testperson

Du solltest bei "Der Inhaber von owa.---.de ..." noch anonymisieren. Macht Exchange 2016 bzw. der IIS darunter per default Strict Transport Security / STS / HSTS? Oder landest du da auf der Firewall die den Header "rewritet"? Oder hast du den IIS entsprechend angepasst?

Hihihi, du hast Dose gesagt. SCNR

Dann leg ne zweite Leitung oder nimm nen Switch.

Hi, ein Exchange 2007 auf einem SBS 2008 wurde erfolgreich auf Exchange 2013 migiert. Leider lässt sich der Exchange 2007 nicht deinstallieren, da eine Installation von Windows Rollen oder Features einen Neustart benötigt. Die "verdächtigen" RegKeys helfen hier nicht weiter und sind auch nicht vorhanden. Ein Neustart an sich hilft auch nicht. Das Problem wird vermutlich sein, dass der Server-Manager nicht mal mehr sauber aufgeht und beim sammeln der installierten Rollen und Features mit einem Error stehen bleibt. Dazu habe ich diesen Blog Eintrag gefunden und die entsprechenden Tools für Server 2008 genutzt. Nachdem das Tool ca. 7 Tage lang lief meldet es im Log schlussendlich: Bevor ich das jetzt aber anfange zu korrigieren und vermutlich Tage investiere, wäre mein Plan, den Exchange (und DC) per Hand aus dem AD zu entfernen. Wäre folgendes Vorgehen sinnvoll / machbar: Backup FSMO Rollen auf neuen Server übertragen SBS 2008 ausschalten Mit ADSIEdit unter Configuration -> Services -> MS Exchange -> First Organization -> Administrative Groups -> Exchange Administrative Group (FYDIBOHF23SPDLT) -> Servers -> "Alter Server" löschen Weitermachen mit: https://technet.microsoft.com/de-de/library/cc816907(v=ws.10).aspx Oder wäre es in diesem Fall sinnvoller vor dem Ausschalten des SBS 2008 diesen DC "sauber" demoten, ausschalten und dann Punkt 4 (und auf Punkt 5 verzichten)? Gruß Jan

Hauptsache Alessio geht es gut :thumb1:

Wie machst du es denn jetzt? Der "Webserver" (vermutlich Tomcat) ist auch entsprechend sicher? Oder einfach mal installiert und es wird schon gut gehen? Die Applikation darauf ist auch entsprechend "sicher"? Oder wird das auch schon gut gehen? Die Zugriffe lizenzierst du dann ggfs. wie?

Holt euch jemanden dazu, der sich damit auskennt. Dann setzen sich alle beteiligten an einen Tisch und sprechen die Möglichkeiten durch.

Deine (seblst entwickelte?) Software läuft auf einem Tomcat Webserver? Der Benutzer öffnet dann einen Internetbrowser und startet die Applikation durch eingabe einer URL? Oder Installiert man auf dem Client PC ein Stück Software, welches die Verbindung zur Applikation herstellt? In der verlinkten Demo wird "nur" auf einen Webserver zugegriffen und die Applikation läuft im Browser ohne einen "eigenen" Client.

Wenn Outlook ohne Tunnel per OA und OpenVPN läuft, werfe ich nochmal in den Raum:

Hi, du kannst dir da ggfs. was mit rsync zusammen scripten. Ansonsten ggfs. Delta Copy oder ein anderes Tool, was blockbasiert übertragen / syncen kann. Gruß Jan

Hi, dann mach doch testweise einfach mal ein ANY <-> ANY für den Tunnel. Evtl. bietet die Firewall ein ganz tolles Feature, was dir hier auf die Füße fällt. Die Namensauflösung funktioniert aber mittlerweile für owa und autodiscover? Findet sich was im Eventlog des Clients oder des DCs am Standort, was evtl. auch auf die Firewall deutet? Gruß Jan

Hi, benötigte Ports: https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd Generell muss die Firewall nicht DHCP sein, könnte aber sinnvoll sein. Die kann z.B. DHCP Relay zum Win DHCP in Subnetz A machen oder du benutzt feste IPs an den Clients. Der DNS sollte entweder die Firewall mit DNS Forwarding für deine Domain sein oder eben direkt der DNS im Subnetz A. Das kommt halt drauf an ;) Gruß Jan

