testperson

https://www.mcseboard.de/topic/221687-disk2vhd-fragen/?do=findComment&comment=1434151 SCNR

Hi, die Rollen "tsplus" und Webserver auf zwei (oder mehr) verschiedene Server trennen wäre vermutlich ein Ansatz. Gruß Jan

Läuft Outlook im Cache- oder Online-Mode? Wechsel testweise mal in den anderen.

Hi, dann würde ich das trennen und nicht an "gespiegelte Gruppen" koppeln. Früher oder später wird der Fall kommen, da sollen dann mehr/weniger Leute Zugriff bekommen und es müssen wilde Ausnahmen gescripted werden. Gruß Jan

"Es muss JETZT schnell gehen" ist in der IT i.d.R. das äquivalent zu "Halt mal eben mein Bier". Ich kann dir hier nur den Tipp geben, dass jetzt zu planen und in den nächsten 1-2 Wochen mit den beteiligten Dienstleistern durchzuziehen. Einen weiteren DC, in der neuen virtuellen Umgebung, bereitzustellen, wäre vermutlich ein guter Anfang für heute / den Anfang nächster Woche.

Hi, ich würde mal vorsichtig fragen, wieso jetzt noch "Arbeit" in ein OS stecken, was im nächsten Jahr eh abgelöst werden muss. Wäre es nicht einfacher und zielführender, die Rollen vom 2012er auf neue, frische VMs zu migrieren und den alten Server dann in Rente zu schicken? Gruß Jan

Hi, IMO wäre für eine bessere Reputation im Bereich Mail SPF, DKIM, DMARC, MTA-STS und DANE der Weg. Das deine beteiligten Domains, IPs/IP-Netze, AS "generell" "sauber" sind, sollte außer Frage stehen. Evtl. verstehe ich dein Vorhaben aber auch nicht korrekt. Gruß Jan

Hi, die erste Frage wäre, warum benötigen die User "normale Verteilergruppen"? Ansonsten wäre ein Ansatz hier (View members of a dynamic distribution group | Microsoft Docs) zu finden und mit ein bisschen Logik zu verknüpfen. Mit Get-ADGroupMember / Get-DistributionGroupMember (Get-ADGroupMember (ActiveDirectory) | Microsoft Docs / Get-DistributionGroupMember (ExchangePowerShell) | Microsoft Docs) die User aus der statischen Gruppe holen Vergleichen, wer nicht mehr im Recipientfilter ist, und aus der Gruppe entfernen (Remove-ADGroupMember (ActiveDirectory) | Microsoft Docs / Remove-DistributionGroupMember (ExchangePowerShell) | Microsoft Docs) Die User, auf die der Recipientfilter zutrifft, zur Gruppe hinzufügen (Add-ADGroupMember (ActiveDirectory) | Microsoft Docs / Add-DistributionGroupMember (ExchangePowerShell) | Microsoft Docs) Es gibt bestimmt auch noch andere / weitere kreative Ideen. Gruß Jan

Hi, schau dir am Client mal an, was da noch für Profilleichen schlummern: Get-CimInstance Win32_UserProfile | Where-Object { -not $_.Special } Theoretisch solltest du da alles abräumen können, was nicht diesem Filter (oder eben einzeln) entspricht: Get-CimInstance Win32_UserProfile | Where-Object { -not $_.Special -and -not $_.Loaded } | Remove-CimInstance Und generell: Servergespeicherte Profile abschaffen. Gruß Jan

Hi, die Lancom APs / WLAN Router sollten das im WLAN Client Modus können: Roaming (lancom-systems.de) Gruß Jan

Hi, falls Ihr Exchange nutzt, wäre der beste Weg wohl eine Hybridbereitstellung. Ein Würgaround könnte sein, die Kalenderintegration von Teams zu kappen und Meetings ausschließlich über das Outlook Add-In zu planen. Was möchte der Kunde denn da alleine in Teams machen? Wenn es nur um Meetings geht, dann ist Teams in meinen Augen die falsche Lösung. Da wäre Goto Meeting, Zoom o.ä. deutlich einfacher. Teams alleine sehe ich wie Lukas Podolski den Doppelpass: Doppelpass alleine? Vergiss es! Gruß Jan

