testperson

Hi, solange deine Sites korrekt konfiguriert sind und der Exchange nicht in einer Site mit dem RODC steht, dürfte da nichts passieren. An dieser Stelle wäre die Frage, was du dir vom RODC versprichst? Vermulich dürfte es einfacher sein, dort einen "normalen" DC zu betreiben oder eben keinen. Gruß Jan

Hi, du machst am besten einen neuen Thread auf. Auch wenn nach 14 Jahren immer noch NTFS Auditing das passende Stichwort sein sollte. Gruß Jan

FYI: https://blog.fslogix.com/fslogix-customer-faq

OT: Schnell und DKIM in einem Satz. Das habe ich bisher leider nur für meine eigenen Domains erlebt.

Hi, du könntest im Eventlog schauen, ob dort das Ergebnis noch entsprechend zu finden ist. Ansonsten wirst du eine 100% funktionalität nur durch einen tatsächlichen Restore gewährleisten können. Gruß Jan

dann habt ihr da vermutlich nicht alle erwischt (oder bei betroffenen Usern muss ein neues Outlook Profil erstellt werden). ;) An dieser Stelle wäre auch noch die Frage nach dem Updatestand des Exchange Servers. Bei RDSH Sammlungen gibt es ein PowerShell Script bzw. https://docs.microsoft.com/en-us/powershell/module/remotedesktop/set-rdclientaccessname?view=win10-ps Da bin ich mir grade nicht 100% sicher. Es lässt sich aber auch da definitiv anpassen. Das wären jedenfalls für mich beides keine Gründe, um in eine neue Gesamtstruktur zu migrieren.

Hi, warum? Nur wegen .local? Geht evtl. (noch) einmal tief in euch und überlegt euch das. Generell ist das machbar. Kommt halt im Detail drauf an, was ihr da aus "alt" wie mitnehmen wollt. Der reine Mailflow dürfte da das kleinste Problem sein. Gruß Jan

Die findet sich ebenfalls direkt beim Download auf der Hersteller-Seite in den System Requirements: https://www.microsoft.com/en-us/download/details.aspx?id=49030 ;)

Dir ist nicht aufgefallen, dass ich in meinem letzten Beitrag auf das passende Produkt von PSW verlinkt habe? Aber läuft doch jetzt 1A. Also, never touch a running system.

Führe das auf dem DC bzw. dem DNS Server deiner AD-Domäne aus: dnscmd . /zoneadd outlook.<deine öffentliche Domain.tld> /dsprimary dnscmd . /zoneadd autodiscover.<deine öffentliche Domain.tld> /dsprimary dnscmd . /recordadd outlook.<deine öffentliche Domain.tld> . A <IP des Exchanges> dnscmd . /recordadd autodiscover.<deine öffentliche Domain.tld> . A <IP des Exchanges> Und jetzt klinke ich mich hier aus.

Egal, dann lass den ersten Punkt bzgl. der AD Domäne eben web. Ernsthaft? Wenn "über MX Record" der Server hängt, verschwinden keine Mails. Die bleiben dann beim Absender bis er diese zustellen kann oder der Absender bekommt einen Hinweis, dass die Mail nicht zugestellt wurde. Seit ca. 1,5 Wochen mehr als erhebliche Probleme bei 60% eurer Arbeit? Ernsthaft? Wer entsprechend beratungsresistent ist muss eben noch öfters und evtl. noch heftiger auf die Nase fallen. Grundlagen sollten dann aber spätestens nach ein wenig Arbeit mit / in der Materie wieder da sein. Dann lass den Part bzgl. der AD-Domäne (den ersten) einfach weg und mach mit dem Rest weiter. Ja. Dann ändere den Autodiscover Record auf eure feste IP. Nein. Keinen SRV Record. A-Record. Z.B. eins von der PSW Group: https://www.psw-group.de/ssl-zertifikate/detail/c44-geotrust-quickssl-premium/

