.tld> . A <IP des Exchanges> dnscmd . /recordadd autodiscover.<deine öffentliche Domain.tld> . A <IP des Exchanges> Und jetzt klinke ich mich hier aus.

Egal, dann lass den ersten Punkt bzgl. der AD Domäne eben web. Ernsthaft? Wenn "über MX Record" der Server hängt, verschwinden keine Mails. Die bleiben dann beim Absender bis er diese zustellen kann oder der Absender bekommt einen Hinweis, dass die Mail nicht zugestellt wurde. Seit ca. 1,5 Wochen mehr als erhebliche Probleme bei 60% eurer Arbeit? Ernsthaft? Wer entsprechend beratungsresistent ist muss eben noch öfters und evtl. noch heftiger auf die Nase fallen. Grundlagen sollten dann aber spätestens nach ein wenig Arbeit mit / in der Materie wieder da sein. Dann lass den Part bzgl. der AD-Domäne (den ersten) einfach weg und mach mit dem Rest weiter. Ja. Dann ändere den Autodiscover Record auf eure feste IP. Nein. Keinen SRV Record. A-Record. Z.B. eins von der PSW Group: https://www.psw-group.de/ssl-zertifikate/detail/c44-geotrust-quickssl-premium/

Hi, für 8 Leute einen eigenen Exchange? Wow! Hier wäre wohl Exchange Online wesentlich sinnvoller gewesen. Ich fasse die zwei Seiten mal in einer fast Schritt für Schritt Anleitung zusammen: Bzgl. des Domänennamens würde ich in deinem Fall entweder ad.<deine öffentliche Domäne>.<tld> oder <Irgendeine öffentlich registrierte Domäne ohne Bezug zum Unternehmen>.<tld> nehmen. Für die virtuellen Verzeichnisse, wie schon hier erwähnt, Split DNS Am internen DNS Server die Zone outlook.<Domain der primären SMTP Adresse>.<tld> und autodiscover.<Domain der primären SMTP Adresse>.<tld> anlegen In den neuen AD DNS Zonen jeweils einen A-Record ohne Namen nur mit der IP des Exchange Servers anlegen (Im öffentlichen DNS bei Strato je einen A-Record bzw. eine Subdomain "outlook" / "autodiscover" anlegen und auf die öffentliche IP eures ISPs verweisen) (tcp 443 / https an der Firewall auf den Exchange NATten) Alle URLs der virtuellen Verzeichnisse / Outlook Anywhere / Client Access Service auf https://outlook.<Domain der primären SMTP Domäne>.<tld> konfigurieren Get-OwaVirtualDirectory -Server <Exchange Server> | Set-OwaVirtualDirectory -InternalUrl 'https://outlook.<domain.tld>/owa' -ExternalUrl 'https://outlook.<domain.tld>/owa' Get-EcpVirtualDirectory -Server <Exchange Server> | Set-EcpVirtualDirectory -InternalUrl 'https://outlook.<domain.tld>/ecp' -ExternalUrl 'https://outlook.<domain.tld>/ecp' Get-OABVirtualDirectory -Server <Exchange Server> | Set-OABVirtualDirectory -InternalURL 'https://outlook.<domain.tld>/OAB' -ExternalURL 'https://outlook.<domain.tld>/OAB' Get-ActiveSyncVirtualDirectory -Server <Exchange Server> | Set-ActiveSyncVirtualDirectory -InternalURL 'https://outlook.<domain.tld>/Microsoft-Server-ActiveSync' -ExternalURL 'https://outlook.<domain.tld>/Microsoft-Server-ActiveSync' Get-WEbServicesVirtualDirectory -Server <Exchange Server> | Set-WEbServicesVirtualDirectory -InternalURL 'https://outlook.<domain.tld>/EWS/Exchange.asmx' -ExternalURL 'https://outlook.<domain.tld>/EWS/Exchange.asmx' Get-MapiVirtualDirectory -Server <Exchange Server> | Set-MapiVirtualDirectory -InternalURL 'https://outlook.<domain.tld>/mapi' -ExternalURL 'https://outlook.<domain.tld>/mapi' Get-ClientAccessService -Identity <Exchange Server> | Set-ClientAccessService -AutodiscoverServiceInternalUri https://outlook.<domain.tld>/autodiscover/autodiscover.xml Get-OutlookAnywhere -Server <Exchange Server> | Set-OutlookAnywhere -InternalHostname outlook.<domain.tld> -ExternalHostname outlook.<domain.tld> Ein öffentliches SAN Zertifikat mit outlook.<Domain der primären SMTP Adresse>.<tld> und autodiscover.<Domain der primären SMTP Adresse>.<tld> beantragen / signieren lassen Das Zertifikat an die Dienste IIS, IMAP, SMTP und POP binden Installierst du den Exchange auf dem einzigen Domain Controller? Ich muss vermutlich nicht erwähnen, dass ein Popkonnektor einfach nur Mist ist? Du hast scheinbar begrenzt Ahnung, von dem was du da tust. Irgendjemand, der noch weniger Ahnung vom Ganzen hat, sagt, dass muss so. Hier raten dir (alle) Leute, die Ahnung davon haben, ab. Sollte dir das nicht zu denken geben und dich dazu bewegen, es richtig zu machen sowie evtl, dem "Entscheider" das entsprechend darzulegen? Naja, egal... Viel Spaß und Erfolg. Gruß Jan P.S.: Ihr könnt seit mindestens Donnerstag nur eingeschränkt arbeiten. Kommt da niemand auf die Idee, dass da nicht nur grade was schief laufen könnte bzw. dass das so eigentlich nicht richtig sein kann?!

