cj_berlin

Was heißt hier Telemetrie? SMTP war deprecated in Server 2012: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831568(v=ws.11)?redirectedfrom=MSDN#smtp Nun, nach 13 Jahren, ist er raus. Das ist genug Vorlauf, um MailEnable, hMail, PostFix, Exim oder was auch immer zu implementieren...

Moin, schau Dir mal Observium an. Gibt's auch als virtuelle Appliance von Turnkey Linux.

+1 Und weil DOS-Befehle in PowerShell-Skripten hässlich sind, ([System.Security.Principal.WindowsIdentity]::GetCurrent()).Groups

/admin war mal und wurde aus Kompatibilitätsgründen erhalten...

Das kannst Du auch am Client sehen

Wenn Du RD Gateway deployment in a perimeter network & Firewall rules - Microsoft Community Hub meinst, dann ist der Artikel vom 2009, und da hat wirklich noch keiner RODC verstanden, auch bei Microsoft.

Der Use Case für RODC ist genau der, für den MSFT das für das US-Militär entwickelt hat: Ein Standort mit schlechter physischer Sicherheit (Feind überrennt Stützpunkt), an dem dennoch lokale Authentifizierung vorhanden sein muss (Uplink ist nicht immer zuverlässig). Und das ist auch der einzige Use Case, in dem man *irgendwelche* Benefits vom RODC erwarten kann.

Den Kampf habe ich schon fast aufgegeben

Moin, kannst Du die FSMO-Rollen hin- und herschrieben? Ist die Replikation soweit auf allen DCs gesund?

Moin, also: ist der Dienst *verschwunden* oder *lässt er sich nicht starten*? Wenn Du bei net start einen "Access Denied" kriegst, ist der Dienst ja scheinbar da, sonst hieße es ja "Invalid Name". Schau mal in der Registry, wie die Rechte auf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler vergeben sind. Schau auch (und poste hier), was Dir sc sdshow spooler zurückgibt...

Moin, reden wir bei "erreichbar" von IP (ping, https, ssh, bestimmter anderer Port usw.) oder von nicht näher definierter Kommunikation einer entsprechenden Anwendung (die beispielsweise Broadcasts verwenden könnte, wo man Helper bräuchte, um sie zwischen VLANs zu verbreiten)? Falls es um IP-Kommunikation geht, ist sichergestellt, dass tatsächlich VLANs und nicht die IP-Subnetze, die diesen VLANs zugeordnet sind, das Problem darstellen? IP-Konfiguration, Routing, Firewalls usw.... Denn ob ein VLAN tagged oder untagged ist, spielt ab dem Moment keine Rolle, wo beide Kommunikationsteilnehmer eine valide IP-Konfiguration erhalten haben und ihren Default Gateway (oder den zielspezifischen Gateway) erreichen können.

Natürlich. Die Vorlagen spielen beim Anwenden der Richtlinien keine Rolle.

Du hast eine Vorlage eingespielt, die zu neu ist für die Version des Editors, die Du benutzt Nimm einen frischeren Rechner zum Bearbeiten.

Moin, die Dokumentation geht davon aus, dass Root nicht mitgeschickt wird: https://learn.microsoft.com/en-us/troubleshoot/developer/webapps/iis/www-authentication-authorization/configure-intermediate-certificates Das Root-Zertifikat in den Intermediate-Store zu verschieben, ist sicher nicht zielführend. Du kannst aber probieren, es dorthin zu *kopieren*. Vielleicht hilft es.

mit "das AD" meinst Du wohl die "Active Directory Users and Computers"-Konsole

Mach's einfach als SYSTEM. Wenn Du das ganze z.B. für SCCM paketieren würdest, müsste das Paket auch als SYSTEM laufen.

Moin, Du kannst ja seit gefühlt 7 Jahren (und genauer seit Mai 2014 - da siehst Du, wie die Gefühle trügen bei einem alten Mann ) in GPOs keine Passwörter mehr speichern. Das heißt, ein Schtask mit einem benannten User kann nur unter der Voraussetzung laufen, dass dieser User interaktiv angemeldet ist. Kann man SYSTEM nicht verwenden, kannst Du gMSA nehmen, da ist es aber ein wenig fummelig, die Policy zu erstellen, da der Editor gMSA nicht auswählen lässt.

Moin, je nachdem, wie weit die Audit Logs auf den DCs zurück reichen, könnte man ja die Logon-Events auswerten und nach LogonType 4 (Batch) und 5 (Service) filtern. Ansonsten für Services: Get-WMIObject Win32_Service -Filter "StartName='account@doma.in' OR StartName='DOMAIN\\account'" Für SchTasks: Get-ScheduledTask | Where-Object {$_.Principal.UserID -eq 'account'}

Moin, solange kein wirkliches Relay entstanden ist, kann es Dir nicht eigentlich egal sein, welchen Receive Connector Exchange für den Empfang eingehender Mails aus dem Gateway auswählt? Ist es Dir aus irgendwechen Gründen wichtig, musst Du den Mail-Gateway aus dem Scope des internen Connectors ausschließen. Ich vermute aber aus Deiner Ausführung, dass das interne Bein des Mail-Gateway im Server-Subnetz ist und Du daher den Scope aufbrechen müsstest, um eine Adresse auszuschließen. Normalerweise jedoch, wenn der Scope des externen Connectors nur die IP des Gateways umfasst und nicht das gesamte Subnetz, müsste dieser gewählt werden - Exchange versucht immer, die möglichst genau passende Konstellation zu wählen. Wenn allle Stricke reißen, kannst Du den externen Connector auf einem anderen Port laufen lassen und das Ziel im Mail-Gateway ändern.

Kannst Du das ein wenig ausführen? Irgendwie scheint sich der Satz selbst zu widersprechen...

...und wenn Du schon von vornherein weißt, dass Dich nur Gruppen wie oben interessieren, könntest Du Get-ADGroup auch anweisen, nur solche Gruppen zurückzugeben: Get-AdGroup -Filter {Name -like "GU_*_Bewerber"}

Ich schon. Frau wird als einziger geholfen, Töchter kommen ins Gästenetz, der Rest kann zum Neffen der Nachbarin oder zum ortsansässigen PC-Doktor gehen.

Das heißt es in der Tat.

Moin, was ist denn mit der Public Folder *Mailbox*, wo der Ordner lebt? Vielleicht ist diese voll bzw. gegen Quota gelaufen?