Assassin

ich bin kein reiner admin...ich mach das eher weil mir das spaß macht, mir neues wissen anzueignen. Und weil ich mich in unserer kleinen Firma damit auch am besten auskenne, weil ich mich schon seit meiner kindheit intensiev mit PC technik befasse, und für manche kunden mitlerweile unverzichtbar bin weil ich einiges hinbekommen habe, wo andere daran gescheitert sind. Ich habe ja schon einige Domänen sauber migriert, auch exchange, aber einmal hat es eben sowas von garnicht geklappt, und daher ist jetzt immer so ein bitterer beigeschmack dabei :-/ Daher interessiert es mich, warum es zu einem USN Rollback kommen würde, ich möchte es gerne verstehen wa genau da abläuft das es soweit kommt? Ich habe schon viel durch euch hier dazu gelernt, und dafür möchte ich mich bei euch ganz doll bedanken für die tolle Unterstützung:-)

Ich frage mich aber, wieso das nicht funktionieren wird? ein USN rollback gibt es doch meines wissens nach nur, wenn man einen 2. DC innerhalb der Domäne mit einem einfachen Image-Backup zurücksetzt - dann wird dieser DC nicht mehr akzeptiert werden...zumindest konnte ich es so mal testen - habs allerdings in meiner testumgebung auch nicht hinbekommen, das sich die beiden server wieder vertragen, also die konflikte aufgehoben wurden :-/ Bei meiner idee hier ist es aber so, das es eben nur einen DC innerhalb der Domäne gibt. Wenn man das Backup also auf einer Test-Maschine wiederherstellt, gibt es kein USN rollback, da die maschine ja nur sich selber kennt, und ihr es somit egal ist, zu welchem zeitpunkt die Maschine wiederhergestellt wurde. Wenn ich diese platform dann als quelle für die migration auf den neuen Server2016 nutze sollte es doch eigentlich auch alles klatt laufen. Aber ab wann ist der punkt wo der neue DC dann mitbekommt, das da etwas nicht stimmt? Ich vermute mal wenn sich die Clients anmelden wollen, oder? da die clients ja immernoch den alten, echten 2008r2 kennen, und dann plötzlich die sich auf einen 2016er anmelden sollen, oder? Aber was genau passiert da? das würde mich im kernpunkt interessieren :D und wegen dem 2. DC...ich kenne echt sehr viele Admins, die selbst in einer 50 PC Unternehmen nur einen DC haben...allerdings gibt es da eine Hochverfügbarkeitslösung (Stratus everRun enterprise) Ich wünschte ich könnte mehr über die sache mit den 2 DCs erfahren, auch wenn man 2 exchange server im einsatz hat, also das ganze so redundant ist, das man bequem windows-updates aufspielen kann, ohne das es für die Clients eine Downtime gibt wenn der Server neugestartet werden soll... Aber solche lehrgänge bleiben mir verwehrt :( Und zeit um das selber in einer testumgebung zu erlernen fehlt mir da leider...ich meine, ich hatte schon manchmal 2 DCs am laufen, allerdings hat es nie mit dem Failover geklappt, also wenn der "master" DC abgeschaltet wurde, konnten die Clients sich nicht mehr sauber anmelden auf dem 2. DC, obwohl dieser als 2. DNS eintrag auf dem Client eingestellt war. sicherlich muss man da noch etwas mehr einstellen. Beim Exchange war es sogar so, das sobald der 2. exchange da war, ein Mailing garnicht mehr möglich war, solange der neu hinzugefügte, 2. exchange server aktiv war -.- Könnt ihr mir event. Bücher empfehlen, oder Deutsch-sprachige websites wo sowas erklärt wird?

