Gimbanossi

Ok, wenn wir die Frage zu den Lizenzen mal als geklärt betrachten, was könnt ihr mir zum Rest sagen? Danke.

Ok, danke dafür schon mal. Wer hat denn für die vorangestellte Frage noch einen hilfreichen Rat?

Hallo Community, ich plane eine Umstellung und benötige mangels Erfahrung noch den ein oder anderen Tipp von Euch ;-) Folgende Situation: Vorhanden ist ein Windows Server 2012 R2 Standard mit einem Xeon E5 CPU und 32GB Ram, der aktuell als Host für die Warenwirtschaft-Software und als zentraler Datenspeicher mit Sicherungsfunktion genutzt wird. Nun soll eine Zweigstelle angebunden werden, in der 4 weitere Mitarbeiter arbeiten. Für diese Mitarbeiter soll der Server als Terminalserver fungieren, damit die 4 Mitarbeiter per RDP ebenfalls mit der Warenwirtschaft arbeiten können. Der Server verwaltet weder DNS noch DHCP und ist auch kein DC. Vielmehr ist gar keine Domäne im Netzwerk vorhanden. Dieser Umstand hat mich zwar verwundert, aber ich frage mich, ob es denn wirklich sinnvoll ist, nachträglich eine Domäne zu installieren. Dass eine Domäne generell sinnvoll ist, ist mir klar, aber der damit einhergehende Aufwand wäre ja nicht gerade gering und der Mehrwert ist dem Kunden oft nicht in der Form ersichtlich, dass es den Aufwand rechtfertigt. Zudem würde ich dann den aktuellen Server in eine VM umwandeln wollen und um den DC erweitern. Dazu eine zweite VM für den Terminalserver installieren, da TS und DC ja niemals gemeinsam laufen sollten. (habe ich mir mal sagen lassen) Nun meine Frage an Euch: Bin ich da auf dem richtigen Weg oder ist das vielleicht sogar mit Kanonen auf Spatzen geschossen? Außerdem: Muss ich für die 4 Mitarbeiter tatsächlich eine 5er User-Cal UND eine 5er RDS-Cal kaufen? Oder gibt's da vielleicht mir unbekannte Tricks? Vielen Dank vorab.

Vollkommen richtig. Und nur weil das so ist, haben Leute wie Du in Foren wie diesen die Möglichkeit mit Rat und Tat zur Seite zu stehen um zu helfen und Anerkennung zu ernten. Und manchmal ist es auch ok ein Problem zu umgehen, anstatt es zu lösen. Hauptsache es läuft hinterher, Dafür nochmal vielen Dank.

Ne. Ich habe mir ein Emailkonto vorgenommen, bei dem ich diese Änderungen vorgenommen habe. Und mit eben diesem Emailkonto habe ich auch die Tests durchlaufen lassen. Inwiefern hätte also diese Information dazu beigetragen, die Fehlersuche abzukürzen? Getestet wurde ja schließlich mit einem Konto bei dem die Vererbung aktiviert war. Abgesehen davon, weis ich jetzt ja immernoch nicht ganz exakt, was jetzt genau mit meinem Zertifikat falsch war, bzw. wo der Fehler genau saß...

Ich hatte das Konto welches ich zum testen benutzt hatte schon entsprechend angepasst. Ich habe es hier nur nochmal explizit aufgeführt für all diejenigen, die mal danach googlen werden und dann nicht sämtliche benötigten Infos auf 7 verschiedenen Foren zusammen tragen müssen, so wie ich, sondern in einem Post all diese Infos vorfinden ;-)

UPDATE: (und für alle, die mal das gleiche Problem haben sollten) Ich habe jetzt ein Multidomain SSL Zertifikat mit den Einträgen "remote.meinedomain.de", "autodiscover.meinedomain.de" und "meinedomain.de" erworben und entsprechend beim Provider für meine Domain und die entsprechende Subdomain (autodiscover. ...) sowie auf unserem Server installiert. Anschließend per GPO verteilt. Ich habe außerdem im AD bei allen betroffenen Usern in den Sicherheitseinstellungen die Vererbung aktiviert (Achtung: Vorher unter Ansicht die Erweiterten Features aktivieren) und unter Konto die Anmeldung auf xyz@domain.de (identisch zur Emailadresse) eingestellt. Und siehe da - alle mobilen Geräte die ich bisher testete finden die Einstellungen nun vollautomatisch. Wenn ich jedoch lokal mein Outlook öffne, schimpft es da im Zertifikat der Name "exchange-server.domäne.local" nicht gefunden werden konnte. Aber ich denke, dieses Problem wird kein sehr großes sein. Ich bedanke mich bei allen, die zur Problemlösung beigetragen haben.

