testperson

Hi, wenn ich dich richtig verstehe geht das mit einem Broker nicht. Was möchtest du denn erreichen bzw. warum benötigst du eine zweite Bereitstellung mit anderen Zertifikaten? Gruß Jan

Hi, sollte helfen: http://gpsearch.azurewebsites.net/#2469 Gruß Jan

Hi, ab wievielen Versuchen werden denn die User gesperrt? Häufig sind es Smart Phones / Tablets die nach einem Kennwortwechsel vergessen werden. Ansonsten: https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Gruß Jan

Hi, ob es schon am "machen können" scheitert, kann ich dir nicht sagen. Es ist jedenfalls nicht supported: https://docs.microsoft.com/en-us/windows-server/get-started/supported-upgrade-paths Gruß Jan

Hi, was soll die Alternative zu FileBrowser denn für Vor- oder Nachteile haben? Was fehlt / stört denn bei FileBrowser? Evtl. wäre der Zugriff vom mobilen Gerät auf einen Terminalserver eine Alternative. Gruß Jan

Hi, ggfs. einfach den neuen Host (mit neuem OS) installieren, zwei neue leere VMs (mit neuem OS) installieren und dann einfach die Rollen übertragen. Gruß Jan

https://www.gruppenrichtlinien.de/artikel/remote-desktop-server-terminal-server/ https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loopback-processing-mode/ Du solltest den Terminalserver dann in eine eigene OU schieben.

Hi, alternativ zu NorbertFe das GPO mit den User-Einstellungen wie gewohnt an die User-OU linken und den User-Konten das Lesen und Übernehmen erlauben sowie den Computer-Konten das Lesen erlauben. Gruß Jan

Hi, dafür könnte man die Stellvertreter-Funktion von Outlook nutzen oder eine andere Software wie Outlook. Gruß Jan

Dann SplitDNS, Zertifikat beantragen / installieren, URLs anpassen.

Um welche Exchange Version geht es denn überhaupt? Erstelle doch einfach einen CSR und lass dir diesen von einer öffentlichen CA signieren. Dann hast du zumindest schonmal das Zertifikat "sauber".

Hi, migriere auf eine supportete Exchange und Server Version nutze für Exchange ein Zertifikat einer öffentlichen CA Gruß Jan

Wenn du einen der User aus der lokalen Admingruppe am Terminalserver entfernst und dich anmeldest, siehst du dann noch alle Drucker oder nur die eigenen? Da die Keys im HKLM sind kann ein Boot nicht schaden.

Hi, dann lösch alle öffentlichen Ordner, die du nicht mehr brauchst, und migrieren danach alles was übrig bleibt? Oder migriere alle öffentlichen Ordner und lösche danach alles was du nicht mehr brauchst. Gruß Jan

Hi, wo ist denn das GPO verknüpft? Und was befindet sich in dieser OU? Darf das / Dürfen die Computer-Konto / Computer-Konten auf der Freigabe lesen? Gruß Jan

Hi, dann hast du entweder nicht alle URLs der virtuellen Verzeichnisse angepasst (gerne vergessen: Set-ClientAccessServer -AutoDiscoverServiceInternalUri https://<fqdn>/autodiscover/autodiscover.xml), nicht lange genug gewartet (Boote Server und Client einmal durch) oder du musst ein neues Outlook Profil anlegen. Gruß Jan

Das solltest du direkt richtig machen und auf den SRV Record verzichten.

Hi, gibt es in der Domain schon Windows 10 Clients? Oder lässt sich der erste Win10 Client nicht in die Domäne aufnehmen? AFAIK brauchst du für Win10 mindestens das FFL / DFL 2003. Ist der DC ein SBS? Gruß Jan

Hi, mir erscheint der einzige Unterschied bei euch beiden zu sein, dass du Windows Server 2008 einsetzt und dein Kumepl Windows Server 2012 R2. Gruß Jan

Hi, warum nicht direkt auf das aktuelle CU19? Der Rest kommt halt, wie so oft, drauf an. Du kannst den Smarthost evtl. weiter nutzen musst du aber auch nicht. Wie sieht denn dein Sendeconnector derzeit aus? Wird die Domain abc.de später vom Linux Server und dem Exchange genutzt? Wie fit bist du denn im Thema Exchange? Evtl. wäre es sinnvoll, dass ganze einmal vor Ort mit jemanden durchzusprechen. Gruß Jan

Dann verweigere den Dom-Admins bzw. der Administratorengruppe das Übernehmen. Die schönere Alternative wäre in den Sicherheitseinstellungen Authentifizierte Benutzer entfernen und den Benutzern bzw. der Gruppe mit den Benutzern sowie die Computerkonten bzw. der Gruppe mit den Computerkonten (RD-SH01 und RD-SH02) zu berechtigen das GPO zu lesen und zu übernehmen.

Welche Objekte sind in der OU RDSm16? Falls da nur die RDSH Konten drin sind, dann lass doch die Delegierung / Filterung auf Standard und aktiviere nur den Loopbackverarbeitungsmodus.

Hi, die RDSH hast du auch (zweimal) durchgebootet, nachdem du sie in die OU geschoben hast? Neben der Gruppe mit den RDS Usern dürfen auch die RDSH-Server das GPO lesen bzw. übernehmen? Was gibt denn ein "gpresult /h gpo.html"? Gruß Jan

Hi, ja. Ab 2016 muss der Regkey aus dem von dir verlinkten Artikel gesetzt werden. Ich würde es aber bevorzugen diese Dinge per GPO zu konfigurieren. In welcher OU befindet sich denn der bzw. die RDSH? Mit welcher OU wurde das GPO verknüpft? Loopback Replace oder Merge? Gruß Jan P.S.: Den Reg Eintrag am Broker brauchst du nicht. Wie im anderen Thread beschrieben, ist das nur ein Würgaround.

Hi, was hast du denn da vor? Wofür sollen die Zertifikate denn am Ende sein? Gruß Jan