MoinMoin, Wir wollen unseren alten 2008r2 server ersetzen gegen ein neues Blech, wo Server 2016 drauf soll. Die Domäne möchten wir migrieren, damit die Clients kein neues profil bekommen. Nun möchte ich aber ungern den neuen DC mit unserem aktuellen produktiv-DC koppeln um diesenzu migrieren (böse erfahrung in der vergangenheit was einige Graue haare sprießen lassen hat ;-( ) Da stellt sich mir die Frage: was ist, wenn ich ein image-backup von unserem aktuellen 2008r2 DC nehme, dieses auf einem normalen Test PC widerherstelle, und dann dieses system zu migrationszwecke in einem abgetrennten netzwerk nutze, um somit den neuen 2016er server vorzubereiten, sodas wenn alles fertig ist, wir nur den alten 2008erR2 abstecken brauchen, den neuen dafür dran, und es direkt weitergehen kann? Ist das möglich? oder bekommt der aus eineem backup migrierter DC es mit, das seine DNS, bzw. AD Daten älter sind als die auf den Clients? Es soll nur einen DC geben. die restlichen daten liegen alle auf andere Server, da ist der umzug weniger kompliziert. Exchange gibt es zwar auch noch, aber da wird es ja nur mit einer "live-Migration" gehen, es sei den ich knipse für eine weile das Port25 Forwarding aus, sodass ich auch das exchage aus einem backup migrieren könnte. Ich möchte einfach nicht mehr mit produktiv-systemen solche migrationen machen, da ich wie gesagt in der vergangenheit schoneinmal böse überraschungen bekommen hatte...wie abstürzende Quell-Server, oder das es migrationsfehler gab...

Wenn ich das richtig verstehe ereicht man mit diesem SPF Record aber lediglich das man keine gefälschen Mails erhält die die eigene Domäne verwenden, oder? Aber ander Spam-Mails die ebenfalls eine gefälsche Domäne verwenden kommen dennoch durch, oder? Mich wundert es ja sehr, das es da noch keine neuerung gibt, ein SMTPv2 oder soewas, was eben auch das fälschen der Absenderdomäne nicht mehr möglich macht. das ist doch höhst ärgerlich soetwas. Nicht selten gibt es kunden, die die Absenderdomäne kennen, sich zwar wundern was das für eine komische mail ist - diese aber dann dennoch öffnen, weil eben der absender bekannt ist :-/ gibt es den echt keinen schutz gegen diese Spam-Mails wo laufend irgendwelche invoice rechnungen drin sind als zip datei, oder als doc-dokument? Einer der größten deutschen Antivieren-Programm entwickler (Gdata) sagt das es dagegen keinen schutz gibt, weil sich der inhalt der dateien ständig ändern, und die dateien selber nicht das Virus sind, sondern das Virus erst damit heruntergeladen wird :(

Soviel ich weiß wird die 64bit maschine nur genutzt weil mehr Ram... das Programm soll halt noch mehr maschinen überwachen und auswerten, was wohl etwas mehr System-resourcen nutzt.

Ok, die VDA geschichte schau ich mir mal an. Aber hier gehts nicht direkt um die lizenzierung, sondern eher um eine einfrierende VM und was was möglicherweise sein könnte, bzw. was man noch überprüfen könnte, oder in welche Logfiles man sont noch schauen könnte :-/

Die Hersteller der Monitoring-Software kennen dieses problem nicht. Diese Software läuft auch auf vielen anderen Kundenservern, mitunter auch auf VMs, und das problemlos. Treiberproblem...aber welcher Treiber dann? Ich habe wie gesagt schon diese Integrationstools, bzw. treiber nochmal deinstalliert und neu installiert. Im Gerätemanager innerhalb der VM scheint auch alles sauber zu sein :-/ Meinst du die VECD Lizenz für Windows7?

