testperson

Ich würde zuerst einmal die Kommunikation mit allen DCs / DNS ermöglichen.

Da fehlt doch autodiscover.<domain>.<tld>. Und mit dem Zertifikat sollte der Browser sowohl bei autodiscover.<domain>.<tld> wie auch mail.<domain>.<tld>. eine Zertifikatswarnung ausspucken. P.S.: Beim Subject solltest du ggfs. den CN noch anonymisieren.

Der Quellhost ist aber in der Domäne und hat auch eine entsprechende Verbindung zur Domäne bzw. den DCs? Dort ist mit der Firewall auch alles i.O.?

Und welche Netze werden für die Live Migration genommen? Welche Leistungsoption (TCP/IP / Komprimierung / SMB)? Sind die Hosts in einer bzw. in der gleichen Domäne? Die Windows Firewall passt?

Rufe testweise mal OWA von intern und extern über https://autodiscover.<domain>.<tld>/owa, https://mobil.<domain>.<tld>/owa und https://mail.<domain>.<tld>/owa auf. Was gibt denn: Get-ExchangeCertificate | fl CertificateDomains, Issuer, Subject, Not*, Services, Status

Hi, das neue Zertifikat wurde auch an die Dienste gebunden? Bei der Zertifikatswarnung zeigt Outlook auch das korrekte neue Zertifikat an? Was kommt wenn du im Browser einmal die konfigurierten URLs für OWA aufrufst? Ansonsten boote den Exchange einmal durch und danach einen Client. Gruß Jan P.S.: Der Exchange 2010 und der Windows Server dadrunter sind aktuell gepatched?

Hi, ggfs.: https://blogs.technet.microsoft.com/exchange/2018/07/16/issue-with-july-updates-for-windows-on-an-exchange-server/ Gruß Jan

Hi, funktioniert es denn, wenn du für die Hyper-V Hosts bzw. generell einmal ANY <-> ANY erlaubst? Die Firewall hat auch keine Spezialfunktion für RPC o.ä.? Du verschiebst nur die VM oder auch den Speicher? Wie sind die Einstellungen bzw. Erweiterten Features für Live Migration konfiguriert? Gruß Jan

Hi, man kann so eine VMDK auch auf einen anderen Host kopieren. Oder auf dem alten Host eine neue Dummy-VM aufesetzen, die dann die "alte" Platte des DCs bekommt. Wo läuft denn jetzt der 2te DC? Auf einem ESX oder auf einem Office Rechner? Bzw. was tut ein DC auf einem Office Rechner? So "chirurgisch" ist das nicht wenn man bedenkt wie das damals( ™ ) mit ntdsutil war.. Gruß Jan

Hi, ggfs. wäre was mit einem evtl. vorhandenen Reverse-Proxy zu machen. Mit einem Netscaler davor könnte man OWA z.B. in die Unified Gateway Oberfläche einbinden. Dann hast du oben rechts in der Ecke den Login Namen der ein Menü aufklappt mit dem Punkt "Kennwort ändern". Sowas kann man sich sicherlich auch selber bauen und OWA "einfach" in ein Portal einbetten und das Kennwort über diese Portal ändern. Ging bzw. geht z.B. mit Forefron UAG auch. Gruß Jan

Hi, wenn es eine VM ist, kannst du doch die virtuelle Festplatte danach einfach als weitere Platte an einen anderen Server hängen und dort an die Daten kommen. Daher sollte es genügen, sofern es nur ein DC war und es noch weitere gibt, im ADUC (dsa.msc) das Computer Konto des DCs zu löschen, im ADSS (dssite.msc) am entsprechenden Standort den Server zu löschen. Danach ggfs. noch im DNS aufräumen. Sollte der DC die FSMO Rollen haben, solltest du diese vorher noch auf einen funktionierenden DC verschieben. Gruß Jan

Hi, kannst du mit einem der Beispiele (https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/send-mailmessage?view=powershell-5.1) eine kurze Testmail senden? Gruß Jan

Hi, ich verstehe das jetzt so richtig: Es gibt Windows Server 2016 Datacenter / Standard CORE "Lizenzen" die wir melden Es gibt entsprechende SALs für Remote Desktop, Exchange, etc. Es gibt keine Windows Storage Server 2016 CORE "Lizenzen" Es gibt keine Windows Storage Server SAL Heißt unterm Strich, wir können nichts melden, da es nichts gibt und der Zugriff auf einen Windows Storage Server ist wie im "In-House-Fall" durch die mitgelieferte und vorinstallierte OS Lizenz abgedeckt. Vielen Dank @lizenzdoc Gruß Jan

