testperson

Hi, mir erscheint der einzige Unterschied bei euch beiden zu sein, dass du Windows Server 2008 einsetzt und dein Kumepl Windows Server 2012 R2. Gruß Jan

Hi, warum nicht direkt auf das aktuelle CU19? Der Rest kommt halt, wie so oft, drauf an. Du kannst den Smarthost evtl. weiter nutzen musst du aber auch nicht. Wie sieht denn dein Sendeconnector derzeit aus? Wird die Domain abc.de später vom Linux Server und dem Exchange genutzt? Wie fit bist du denn im Thema Exchange? Evtl. wäre es sinnvoll, dass ganze einmal vor Ort mit jemanden durchzusprechen. Gruß Jan

Dann verweigere den Dom-Admins bzw. der Administratorengruppe das Übernehmen. Die schönere Alternative wäre in den Sicherheitseinstellungen Authentifizierte Benutzer entfernen und den Benutzern bzw. der Gruppe mit den Benutzern sowie die Computerkonten bzw. der Gruppe mit den Computerkonten (RD-SH01 und RD-SH02) zu berechtigen das GPO zu lesen und zu übernehmen.

Welche Objekte sind in der OU RDSm16? Falls da nur die RDSH Konten drin sind, dann lass doch die Delegierung / Filterung auf Standard und aktiviere nur den Loopbackverarbeitungsmodus.

Hi, die RDSH hast du auch (zweimal) durchgebootet, nachdem du sie in die OU geschoben hast? Neben der Gruppe mit den RDS Usern dürfen auch die RDSH-Server das GPO lesen bzw. übernehmen? Was gibt denn ein "gpresult /h gpo.html"? Gruß Jan

Hi, ja. Ab 2016 muss der Regkey aus dem von dir verlinkten Artikel gesetzt werden. Ich würde es aber bevorzugen diese Dinge per GPO zu konfigurieren. In welcher OU befindet sich denn der bzw. die RDSH? Mit welcher OU wurde das GPO verknüpft? Loopback Replace oder Merge? Gruß Jan P.S.: Den Reg Eintrag am Broker brauchst du nicht. Wie im anderen Thread beschrieben, ist das nur ein Würgaround.

Hi, was hast du denn da vor? Wofür sollen die Zertifikate denn am Ende sein? Gruß Jan

Hi, zum Einen solltest du kein DNS Round Robin nutzen und zum Anderen ist das Verhalten bei RemoteFX AFAIK so korrekt. Du musst die Terminalserver entweder auf der Hardware direkt samt GPU nutzen oder DDA (Discrete Device Assignment) für die VM nutzen. Gruß Jan

Hi, ob GPO oder WSUS hier helfen, kann ich dir nicht sagen. Du kannst allerdings mit dem Office 2016 Deployment Tool ein entsprechende Paket erstellen: https://docs.microsoft.com/en-us/deployoffice/overview-of-the-office-2016-deployment-tool https://docs.microsoft.com/en-us/deployoffice/overview-of-update-channels-for-office-365-proplus Gruß Jan P.S.: Laut dem zweiten Link, geht es wohl auch per GPO (https://www.microsoft.com/en-us/download/details.aspx?id=49030).

Nutzt das Postfach eine andere primäre SMTP Adresse wie z.B. ein funktionierendes Postfach? Ggfs. testweise mal Mapi over http für die Mailbox deaktivieren: Set-CasMailbox <User> -MapiHttpEnabled $false

Verschlüsselung? Knackbar? Da empfehle ich den KRYPTOCHEF Detlef Granzow (persönlich). SCNR Leider nur noch im archive.org: https://web.archive.org/web/20140517202802/http://kryptochef.net/ (Ich hatte Ihn schon fast vergessen)

Guck einfach was ggfs. dort in der Registry zu finden ist. Default ist meine ich, dass administrative User alle Drucker sehen. BTW. Hauptbenutzer würde ich ebenfalls vermeiden: https://www.faq-o-matic.net/2007/01/27/wie-hauptbenutzer-zu-admins-werden/

Hi, ich würde dir hier ebenfalls wie im anderen Thread zu Split DNS und interne = externe URLs raten und ebenfalls zu einem passenden Zertifikat. Ansonsten wie sind die vDirs auf dem Ex2010 und wie auf dem Ex2016 und was für ein Zertifikat nutzt du? Gruß Jan

Die User sind lokale Admins auf dem Terminalserver? Dann solltest du das ändern oder du musst eben https://support.citrix.com/article/CTX124885/ umsetzen und testen.