MoinMoin, hat hier eventuell noch jemand tips für mich, wie man einem sehr kurriosen fehler auf die schliche kommen kann? Und zwar, es geht um einen Server2008R2 welcher als Hypervisor dient, darauf laufen ca 6 VMs (Server2008R2, ein paar 2012R2, und eine Win7x32bit VM) - alles läuft wunderbar. Jetzt haben wir eine weitere VM installiert, Windows7 aber als 64bit maschine. Alles durchgepatcht was Updates angeht, auch die integrationstools nochmal drüber installiert - alles bestens. Doch irgendwann bleibt die VM einfach stehen, ist weder anpingbar noch bedienbar über die Console. Über die Console sehe ich nur das letze bild als Standbild wo die VM eingefrohren ist, auch die Uhrzeit ist dann stehen geblieben. Die VM wurde von uns sauber an den kunden "übergeben" also fertig eingerichtet - bis dahin lief alles bestens. Nun ist darauf eine kundenspeziefische software installiert worden (eine Monitoring-Software welche diverse Geräte im Netzwerk überwachen soll) - erst seit dem tritt dieses Problem auf. Dieselbe Monitoring Software (allerdings etwas ältere version) läuft auch auf der 32bit VM - und da problemlos. Versucht haben wir schon: HyperV Host auf aktuellen Updatestand gebracht, Bios des Host's aktualisiert, Bios auf hochleistung umgestellt statt ausbalanciert (C-States natürlich aus). VM ist auf dem letzten Update stand von Microsoft. Es wurden durch diese Monitoring-Software einige schnittstellentreiber mitinstalliert wie z.B. 1Wire Netzwerk, oder USB zu Serial Adapter Treiber (was es aber garnicht gibt und nie geben wird - da VM) auch das wurde zum test deinstalliert von der VM. Ergebnisslos. Die VM friert einfach nach einer undefinierbaren zeit ein. Manchmal 4x am tag, manchmal aber auch erst nach 3-4 tagen - also wirklich absolut willkürlich. Wir haben noch nichts gefunden um das fehlverhalten zu provozieren. Die Monitoring-Software ist auch noch NICHT aktiv, diese ist nur installiert, aber noch nicht eingerichtet (qualifizierung nicht überstanden wegen den abstürzen) Auch habe ich der VM eine andere, eigene Netzwerkkarte zugeordnet zum testen. Zu dem Zeitpunkt wo die VM steht, ist die VM wie gesagt weder anpingbar, noch über RDP erreichbar. Über die HyperV Console sehe ich wie gesagt nur ein standbild - da wo die VM eben stehen geblieben ist, also vom Desktop mit der Uhrzeit des einfrierens. Was allerdings über die HyperV Console zu sehen ist: die VM erzeugt dann wenn sie abgestürzt ist eine konstante dauer CPU last von 8-16% (auch immer unterschiedlich) wobei 16% die maximalauslastung der 4 vCPUs darstellt. (Host hat 24 CPUs). In den Ereignissprotokollen vom HyperV host konnte ich überhaupt nichts finden was darauf hindeuten könnte, da HyperV anscheinend selber nicht mitbekommt, das die VM eingefrohren ist. Auch die Ereignissprotokolle innerhalb der VM sind ergebnisslos. Steht eben nur drin, das die Maschine zu dem und dem zeitpunkt unerwartet beendet wurde. Habe probehalber mal den ProcessExplorer in der VM laufen lassen auf hoffnung zu sehen, welcher Prozess die CPU auslastung verursacht welche die VM zum einfrieren bringt - aber auch da nichts zu sehen. Man sieht halt als letztes bild den Idle-Prozess mit 96,11%, darunter der processexplorer selber welcher aller 0.5sekunden aktualisiert, und darunter die Interrupts mit 0,21% CPU last. Langsam gehen mir die Ideen aus was das noch sein könnte oder wie man die fehlerursache weiter eingrenzen könnte, oder wo es sonst noch Logs vom HyperV gibt, die mir mehr details ausspucken als die Windows Ereignis-Logs. der Host hat 2 E5-2620 CPUs (also 24 Threads) - davon werden mit der Win7x64 VM 21 verwendet für VMs. 128GB Ram, davon 111GB verwendet (win7x32 hat 3GB) Plattenplatz steht zu genüge zur verfügung also der Host hat noch genügend Resourcen für sich selber.

