testperson

Ein käuflich erworbenes bzw. signiertes Zertifikat. (Wenn genug Zeit und Lust vorhanden ist, kann man das auch mit Let's Encrypt "kostenlos" erledigen.)

Hi, generell brauchst du keine CA. Das funktioniert auch mit den entsprechenden selbstsignierten Zertifikaten, die bei Installation erstellt werden. Nur für Terminaldienste würde ich auch keine eigene PKI / CA aufsetzen, sofern es keinen weiteren Bedarf gibt, sondern auf Zertifikate einer öffentichen CA zurückgreifen. Gruß Jan P.S.: Ich würde ebenfalls nicht mit selfsigned Zertifikaten "hantieren".

Hi, das sind so Schritte, die man regelmäßig machen sollte. Generell klingt das nach einem automatisch installierten Sicherheitsupdate (nicht CU) von Exchange. Auf welchem CU ist / war der Exchange denn? Gruß Jan

Und wo ist / war jetzt das Problem?

Hi, um welches Client OS bzw. auf welche OSs soll das GPO wirken? Bei Windows 10 / Server 2016 (bzw. ab Win 8 glaube ich) erreichst du dein Vorhaben durch Dism und Ex- / Import der DefaultAppAssociations. Sobald du die XML per GPO verteilst, wird die logischerweise immer das überschreiben, was der User konfiguriert. An einem PC die Zuordnung einrichten "Dism /Online /Export-DefaultAppAssociations:<Pfad wo du die XML haben willst>" "Dism /Online /Import-DefaultAppAssociations:<Pfad wo die XML liegt>" Gruß Jan

Ach ja, HP AMS... Vielen Dank jedenfalls, das Patchen steht bei uns auch noch an. Da sparen wir uns wohl etwas Troubleshooting bzw. generell den Fehler.

Du hast zu 99% immer noch ein Problem mit SplitDNS. Das andere Phänomen ist vermutlich mit dem Stichwort "AdminSDHolder" zu lösen. Ganz ehrlich: Holt euch externe Hilfe. Zumindest der Exchange macht bei euch ja schon seit (über?) zwei Wochen Probleme! Jetzt bin ich hier aber endgültig raus.

Wenn du SYSVOL jemals von FRS zu DFS migrieren musstest (und diese DCs noch vorhanden sind), dann gibt es die SYSVOL_DFSR Ordner auf eben allen DCs die vorher FRS nutzten. Man _muss_ halt erst mit dem ersten 2019er DC (bzw. um genau zu sein ab Windows Server 2016 1709 (also nur SAC)) auf DFS migriert haben.

Ggfs. AnyDesk (https://anydesk.com/de). Aber keine Ahnung, ob die ähnlich vorgehen wie Teamviewer.

Ein wenig OT: Bzgl. deiner Virtualisierungsumgebung: https://kb.vmware.com/s/article/2145103

Ja. Allerdings würde ich das vermeiden wollen und deaktiviere Automapping i.d.R. In der EMS. Alternativ bekommt eine Gruppe (Notfalls auch ein User) Vollzugriff, bindet sich das Konto im Outlook ein und erteilt dann die Berechtigungen auf andere Gruppen (User).

Hi, ein freigegebenes Postfach und ein Postfach unterscheiden sich eigentlich nur dadurch, dass der Account vom freigegebenem Postfach deaktiviert ist. Berechtigungstechnisch können beide gleich behandelt werden. Evtl. ist ein öffentlicher Ordner noch eine Alternative. ;) Gruß Jan

Hi, starte aus dem Computer-Startup-Script ein neues Script, welches halt auf die Anmeldung wartet. Alternativ nimm eine Aufgabe "Beim Start des Computer" und lass die warten, bis der User angemeldet ist. Die Aufgabe wäre mein Favorit. Im Startup-Script warten könnte "b***d" werden. Gruß Jan

Hi, lass das Script doch einfach warten, bis der Key da ist. Bzw. starte ein weiteres Script welches einfach looped bis der Key da ist. Wo steht denn der "Quellwert" in der Registry und wo kommt der her? Gruß Jan

Ggfs. im Eventlog oder mit dem Process Monitor prüfen an welcher Stelle es denn anfängt "zu dauern".

Hi, das ist korrekt so. Auf den "alten" DCs wird bei der Migration ein neuer Ordner SYSVOL_DFSR erstellt, "migriert", die Freigabe SYSVOL für den Ordner SYSVOL entfernt und eine neue Freigabe SYSVOL für den Ordner SYSVOL_DFSR erstellt. Da der 2019er DC dieses Prozedere nicht miterlebt hat, liegt dort alles, korrekterweise, im SYSVOL Ordner. Gruß Jan

Was bedeutet denn "schlechte WAN Verbindung"? Ggfs. sollte dort angesetzt werden.

Hi, solange deine Sites korrekt konfiguriert sind und der Exchange nicht in einer Site mit dem RODC steht, dürfte da nichts passieren. An dieser Stelle wäre die Frage, was du dir vom RODC versprichst? Vermulich dürfte es einfacher sein, dort einen "normalen" DC zu betreiben oder eben keinen. Gruß Jan

Hi, du machst am besten einen neuen Thread auf. Auch wenn nach 14 Jahren immer noch NTFS Auditing das passende Stichwort sein sollte. Gruß Jan

FYI: https://blog.fslogix.com/fslogix-customer-faq

OT: Schnell und DKIM in einem Satz. Das habe ich bisher leider nur für meine eigenen Domains erlebt.

Hi, du könntest im Eventlog schauen, ob dort das Ergebnis noch entsprechend zu finden ist. Ansonsten wirst du eine 100% funktionalität nur durch einen tatsächlichen Restore gewährleisten können. Gruß Jan

dann habt ihr da vermutlich nicht alle erwischt (oder bei betroffenen Usern muss ein neues Outlook Profil erstellt werden). ;) An dieser Stelle wäre auch noch die Frage nach dem Updatestand des Exchange Servers. Bei RDSH Sammlungen gibt es ein PowerShell Script bzw. https://docs.microsoft.com/en-us/powershell/module/remotedesktop/set-rdclientaccessname?view=win10-ps Da bin ich mir grade nicht 100% sicher. Es lässt sich aber auch da definitiv anpassen. Das wären jedenfalls für mich beides keine Gründe, um in eine neue Gesamtstruktur zu migrieren.

Hi, warum? Nur wegen .local? Geht evtl. (noch) einmal tief in euch und überlegt euch das. Generell ist das machbar. Kommt halt im Detail drauf an, was ihr da aus "alt" wie mitnehmen wollt. Der reine Mailflow dürfte da das kleinste Problem sein. Gruß Jan

Die findet sich ebenfalls direkt beim Download auf der Hersteller-Seite in den System Requirements: https://www.microsoft.com/en-us/download/details.aspx?id=49030 ;)