testperson

Nach Möglichkeit dann aber nicht nur einen Anruf aufs Mobiltelefon als Alternative ;)

Alternativ kann die 2 Faktor-Authentifizierung ja auch evtl. einen anderen zweiten Faktor wie SMS PIN ;)

Nutze das "Problem" doch jetzt einfach dazu und mach es jetzt erstmal richtig. Danach lässt sich, falls noch notwendig, vermutlich wesentlich einfacher / gezielter troubleshooten. Split DNS + öffentliches Zertifikat + passende URLs der virtuellen Verzeichnisse.

Naja, dann einfach USB Stick nie mitnehmen / vergessen und Notebook immer mitnehmen? Ansonsten mit der eigenen Infrastruktur "Cloud" abbilden (Sharefile / WebDAV / NextCloud / etc...).

Kann man dir noch was Gutes tun? Bist du (nach 5 Monaten) auf Exchange 2016 angekommen? Oder was möchtest du mit diesem eher wirren Beitrag mitteilen?

Hi, wenn diese Daten so geheim sind, dass Cloud nicht zur Diskussion steht, wäre die Frage, ob es sinnvoll ist diese Daten (unverschlüsselt) auf einem USB Stick mitzuschleppen. Ggfs. wäre es am einfachsten, dass die Chefin sich auf einen Terminalserver oder Ihren PC verbindet und so mit den Daten "In-Haus" arbeitet. Gruß Jan

Bei den iDevices ggfs.: https://www.heise.de/mac-and-i/meldung/iOS-11-Erhebliche-Mail-Probleme-mit-Exchange-und-Office-365-3836321.html Ansonsten evtl. ein SHA1 Zertifikat? Ich würde die Vermutung in den Raum werfen, dass es günstiger ist ein SAN Zertifikat zu kaufen und einzubinden anstatt ein Let's Encrypt Zertifikat "in Betrieb zu nehmen" ;)

Hi, so ganz verstehe ich nicht wo dein Problem ist. Ggfs. hilft es aber im lokalen DNS anstatt der Zone "example.com" mit den entsprechenden Hosts "exchange", "exchange", "www", ... einfach zwei Host-Zonen anzulegen: autodiscover.example.com exchange.example.com In diesen Host-Zones dann einfach einen A-Record erstellen, der nur die IP des Exchanges beinhaltet. Gruß Jan

Generell wäre das wohl am besten mit dem Kunden zu klären. Derzeit werden es wohl 3 unabhängige Gesamtstrukturen sein. BTW.: Eine Gesamtstruktur (Forest) war nie in Vietnam, spielt kein Tischtennis, sieht das Leben nicht wie eine Schachtel Pralinen und läuft auch nicht quer durch Amerika. Forrest schon ;)

Als Administrator per Doppelklick ausgeführt oder rechte Maustaste auf die Batch und dann "Als Administrator ausführen" gewählt?

Hi, welche PowerShell Version liefert denn ein "Get-Host" in der EMS bzw. der PS? Kannst du in der PS denn das Exchange Snap-In ohne Fehler laden? Gruß Jan

Hi, zum einen kommt das halt drauf an und zum anderen "Keep it simple". In Szenario 1 ist dir bewusst das du mindestens 3 (besser 6) bzw. evtl. auch 4 (besser 8) DCs benötigst? Als Anfang: https://www.faq-o-matic.net/2007/06/09/welches-domaenenmodell-ist-das-beste-fuer-active-directory/ Gruß Jan

Ggfs. wäre die Terra Cloud von Wortmann etwas? Da kannst du einzelne VMs inkl. Firewall für VPN mieten. Zumindest hostet eine andere Abteilung bei uns da für Kunden in deinem Bereich. Ich habe bei uns für entsprechende Kunden in "unserem RZ" eine eigene ("recht spezielle") shared Umgebung in Betrieb genommen.

Was soll denn so ein Server später einmal machen? Evtl. passt der Dienstleister oder das Budget ja gar nicht zur Anforderung ;)

Hi, du kannst doch in Azure entsprechende VPN Dienste / Gateways / Appliances nutzen. Für Zyxel: https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=015536&lang=EN Gruß Jan

Hi, wie wäre es mit etwas vor dem Exchange, was Anti-Spoofing kann? Oder SPF Records für die eigene Domain und einer SPF Prüfung? Gruß Jan

zu 4) Patchen ;) Wo ist denn das GPO mit der entsprechenden Einstellung verlinkt? Kommt das am Client auch korrekt an?

Hi, was für ein Client und was für Server? Wie sieht die Bereitstellung aus? Verlangt evtl. ein RDGW die Authentifizierung? Die Sicherheitsstufe für RDP ist auf "Aushandeln" oder "SSL" konfiguriert? "Kennwort immer anfordern" evtl. aktiv? Und generell sind der Client, der RDP Client und die Server aktuell gepatched? Gruß Jan

Hi, du wirst vermutlich Split-Tunneling für den VPN Tunnel aktivieren und das lokale Netz ausschließen müssen. Der VPN Client scheint da alles in den Tunnel zu schicken und folglich kann der Drucker netzwerktechnisch nicht mehr erreicht werden. Gruß Jan

Hi, wieso nicht einfach: https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo/ Gruß Jan

Ich würde so einen Cache nicht mit _einer_ SSD betreiben. Wir haben in den Systemen meistens Adaptec / Microsemi Controller mit maxCache 3 und SSD Cache Pool als RAID1.

Dann schieb die VMs mit AD etc. und den Exchange komplett auf die lahmen SATA HDDs und den Filer bzw. die Daten des Filer auf die SSDs? Ansonsten einen dedizierten RAID Controller der die 480GB SSDs als Cache für die SATA HDDs nutzt.

Dann erstell den CSR doch nochmal neu und zwar aus der EMC oder EMS, lass den neu von der CA signieren und importiere ihn dann direkt über die EMC / EMS. Wozu überhaupt der Umweg über openssl bzw. warum so kompliziert?

Hi, du hast einen CSR erstellt und von einer CA signieren lassen? Und die CA hat dir dein signiertes Zertifikat als PEM bereitgestellt? Wo bzw. wie hast du den CSR erstellt? Gruß Jan

Wenn ihr den Server nicht noch als Heizung betreibt, würde ich nach einem neuen Server Ausschau halten.