Servus, gibt es eine erklärung dazu wie, bzw. warum es möglich ist, mit einer falschen Absender-Domain zu senden, ohne das irgendetwas geblockt wird? Wir selber bekommen ab und an Emails mit diesen berühmten Zip-Anhämngen (invoice...) wo entweder der Locky Virus, oder ein anderer Crypto-Trojaner drin steckt. Das Krasse daran ist - der Absender sind angeblich wir selber. Schaut man aber in den quelltext rein sieht man, das bei dem absender wo unsere @domain.de geschrieben ist, eine IP Adresse ,welche entweder in Polen liegt, oder irgendwo unauffindbar im außland. Das Problem haben auch einige andere wie ich schon mitbekommen habe - also nicht nur wir selber. Da fragt man sich natürlich wie das möglich ist, das jemand andere mit unserer domain mails verschickt. Über unseren Exchange ging nie eine derartige mail raus. Wir haben auch einen Kunden, welcher klassisch über Pop3 abruft (eine sehr kleine firma) und selbst da ist es so. Die Passwörter sind sehr sicher (komplex), auch ein ändern der Passwörter brachte garnichts. Mich wundert es nur - sollte es nicht eigentlich immer eine art reverse-DNS auflösung zu der absender-adresse geben, womit überprüft wird, ob das wirklich der absender ist? Wie kann man sich vor sowas schützen? Den es ist schon nicht wirklich schön, wenn ein angestellter eine mail von sich selbst bekommt, bzw. von einem Kollegen - welche er aber nie geschickt hat - und diesen anhang öffnet und der Locky Virus es schafft ca. 20 dateien zu verschlüsseln bevor die Verhaltensüberwachung vom Virenprogramm greift. Ein Netzwerkweiter Virenscan wurde natürlich schon ausgeführt- aber ohne befund. im Einsatz ist z.B. Exchange2010, Exchange 2013, oder eben auch Pop3 über Outlook 2016...je nach fall den ich so gehört habe. Daher würde ich mich gern mal mit anderen Administratoren austauschen, was ihr so dagegen unternehmt, oder wie man das blocken kann?

Dokumentation? öhm...schreibt man das nicht innerhalb von ein paar stunden, max. einen Tag und dann ist die Netzwerkdokumentation fertig? oder was meint ihr damit? Ich frage nur - ich bin kein Administrator einer Firma, bin allround-admin für viele firmen...aber mich interessiert halt, was die Admins machen, die fest in einer Firma angestellt sind :D

Nabend allerseits, Was mich schon immer mal interessierte: Was macht ihr eigentlich in eurer Firma wo Ihr als Admin eingestellt seit, wenn die komplette EDV reibungslos funktioniert? Wenn es nirgendwo Probleme gibt? Müsst ihr dann aufgaben machen, was eigentlich andere Angestellte in ihrem Fachgebiet machen? mich interessieren hauptsächlich die, die eher alleine als Admin in einer klein/mittelständigen Firma angestellt sind

ahh, perfekt , Danke :) welch abartige mengen an Daten umhergeschaufelt werden nur beim Start der Anwendung...das wird etwas dauern das zu durchsuchen *g* Aber man kann ja zum glück mehrere Filter setzen :)

MoinMoin, gibt es ein Tool, was eine .exe Anwendung, bzw. ein Prozess mitloggen kann, was diese Anwendung genau macht? also worauf diese Anwendung zugreift, wo es eine Datei hinschreiben möchte,... Es geht darum, das bei einem Kunden ein Programm eingesetzt wird, was nur sauber Funktioniert wenn der entsprechende user volle Admin-Rechte hat (lokale). Als einfacher Domänen-Benutzer funktioniert z.B. der Plain Text Print nicht, weil irgendeine temporäre datei nicht erstellt werden kann. Dem Ordner wo das Programm liegt haben wir schon "jedermansrechte" gegeben - daran liegt es nicht. Daher die Idee: Das Programm mitloggen um zu sehen, wo es seine Temporäre Datei ablegt, um dann diesem Verzeichniss auch noch die entsprechende Rechte zu geben. aber gibt es sowas?