Hi, für 8 Leute einen eigenen Exchange? Wow! Hier wäre wohl Exchange Online wesentlich sinnvoller gewesen. Ich fasse die zwei Seiten mal in einer fast Schritt für Schritt Anleitung zusammen: Bzgl. des Domänennamens würde ich in deinem Fall entweder ad.<deine öffentliche Domäne>.<tld> oder <Irgendeine öffentlich registrierte Domäne ohne Bezug zum Unternehmen>.<tld> nehmen. Für die virtuellen Verzeichnisse, wie schon hier erwähnt, Split DNS Am internen DNS Server die Zone outlook.<Domain der primären SMTP Adresse>.<tld> und autodiscover.<Domain der primären SMTP Adresse>.<tld> anlegen In den neuen AD DNS Zonen jeweils einen A-Record ohne Namen nur mit der IP des Exchange Servers anlegen (Im öffentlichen DNS bei Strato je einen A-Record bzw. eine Subdomain "outlook" / "autodiscover" anlegen und auf die öffentliche IP eures ISPs verweisen) (tcp 443 / https an der Firewall auf den Exchange NATten) Alle URLs der virtuellen Verzeichnisse / Outlook Anywhere / Client Access Service auf https://outlook.<Domain der primären SMTP Domäne>.<tld> konfigurieren Get-OwaVirtualDirectory -Server <Exchange Server> | Set-OwaVirtualDirectory -InternalUrl 'https://outlook.<domain.tld>/owa' -ExternalUrl 'https://outlook.<domain.tld>/owa' Get-EcpVirtualDirectory -Server <Exchange Server> | Set-EcpVirtualDirectory -InternalUrl 'https://outlook.<domain.tld>/ecp' -ExternalUrl 'https://outlook.<domain.tld>/ecp' Get-OABVirtualDirectory -Server <Exchange Server> | Set-OABVirtualDirectory -InternalURL 'https://outlook.<domain.tld>/OAB' -ExternalURL 'https://outlook.<domain.tld>/OAB' Get-ActiveSyncVirtualDirectory -Server <Exchange Server> | Set-ActiveSyncVirtualDirectory -InternalURL 'https://outlook.<domain.tld>/Microsoft-Server-ActiveSync' -ExternalURL 'https://outlook.<domain.tld>/Microsoft-Server-ActiveSync' Get-WEbServicesVirtualDirectory -Server <Exchange Server> | Set-WEbServicesVirtualDirectory -InternalURL 'https://outlook.<domain.tld>/EWS/Exchange.asmx' -ExternalURL 'https://outlook.<domain.tld>/EWS/Exchange.asmx' Get-MapiVirtualDirectory -Server <Exchange Server> | Set-MapiVirtualDirectory -InternalURL 'https://outlook.<domain.tld>/mapi' -ExternalURL 'https://outlook.<domain.tld>/mapi' Get-ClientAccessService -Identity <Exchange Server> | Set-ClientAccessService -AutodiscoverServiceInternalUri https://outlook.<domain.tld>/autodiscover/autodiscover.xml Get-OutlookAnywhere -Server <Exchange Server> | Set-OutlookAnywhere -InternalHostname outlook.<domain.tld> -ExternalHostname outlook.<domain.tld> Ein öffentliches SAN Zertifikat mit outlook.<Domain der primären SMTP Adresse>.<tld> und autodiscover.<Domain der primären SMTP Adresse>.<tld> beantragen / signieren lassen Das Zertifikat an die Dienste IIS, IMAP, SMTP und POP binden Installierst du den Exchange auf dem einzigen Domain Controller? Ich muss vermutlich nicht erwähnen, dass ein Popkonnektor einfach nur Mist ist? Du hast scheinbar begrenzt Ahnung, von dem was du da tust. Irgendjemand, der noch weniger Ahnung vom Ganzen hat, sagt, dass muss so. Hier raten dir (alle) Leute, die Ahnung davon haben, ab. Sollte dir das nicht zu denken geben und dich dazu bewegen, es richtig zu machen sowie evtl, dem "Entscheider" das entsprechend darzulegen? Naja, egal... Viel Spaß und Erfolg. Gruß Jan P.S.: Ihr könnt seit mindestens Donnerstag nur eingeschränkt arbeiten. Kommt da niemand auf die Idee, dass da nicht nur grade was schief laufen könnte bzw. dass das so eigentlich nicht richtig sein kann?!

Hi, das klingt eher danach, dass du/ihr jemanden suchen solltet/st, der dabei behilflich ist, das umzusetzen. In diesem Schritt sollte dann der Server 2003 direkt außer Betrieb genommen werden und durch ein supportetes OS ersetzt werden. Dabei könnte auch gleich der Terminalserver akutalisiert werden, da der im Januar 2020 ebenfalls aus dem Support ist. Ansonsten: GPOs haben nichts mit Laufwerkszugriffen / Berechtigungen zu tun. Ein Script (oder Laufwerksmapping per GPO) benötigst du nur, wenn die Laufwerke automatisch verbunden werden sollen Wenn du die Richtlinien am Server 2008 R2 bearbeitest, solltest du auch dort das GPP Laufwerksmapping einrichten können Wo befinden sich denn die Laufwerke, die auf dem Terminalserver bereitgestellt werden? Dort solltest du eigentlich auch jetzt schon Berechtigungen auf Ordnern im Dateisystem setzen / verwalten können. Gruß Jan