Aus diesem Grund ist es u.a. Best Practice die internen und externen URLs gleich zu setzen und SplitDNS zu konfigurieren. Ebenfalls musst du dann vermutlich noch Proxy-Ausnahmen für diese URLs definieren.

Hi, welche XenApp Version setzt ihr denn ein? I.d.R. sehen nur administrative User alle verbunden Drucker von allen Usern. Ich bin mir nicht sicher, ob man das per Citrix Richtlinie für jeden User aktivieren kann. Veröffentlicht Ihr die Session oder nur Apps? Ansonsten ggfs.: https://support.citrix.com/article/CTX124885/ https://support.citrix.com/article/CTX213455 Gruß Jan

Wo die Clients (Computer) der User sich befinden ist doch in diesem Szenario vollkommen irrelevant. Du möchtest die User die auf dem RDS arbeiten doch einschränken. Eigentlich ist hier alles beschrieben, was du brauchst. P.S.: Es könnte allerdings auch helfen, wenn du Rückfragen beantwortest..

Ich würde dann zusätzlich noch fragen, ob der interne physische Server zusätzlich (?) der Hyper-V Server ist. Oder habt ihr einmal den internen Server als Belch und ein zweites Hyper-V Blech?

Äh, wie möchtest du Richtlinien auf einen RDS anwenden, der nicht in der Domäne ist?! Und so gesehen haben die User zwei Logins. Einen für den Computer (in der Domäne?) und einen für den RDS (lokal auf dem RDS?). Beschreibe doch mal den genauen Aufbau.

Hi, wenn Loopback gewünscht, dann verknüpfe das GPO auch mit der OU in der sich das Computer-Objekt des RDS befindet. Bzw. erstelle eine neue OU für den RDS. Ansonsten müsstest du neben der Gruppe mit den Usern auch dem Computer-Objekt des RDS mindestens das "Lesen-Recht" für das GPO erteilen. Die Authentifizierten User dürfen das GPO dann nicht mehr lesen, da es ansonsten an allen PCs angewendet wird. Gruß Jan

Hi, zu Frage 7: In diesem Fall muss er auf dem TS laufen -> https://support.microsoft.com/en-us/help/2473823/best-practices-for-setting-up-remote-desktop-licensing-terminal-server Gruß Jan

Hi, lösche die Adresse mal aus dem Drop-Down Feld raus und gehe dann erneut über die GAL und teste danach die "neue" Adresse im Drop-Down Feld. Alternativ kannst du auch mal ein neues Outlook-Profil testen. Wie lautet denn die Unzustellbarkeitsnachricht? Gruß Jan

Hi, wenn man sich die empfohlenen Ausnahmen für die Windows Server bzw. Applikationen ansieht, könnte man sich hinterfragen, wofür überhaupt auf dem System einen AV Scanner installieren: https://social.technet.microsoft.com/wiki/contents/articles/953.microsoft-anti-virus-exclusion-list.aspx Wenn der Kunde eine AV Lösung hat, bitte ich ihn jeweils um die Ausnahmen aus der o.g. Liste. Hat der Kunde keine AV Lösung, habe ich derzeit keine Probleme mit dem Defender. Und generell bliebe die Frage, was man _auf_ einem Server (außer RDS) macht, wovor der AV einen schützen könnte? Gruß Jan

Holt euch externe Hilfe, klärt die Anforderungen bzw. lasst euch beraten und zieht definitiv ein Upgrade auf 2016 in Betracht.