welches dann? bzw. wie dann? Wie gesagt, bei dem Intel RSTe Tool kann man weder SSL/TLS Einstellen, noch eine Benutzerauthentifikation machen bei der Mailbenachrichtigung...Alle Externen Maildienstanbieter fallen damit flach :-/ Man Braucht also ein Mailrelay, was anonym mails entgegen nehmen kann von Intern.

MoinMoin, ist es möglich, beim Outlook 2010 eine Verschiebungsregel zu erstellen, welche aber auf Quelltext-Ebene arbeitet, bzw. nach einem Kriterium im Quelltext sucht und dadurch entscheidet? Hintergrund ist der: Bei einigen sehr einfachen Kundenservern die kein Exchange haben nutze ich vielmals den Denst bzw. das Feature "SMTPserver" und hinterlege da ein telekom konto als Smarthost (als MailRelay sozusagen), damit ich für das Intel-RSTe Raidsystem eine Email benachrichtigung nutzen kann. Intel bekommts einfach nicht gebacken in Ihrem programm eine SSL/TLS Verschlüsselung zu Implementieren - geschweigeden von einer Benutzerauthentifikation, sodass keiner der bekannten Maildienst-Anbieter mehr für den Email versand geeignet ist. Also kommt der SMTPserver Dienst dazu, wo das RSTe Tool die Mails dahin schickt, und dieser wiederrum leitet es brav über TLS weiter an unsere Email adresse, sodass wir eben auch eine Benachrichtigung erhalten, sobald etwas mit dem Raidsystem nicht stimmt. Das Funktioniert auch wunderbar, allerdings sehe ich in den Email die wir erhalten eben nicht - von wem die mail kam, ich sehe eben nur unsere allgemeine T-Online adresse welche wir für solche fälle eingerichtet haben. Klar, ich könnte nun für jeden kunden eine eigene t-online adresse einrichten, aber das ist doch quatsch finde ich :-/ dafür das es nur für den Versand genutzt werden soll? Im Quelltext der Mail sehe ich allerdings von welchem Server es geschickt wurde, also unter "Received: from" - da steht der Lokale PC Name drin. Wenn man nun im Outlook eine Regel darauf hin erstellen könnte, wäre uns schon deutlich mehr geholfen :-) Oder ist das event. über eine Nachrichtenregel über Exchange 2010 realisierbar bei der Empfängerseite?

MX wird gedreht, sobald der Business anschluss geschaltet wird. was ein mist mit diesem Blackhole...hmm, das bedeutet aber auch, das man SpamMails auf diese art und weiße spurlos verschwindenlassen kann? :D wie gemein *g*

Oder kann man die Mails nicht mithilfe von den Protokolldateien vom Exchange wiederherstellen? Der Exchange hat ja die Mail vom Pop3 connector angenommen, da sollte es doch auch ein entsprechendes File darüber geben, oder? und für den SBS2011 finde ich nichts wie man dem beibringen kann die Mails auf dem Webmail-Server liegen zu lassen :( beim SBS2003 ging das ja wohl noch

Wenn mans eingerichtet hat... Standardmäsig löscht der sbs aber wenn mans eben nicht gerade über powershell modifiziert :-/

also keine chance da noch irgendwo ranzukommen? Es ist zwar ein SBS2011 der über den Pop3 connector die Mails abruft, aber der löscht ja beim abrufen auf dem Webmail-Server die nachrichten sofort wenn er die erfolgreich gezogen hat :-/