Hi, das klingt eher danach, dass du/ihr jemanden suchen solltet/st, der dabei behilflich ist, das umzusetzen. In diesem Schritt sollte dann der Server 2003 direkt außer Betrieb genommen werden und durch ein supportetes OS ersetzt werden. Dabei könnte auch gleich der Terminalserver akutalisiert werden, da der im Januar 2020 ebenfalls aus dem Support ist. Ansonsten: GPOs haben nichts mit Laufwerkszugriffen / Berechtigungen zu tun. Ein Script (oder Laufwerksmapping per GPO) benötigst du nur, wenn die Laufwerke automatisch verbunden werden sollen Wenn du die Richtlinien am Server 2008 R2 bearbeitest, solltest du auch dort das GPP Laufwerksmapping einrichten können Wo befinden sich denn die Laufwerke, die auf dem Terminalserver bereitgestellt werden? Dort solltest du eigentlich auch jetzt schon Berechtigungen auf Ordnern im Dateisystem setzen / verwalten können. Gruß Jan

Hi, auch in meinen Augen ist ein Strato Root Server (ohne VPN) vollkommen ungeeignet für sowas. Generell wäre das wohl mit einem Hyper-V NAT Switch möglich oder du benötigst eine virtuelle Firewall Appliance (o.ä.) die "Wan-seitig" am externen Hyper-V Switch hängt und "LAN-seitig" an einem internen/privaten Hyper-V Switch mit den VMs hängt. Gruß Jan

Wäre es nicht einfacher auf PC2 "USB zu überwachen" und alles von dort zu starten / steuern? Spontan: Im Eventlog prüfen, ob es ein USB connect / disconnect Event gibt und dort das Script triggern Eine Aufgabe an Systemstart / Anmeldung hängen, die in einer Endlosschleife die USB Platte sucht und loslegt Eine Aufgabe erstellen die alle x Minuten / Stunden ein Script ausführt, welches die USB Platte sucht und loslegt

Was für eine Aufgabe soll denn auf PC2 ausgeführt werden? Vielleicht gibt es da ja noch andere Wege? Ansonsten kann das Passwort bzw. das Credential-Object auch in einem File gespeichert werden: https://www.pdq.com/blog/secure-password-with-powershell-encrypting-credentials-part-1/ Falls es eine Domäne geben sollte, wäre wohl der einfachste Weg die PCs in die Domäne zu packen. ;)

Hi, unterm Strich möchtest du auf PC1 einen "Doppelklick machen" und auf PC2 soll was passieren? Sollte mit PowerShell oder auch psexec direkt ohne Event / Task machbar sein. Gruß Jan

Argh.. Verweigere der Gruppe mit den Computerkonten das Lesen des GPOs. In dem GPO ist ja eh nichts drin, was das Computerkonto anwenden / übernehmen könnte.