Hi, auch in meinen Augen ist ein Strato Root Server (ohne VPN) vollkommen ungeeignet für sowas. Generell wäre das wohl mit einem Hyper-V NAT Switch möglich oder du benötigst eine virtuelle Firewall Appliance (o.ä.) die "Wan-seitig" am externen Hyper-V Switch hängt und "LAN-seitig" an einem internen/privaten Hyper-V Switch mit den VMs hängt. Gruß Jan

Wäre es nicht einfacher auf PC2 "USB zu überwachen" und alles von dort zu starten / steuern? Spontan: Im Eventlog prüfen, ob es ein USB connect / disconnect Event gibt und dort das Script triggern Eine Aufgabe an Systemstart / Anmeldung hängen, die in einer Endlosschleife die USB Platte sucht und loslegt Eine Aufgabe erstellen die alle x Minuten / Stunden ein Script ausführt, welches die USB Platte sucht und loslegt

Was für eine Aufgabe soll denn auf PC2 ausgeführt werden? Vielleicht gibt es da ja noch andere Wege? Ansonsten kann das Passwort bzw. das Credential-Object auch in einem File gespeichert werden: https://www.pdq.com/blog/secure-password-with-powershell-encrypting-credentials-part-1/ Falls es eine Domäne geben sollte, wäre wohl der einfachste Weg die PCs in die Domäne zu packen. ;)

Hi, unterm Strich möchtest du auf PC1 einen "Doppelklick machen" und auf PC2 soll was passieren? Sollte mit PowerShell oder auch psexec direkt ohne Event / Task machbar sein. Gruß Jan

Argh.. Verweigere der Gruppe mit den Computerkonten das Lesen des GPOs. In dem GPO ist ja eh nichts drin, was das Computerkonto anwenden / übernehmen könnte.

Hi, was ist denn das eigentliche Problem? Die User wollen die Mails nicht x-Mal im Posteingang? Das sind alles Mails mit 50MB im Anhang und du möchtest Speicherplatz sparen? ? Bei 1) Sollten die User vielleicht nur den Kopf einschalten. ;) Es sollte ja ersichtlich sein, dass die Mail an die Verteilerliste ging. Bei 2) Sollte es 3rd Party Software geben oder Notfalls Transportregeln, die die Anlagen (woanders) speichern und aus der Mail entfernen Gruß Jan

Hi, erstelle eine Gruppe mit den Computerkonten, die das GPO nicht anwenden sollen und setze den "Verweigern" Haken bei "Gruppenrichtlinie übernehmen". Gruß Jan P.S.: Die Computer nach Aufnahme in die Gruppe durchbooten. ;)

Hi, wenn es wichtig war, eine auf Datenrettung spezialisierte Firma kontaktieren. Ansonsten ggfs. mit den diversen Tools zur Wiederherstellung rumdoktoren. Gruß Jan

Hi, so wird das nichts. ;) Die Computerkonten müssen das GPO lesen können. Generell würde ich die Berechtigungen lassen wie sie sind und entsprechend anpassen / ergänzen. Authentifzierte Benutzer entfernen oder den "Zulassen" Haken bei "Gruppenrichtlinie übernehmen" entfernen Falls du die Authentifizierten Benutzer entfernst, die Gruppe "Domänencomputer" mit "Lesen" hinzufügen, da die Computerkonten das GPO lesen können müssen. Wenn Domänen-Admins (und ggfs. Organisations-Admins) das GPO nicht anwenden sollen -> "Verweigern" Haken bei "Gruppenrichtlinie übernehmen" setzen TestGruppe hinzufügen und "Zulassen" Haken bei "Gruppenrichtlinie übernehmen" setzen Falls du die Authentifizierten Benutzer entfernst, zusätzlich noch "Lesen" erlauben (Ist per Default angehakt beim Hinzufügen) Das sollte es gewesen sein. Gruß Jan

Evtl. die UAC ausgeschaltet / angepasst und / oder mit dem Built-In Admin gearbeitet?

Hi und herzliche Willkommen bei der UAC. ;) Siehe: https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/ Gruß Jan

Hi, das sollte per Transportregel gehen. Allerdings wäre die Frage für welches Problem diese Lösung denn gut sein soll? Evtl. wäre es auch über eine Verteilergruppe machbar o.ä. machbar. Gruß Jan