MoinMoin... Frage: Wenn man im Exchange2010 bei einem benutzer einstellt, das die Mails an eine interne Verteilergruppe weitergeleitet werden sollen, man aber nicht auswählt das die Mails auch noch bei dem Benutzer selbst gespeichert werden sollen, und in dieser Verteilergruppe warum auch immer meine Mitglieder alle rausgeflogen sind - hat man da noch chancen die Emails irgendwo wiederherzustellen die in der zeit eingegangen sind bis uns das aufgefallen ist? Der Benutzer ist sozusagen der Infopostfach Empfänger. Dessen mails werden an eine Info-verteilergruppe weitergeleitet - ohne das in der Nachrichtenübermittlungseinstellung der punkt gesetzt ist, dass die Mails auch bei dem Infopostfach gespeichert werden sollen- er leitet also direkr an den Verteiler weiter. Das funktionierte auch alles wunderbar, aber nach einem Servercrash hat es warum auch immer alle Benutzer aus dem Mailverteiler rausgeschmissen bei den Mitgliedern, aber die einstellung das alles an den Info-Verteiler weitergeleitet werden soll war noch gesetzt -.- Der Server hat in den 2 tagen wo uns das nicht aufgefallen ist Info-Emails angenommen, aber niemandem zugestellt. Der Info-Verteiler ist ja kein benutzer wo man sich z.B. über die OWA anmelden könnte und da reinschauen könnte, aber ist das wirklich möglich das die Emails da einfach verschwinden? Der Server muss doch etwas protokolieren das niemand in der verteilergruppe ist, und die Mails irgendwo vorhalten...oder nicht? :( welch krasser Fehler :(

@Norbert... http://www.mcseboard.de/topic/207252-split-dns-wie-ist-es-denn-nun-richtig/?do=findComment&comment=1302980 da ist die sache mit dem SBS... Warum hat Microsoft es da nicht selbst mit eingebaut das wenn man sich ein neues Zertifikat auf einem SBS2011 über den Assistenten "Internetadresse einrichten" machen lässt, das da schon gleich mit was von Autodiscover drin steht? :( da steht wirklich nur "mail.meinedomäne.de", "meinedomäne.de" und der interen FQDN des servers drin - mehr nicht...vorallem ist das Zertifikat was so erstellt wird länger gültig, als wenn ich eine Zertifikat direkt aus dem exchange raus erstelle :schreck:

Die Internen namen standen aber sogar ab werk im installierten Exchange Zertifikat mit drin beim SBS O_O auch wenn ich diesen Assistenten von der SBS konsole nutze und er mir nen neues Zertifikat baut, steht auch der Server selber mit seinem interen FQDN mit drin *kopfkratz* oder macht der SBS das weil er dieses zertifikat als "Hauptzertifikat" nimmt für die default website im IIS, damit es im Intranet wenn man auf diese Companyweb-Site zugreift es nicht auch noch zu einem Zertifikatfehler kommt? Aber stört es denn wenn da mehrere Namen zusätzlich mit drin stehen? Und dann noch eine frage - beim erstellen eines neuen Exchange-Zertifikats kann man ja auch ein Wildcard Zertifikat erstellen wenn ich das richtig mitbekommen habe, also z.B. "*.meinedomäne.de" aber dem traue ich nicht so recht...oder geht das genauso? *edit* Achso, wegen diesem Zertifikatsfehler der irgendwann mal erscheint...wenn man sich dieses Zertifikat anschaut, ist dies eins vom externen Domänenanbieter, wo die E-Mails liegen O_O also das Outlook versucht sozusagen ständig irgendwelche adressen über Autodiscover rauszufinden, und greift irgendwie doch noch nach extern, und kommt so an das nicht uns gehörende Zertifikat, sondern an das unseres E-Mail Anbieters, bzw. des WebDomain hosters... aber warum macht Outlook das? nslookup auf autodiscover.meinefirma.de auf den Clients führt auf die IP des lokalen Servers hier im LAN...echt unbegreiflich sowas...ich will das alte Outlook 2010 wieder haben :(