Hi, wäre evtl. OneDrive eine Option für euch? Alternativ hol die User zu den Daten und nicht die Daten zu den Usern -> Remote Desktop Bereitstellung. Gruß Jan

Hi, noch ein Ansatz, da die Devices ja alle verwaltet sind. Wäre ggfs. Direct Access eine Option? Wobei da die Zukunft ja auch ungeklärt scheint bzw. ob es da nur noch in Richtung Always On VPN geht. Gruß Jan

Hi, was ist denn das Ziel hinter dem VPN? Wäre evtl. ein Verzicht für VPN denkbar durch Implementierung von Remotedesktop Gateway und RD WebAccess oder entsprechender Alternativen wie bspw. Guacamole? Gruß Jan

Hi, PowerShell ist ja immer die bessere Wahl und cool, aber: FORFILES /P "C:\Temp" /S /M *.txt /D -7 /C "CMD /C del /Q @FILE" FORFILES /P "C:\Temp2" /S /M *.txt /D -7 /C "CMD /C del /Q @FILE" FORFILES /P "C:\Temp4" /S /M *.txt /D -7 /C "CMD /C del /Q @FILE" Gruß Jan

Hi, wenn das zwingend sein muss, dann würde ich zu Citrix Virtual Apps & Desktops greifen. Sollten es Windows 2019 Terminalserver (oder höher) sein und es sich um Teams handeln, könntest du auch die Teams Optimization für den Azure Virtual Desktop nutzen. (Da bleibt allerdings die Support Frage eher offen.) Gruß Jan

Muss man doch gar nicht wissen. Ich zitiere einmal aus Load balancers and Active Directory - TechNet Articles - United States (English) - TechNet Wiki (microsoft.com): Welcher Hersteller möchte schon mit der Schmach leben, dass seine Anwendung, das Active Directory nicht versteht.

Hi, ggfs. unter VPN -> IKEv2/IPSec -> IPv4 Adressen und dort in den richtigen Pool eintragen, sofern es sich um IKEv2 handelt. Theoretisch kannst du das auch im Lancom Advanced VPN Client erledigen, wenn du ins Profil gehst und dort die DNS Server unter "IPSec-Adresszuweisung" hinterlegst. HTH Jan

Hi, bin zwar nicht der größte Batch Künstler, aber das sollte klappen: @echo off for /f "tokens=1 skip=1 delims= " %%i in ('quser /SERVER:<Server1>') do echo %%i for /f "tokens=1 skip=1 delims= " %%i in ('quser /SERVER:<Server2>') do echo %%i pause ... aber nunja. Gruß Jan

Hi, evtl. als Ansatz: Bilder, Dokumente, Musik, etc.: Per FolderRedirection aus den Disks aus- / umleiten Temp, Cache und Co.: Bei Abmeldung löschen lassen oder per redirect.xml gar nicht zurück schreiben Ansonsten das ganze maschinell bzw. automatisiert per PowerShell auslesen und auswerten. Gruß Jan

OT: "Admin Tiering" kann durchaus im "Admin Tearing" enden.

Aus Overview of shared computer activation for Microsoft 365 Apps - Deploy Office | Microsoft Docs: Alle Plän mit Apps for Enterprise erlauben die Nutzung auf Terminalservern und können mit Gruppenrichtlinien verwaltet werden Apps for Business aus einem Microsoft 365 Business Premium Plan erlauben eine Nutzung auf Terminalservern und können nicht mit Gruppenrichtlinien verwaltet werden

Sei mir nicht böse, das klingt - für mich - nach nicht bis zu Ende gedacht und teils in Richtung "Security through obscurity". Wie wäre es bspw. mit einem Proxy davor, der mittels Web Application Firewall o.ä. den Traffic analysiert und eine Pre-Authentication (mit Benutzerzetifikaten) unterstützt. Je nach Proxy ist/sind - im Fall von OWA - da ja auch noch weitere Faktoren möglichen.

Hi, AFAIK ging das früher und jetzt nicht mehr. Ich würde aber einmal hinterfragen, ob dieser organisatorische und teils technische Mehraufwand die Einsparungen rechtfertig. Alleine das Problem, dass Office H&B keine GPOs anwendet, wäre für mich ein No-Go. Gruß Jan

Hi, auch wenn s kein ActiveSync ist: Wäre da nicht Outlook Web App ein besserer / einfacherer Weg? Gruß Jan