Hi, entweder für jeden "Unterordner" eine eigene Shared Mailbox, dann sieht der MA immerhin direkt das im Posteingang neue Mails sind oder die Mails von einem Ticketsystem o.ä. abfangen lassen und darin bearbeiten. Gruß Jan

Hi, wie sicher wurde die "Software" denn entwickelt? Wie sicher ist der darunterliegende Tomcat? Vom "stupiden" NAT bis zum veröffentlichen per Web Application Firewall oder per "Jump-Host" ist sicherlich alles möglich. Zuletzt dürfte aber auch die Lizenzfrage spannend sein. Gruß Jan

Hi, dynamischer RAM ist unsupported für Exchange. Updaten solltest du ihn auch mal ;) Laufen "nur" keine Outlook 2013 und 2016 Clients? Oder läuft gar nix? Gruß Jan

Dafür würde ich mir den WSUS + WPP ansehen. Oder eine andere Softwareverteilung. Ggfs. könnte man sich dafür noch die App Disk von Citrix ansehen. Ob jetzt PVS oder MCS ist der "Aufwand" aber auch eher gering. Und du kommts im Fall der Fälle auch noch ziemlich easy auf den alten Stand zurück.

Hi, pro dem Host zugewiesener Lizenz 2 virtuelle OS. In deinem Fall -> 4 virtuelle Instanzen. Zur Datensicherung: Das kommt drauf an. Gruß Jan

Hi, um was für Ablaufschritte geht es denn? In der Regel einmal per GPO konfigurieren und fertig. Im Bereich Terminalserver "einfach" XenApp / XenDesktop mit MCS / PVS nutzen und die Änderung im Image machen und neu deploynen ;) Gruß Jan

Hi, hier noch was zum Lesen: https://support.microsoft.com/en-us/kb/300684 Was bei euch am einfachsten / besten / zielführendsten ist, kommt wohl drauf an ;) Gruß Jan

Hi, entweder braucht Ihr pro Lebewesen, dass sich einloggt eine RDS User CAL oder pro Device, von dem sich eingeloggt wird eine RDS Device CAL. Ihr habt Win CALs für (alle) User (Menschen) und (alle) Geräte? Gruß Jan

Hi, externe Mails an den öffentlichen Ordner? Interne Mails an den öffentlichen Ordner? Alle Mails? Was sagt der SMTP Log? Bekommt der Absender einen NDR? Der Ordner ist noch Mail-Enabled und hat auch noch seine SMTP Adresse? Gruß Jan

Hi, wie kommt man denn auf so eine Idee bzw. was sollte denn da erreicht / getestet werden? Wäre es nicht um Längen einfacher gewesen: Neue(n) Hyper-V Host(s) installieren, 2 VMs installieren und promoten, alte DCs demoten, fertig. Gruß Jan

Hi, ein Unternehmen mit verschiedenen Standorten, wo der Standort-Admin im AD nur seinen Standort sehen soll? Oder geht es hier in Richtung "Mandanten-Active-Directory" und anstatt Standort wäre Kunde / Mandant der Begriff? Generell kannst du Usern (bzw. besser Gruppen) den Zugriff bzw. das Auflisten verschiedener OUs verweigern und entsprechende Berechtigungen auf andere OUs delegieren (http://blog.dikmenoglu.de/2008/05/delegierte-berechtigungen-im-ad-verstehen/ und http://blog.dikmenoglu.de/2008/06/objektdelegierungen-einrichten/). Ich würde dir von einem "Mandantefähigen-AD" pauschal abraten. Updates (Für Windows / Software) würde ich zentral über einen WSUS mit WPP regeln bzw. je nachdem was da am Ende rumkommen soll, per Softwareverteilung entsprechend bereitstellen. Gruß Jan

Storefront und DDC getrennte Server oder auf einem? Wie viele SFs und DDCs? Du hast eine Delivery Group mit 4 VDAs für Apps und eine Delivery Group mit 4 VDAs für Desktops? Oder eine Delivery Group für Apps und Desktop mit 4 VDAs? Im Eventlog unter Anwendungs- und Dienstprotokolle -> Citrix Delivery Services alles i.O.? Wie kommt denn der Store zum Receiver? Oder wird der Store im Browser geöffnet? Passt die IE Konfiguration? Macht Ihr SSOn?

Welche Storefront Version? Welche Version vom DDC? Welche Version der VDAs? SQL Server ist verfügbar? Wie ist die Citrix Infrastruktur generell aufgebaut?