ich kaufe jetzt also erstmal ein Multi-Domain SSL Zertifikat für remote.meinedomain.de und autodiscover.meinedomain.de Muss ich auf sonst noch etwas achten, damit es am Ende nicht das falsche Zertifikat wird? Gibt es beispielsweise Unterschiede darin, welche mobilen Endgeräte damit zu recht kommen etc?

korrigiert mich bitte, wenn ich falsch liege. Aber abgesehen davon, dass in dem Zertifikat definitiv zu viel drin steht, müsste doch rein theoretisch - wenn testconnectivity.microsoft.com erfolgreich durchläuft - von Seiten des Zertifikats her - alles zumindest so weit ok sein, dass die Funktion gegeben sein sollte, oder etwa nicht? Sorry wenn ich so doof frage :-\

ja, das Thema UPN war auf Seite 1 schon mal diskuttiert worden, habe ich entsprechend angepasst. Prinzipiell spricht nichts gegen die Investition in ein öffentliches Zertifikat, allerdings würde ich das ganz gerne erst einmal selbst hinbekommen, also mit einem selbstsignierten. Wenn ich dann eins kaufe möchte ich vorher schon ganz genau wissen, dass die Einträge alle korrekt sind und ich nicht wieder irgendwas im Zertifikat vergessen habe. Es sollte damit ja schließlich auch möglich sein, nicht wahr?

Ursprünglich war es ein SBS (daher das remote.) Den SBS gibt es aber nicht mehr. Der wurde durch mehrere 2012R2 abgelöst und der Exchange 2010 des SBS wurde migriert zu einem Exchange 2013. Welche Einträge sollten Deiner Meinung nach denn im Zertifikat drin stehen und welche nicht?

ja, nur was und wo ist falsch konfiguriert? :-P Outlook fragt auch einige Zertifikate ab, hab ich das Gefühl. m.meinedomain.de und mobil.meinedomain.de zum Beispiel. Diese URLs stehen in meinem Zertifikat nicht drin. Ich habe bei mir nur folgende Einträge: exchange-server.domäne.local exchange-server remote.meinedomain.de autodiscover.meinedomain.de autodiscover.domäne.local meinedomain.de domäne.local sollte das nicht eigentlich reichen?

Also die Mobile Devices verhalten sich auch im internen WLAN so. Outlook von außerhalb habe ich noch nicht getestet, werde ich aber gleich mal tun und anschließend berichten. So, habe jetzt noch folgendes getestet: Outlook von außerhalb des Netzwerks - Einstellungen werden gefunden, scheinen aber nicht die richtigen zu sein. Statt https://remote.meinedomain.de trägt er als Server irgendeinen ellenlangen Hashwert@meinedomain.de ein und die Verbindung kann dann auch nicht hergestellt werden. MAC von außerhalb des Netzwerks - Einstellungen werden nicht automatisch gefunden, aber die Verbindung funktioniert nach händischer Eingabe (Server-URL & Domäne\Username) problemlos. (erkennt als Server dann https://remote.meinedomain.de/ews/exchange.asmx)

Sowohl Exchange ActiveSync-AutoErmittlung als auch Synchronisierung, Benachrichtigung, Verfügbarkeit und automatische Antworten. Das Ergebnis ist bei beiden das gleiche. Wenn man die Vertrauensstellung für SSL ignoriert läuft's problemlos durch, wenn nicht, fehlt die Zertifikatskette... Das Zertifikat wurde am Smartphone beim ersten Einrichtungsversuch vom Gerät abgefragt und bestätigt. Ein "test-outlookwebservices" gibt ebenfalls "Erfolg" zurück. Aber mit Outlook gabs bei mir auch nie diese Probleme, das hat immer auf Anhieb die Einstellungen automatisch gefunden und umgesetzt. Das Problem hab ich nur bei mobilen Geräten.

hat vielleicht noch jemand eine zündende Idee, die evtl. zur Lösung beitragen könnte?