ersteinmal nur die wichtigsten:"mail.meinedomäne.de", "meinedomäne.de", "SRV01.meinedomäne.local",und "autodiscover.meinedomäne.de"...ich glaube es könnte damit zusammen hängen das ich "meinedomäne.local" vergessen habe, oder? -.- als Zonen habe ich: autodiscover.meinedomäne.de mail.meinedomäne.de (activesync,...) in den jeweiligen zonen einen A Record eintrag gemacht mit der internen Server ip (192.168.1.250), namen freigelassen sodass der übergeordnete name verwendet wird

und das funktioniert reibunslos mit Outlook 2013/2016? Bei einem Kunden haben wir z.B. SBS2011 im einsatz, allerdings mit dem Pop3 Connector (vorerst bis der Kunde eine Statische IP Adresse hat) Split DNS eingerichtet wie in Variante4. Eigenes Exchange Zertifikat entsprechend erstellt. Beim Ersten Start finden die Outlook 2016 clients auch alle einstellungen brav, gibt auch keine Lizenzwarung oder dergleichen. Abruf geht, auch abwesenheitsassistent. Aber irgendwann mittem beim Arbeiten kommt auf einmal ein Zertifikatsfehler wo der untere Punkt nicht erfüllt wird (Name auf dem Sicherheitszertifikat ungültig). Oben steht "autodiscover.meinedomäne.de" also die externe Domäne. Diese ist doch eigentlich über das SplitDNS nach intern umgeleitet auf den Exchange...darum wundert es mich, warum irgendwann nach einigen Minuten im Outlook im lokalen Netzwerk auf einmal die meldung kommt. Was auch nicht geht im Outlook: Senden als z.B. Info (also ein anderer Benutzer). Das geht nur am anfang wenn ich den benutzer über das "von" feld auswähle. Auch ein paar minuten nachher geht es noch nachdem das Outlook profil neu eingerichtet wurde. Aber nach ein paar minuten geht dies nicht mehr durch die vorauswahl in dem "von" feld, ich müsste den eintrag erst wieder rauslöschen, und anschließend den Benutzer wieder neu auswählen. Mache ich den cache modus vom outlook aus, geht es immer. Verstehe ich absolut nicht warum es das so macht, dabei sind die profile und auch die autocompletecache dateien gelöscht...und trotzdem geht es nur für ein paar minuten

Servus, Vieleicht kann mir hier ja jemand helfen, bzw. eine Antwort geben, da ich zum Thema Split-DNS unterschiedliche Themen finden was die Einstellungen angehen. Nehmen wir als Beispiel einen Server 2008R2 mit dem DNS. SplitDNS sollte halt für einen Exchange Server 2013 eingerichtet werden, wo mehrere Outlook 2016 Clients dran hängen. es gibt da z.B. Variante1: https://www.psw-group.de/newsletter/domains-anleitung.pdf es wird nur eine neue Zone erstellt für mail.meinedomäne.de, der Autodiscover eintrag wird hier aber in der Lokalen domäne mit eingetragen unter _tcp variante2: http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/exchange-autodiscover-part2.html es wird eine neue Zone erstellt für meinedomäne.de, darin werden A-Records gemacht für mail und autodiscover variante3: http://colleago.com/renew-exchange-2010-ucc-ssl-certificate/#! das selbe wie bei varainte 2, nur das statt A-Records gleich CNAME einträge gemacht werden Variante4: es werden zwei zonen erstellt, jeweils für mail.meinedomäne.de und autodiscover.meinedomäne.de. darin ist jeweils die interne IP des Servers angegben (übergeordnete domäne) und variante5: es wird eine zone erstellt für mail.meinedomäne.de, darin wird ein SRV eintrag für _autodiscover für den dienst _tcp eingerichtet, der auf mail.meinedomäne.de zeigt Das sind die dinge, die ich so mitlerweile kennen gelernt habe...aber welcher dafon ist den nun der korrekte weg? ich denke mal variante 4, oder?