Hi, wir setzen bei uns im Hosting als Backupstorage HP StoreEasy System mit Windows Storage Server 2016 als OS ein. Hier kam jetzt die Frage auf, ob und wie wir ggfs. das Windows Storage Server OS lizenzieren können / müssen. Wir können da ja per SPLA erstmal nur Datacenter und / oder Standard melden. Ist der Storage Server, wie auch In-House, nicht CAL bzw. im SPLA dann meldepflichtig? Ist zwar eigentlich nicht meine Baustelle, aber wir warten da scheinbar schon länger auf eine Antwort. Falls jemand also was dazu sagen kann, wäre ich über eine Info dankbar. Gruß Jan

Und jetzt in realistisch (zumindest für "Buchhaltungssoftware" und Datenverlust). Oder wie möchstest du das mit _einem_ Host und jeweils _einer_ VM mit der Anwendung bewerkstelligen? Ich dachte eigenltich eher an den Hersteller und Namen der Software. Nicht was sie tut. P.S.: Ich glaube ein Forum ist in diesem Fall der falsche Ort. P.P.S.: Das ist nicht böse gemeint. Eher ein gut gemeinter Ratschlag.

Hi, das kann man sicherlich so machen, muss man aber nicht. Das kommt vermutlich drauf an. Ein erster wichtiger Schritt wäre schonmal die geheimen Anwendungen 1 und 2 zu benennen. Danach könnte man grob abstecken, was und wie lange es ausfallen darf und wieviele Daten dabei verloren gehen dürfen. Dann kann man weitersehen. Gruß Jan

Selbst wenn du ein ganzes Subnetz benötigst, kann man bei Hetzner AFAIK einrichten (lassen), dass dieses Subnetz auf der zu installierenden WAN-MAC-Adresse der Firewall-VM liegt und diese dann DNAT / SNAT machen kann.

Ich lese aus raus, dass die kleine Firma von einer "größeren" Firma mit Exchange aufgekauft wurde und die 3 Postfächer jetzt auf diesem Exhange mit zigtausend weiteren Mailboxen liegen.

Hi, Edge Transport -> Address Rewriting: https://docs.microsoft.com/en-us/exchange/architecture/edge-transport-servers/address-rewriting Oder halt mit nem Smart Host davor der Address Rewriting kann (z.B. Postfix). Gruß Jan

Hi, auch wenns dir nicht helfen wird: Ich würde VPN auf einer dafür vorgesehen Appliance / Firewall terminieren und RRAS vermeiden. Insbesondere würde ich _nie_ RRAS auf einem DC betreiben (Stichwort: Multihomed DC). Gruß Jan

Hi, erste Gehversuche mit einem Rootserver bei Hetzner halte ich für nicht sehr hilfreich / förderlich. Anstelle des NAT-Switches wäre es sinnvoller eine Firewall VM zu installieren, die mit dem WAN Interface an deinen derzeitigen Switch kommt sowie an einen zweiten "Internal" Switch. Dann kannst du bei Hetzner eine weitere öffentliche IP bestellen und der MAC Adresse der WAN Schnittstelle der Firewall VM zuweisen. Schon macht die Firewall NAT. Deine sonstigen VMs kommen dann alle an den internen Switch. Gruß Jan

Hi, z.B. pfSense mit Squid-Guard. Ich könnte mir aber vorstellen, das ein Content-Filter für den evtl. vorhandenen Router unterm Strich günstiger wird wie sich in pfSense mit Squid-Guard einzuarbeiten. Gruß Jan

Ggfs. hilft das: https://communities.vmware.com/thread/389628

Ich würde als erstes mal gucken, auf welchen HCLs der Server überhaupt so mit seinen Komponenten auftaucht und dann weiter sehen. Der LSI RAID Controller wird vermutlich einfach nicht mehr wie 2TB können. Siehe z.B.: https://www.broadcom.com/support/knowledgebase/1211161495837/using-drives-2tb-in-capacity-with-lsi-sas-hbas "Kosten-Nutzen" hätte man ggfs. mal bedenken sollen, als man für das System mal eben so die neuen Platten gekauft hat. ;) Ich vermute, dass die Daten nur auf einer Platte landen. Ich würde es aber gar nicht erst testen..

Hi, du wirst vermutlich einen passenden Treiber für dein Onboard(?) SATA RAID brauchen. Allerdings gehe ich davon aus, dass du keine finden wirst, da ein solches "Software" RAID nicht supported ist. Des Weiteren ist so oder so spätestens am 19.09.2018 Ende (EOGS) mit vSphere 5.5. Gruß Jan