cj_berlin

...also zumindest bei 2012R2 wirst Du vermutlich nicht glücklich werden - und selbst wenn, dann ist das Glück ja nicht von Dauer

Moin, klar, Get-Content liefert Dir ja eine ganze Zeile. Du brauchst Import-CSV.

Unter der Haube bestimmt, soll aber Modern Auth unterstützten oder sowas.

Moin, Steve Goodman arbeitet nach eigenen Angaben an einer Open Source-Lösung, die das ohne lokalen Exchange abbilden soll. Gesehen habe ich sie aber noch nicht.

...nicht aber den Ein-/Aus-Knopf als solchen :-(

Importieren, im Speicher anpassen, wieder exportieren.

Dann vertrauen die neuen User vielleicht nicht dem selbstsignierten Zertifikat? Du kannst das alles herausfinden, wenn Du als "neuer User" die Seite einfach im Browser aufrufst.

Moin, im Broker kannst Du vier verschiedene Zertifikate angeben. Welches steht unter "WebAccess" bzw. mit welchem ist die Website https://server/RDWeb abgesichert?

Moin, der Titel ist also schon mal falsch - ob Du *auch noch* einen Lizenzfehler hast, kannst Du erst herausfinden, wenn Du den Zertifikatsfehler behoben hast Wenn das ein öffentliches Zertifikat war, musst Du es einfach neu kaufen und am Connection Broker einspielen. Wenn das ein selbstsigniertes Zertifikat war, musst Du es neu generieren und auf den Clients wieder als vertrauenswürdig einspielen. Und auf dem Connection Broker natürlich auch. Was "das RA-Zert" ist, entzieht sich meiner Kenntnis, daher kann ich hierzu nichts sagen. Es geht aber bei dem Zertifikat, das den obigen Fehler verursacht, um das Zertifikat des Web Access.

Eine portable Firefox-Instanz mit eigenem (nicht-Windows) Zertifikatsstore für jede Webseite, und nur das passende Client-Zertifikat für die jeweilige Seite dort importiert. Anstelle von Bookmarks in einem Browser kommen dann mehrere/viele Verknüpfungen auf dem Desktop für mehrere Browser.

Prüfen, ob der DNS Record existiert und falls nein, durch den DC neu erzeugen lassen.

Moin, nein, das geht nicht. Ich hätte einen Ansatz wie Du das lösen kannst, der ist aber so bescheuert, dass ich ihn uns ersparen werde

das ist weil es seit Exchange 2010 keine Speichergruppen mehr gibt.

Ja, das ist PAC Validation. Wenn Du keine Authentifizierungsprobleme hast, ist dieses Ereignis dafür da, um festzustellen, welche Anwendungen keinen PAC im Request platzieren und evtl. leiden werden, wenn die PAC Validation irgendwann zu 100% verpflichtend wird.

IsMoveDestination : True

Ja, Cloud bedeutet "weg mit den Sonderlocken".

Was lernen wir also aus diesem Thread? Konfigurationsmanagement auf Servern ist NICHT optional, wenn man mehr als einen oder zwei davon hat

Von welchem Gesetz?

das würde ich auch aus einem anderen Grund nicht machen:

Moin, geht es Dir darum, die Serverseite bereitzustellen? Auf Windows Servern bis inkl. 2012R2 kannst Du Telnet-Server als Feature aktivieren. SSH-Verbindungen kann jede Linux-Distribution entgegennehmen. Und auf Windows 10 gibt es den openSSH-Server als optionales Feature.

Moin, wird die Mailbox denn angezeigt, wenn Du nach Get-Mailbox *nicht* filterst? Vielleicht ist es ja keine "UserMailbox"...

Was soll ich denn dazu sagen? Zwei Berater, drei Meinungen. Ich kenne keinen PoC für aktuelle Betriebssystem-Versionen, der nicht ganz massiv zusätzliche Informationen erfordern würde, über die ein externer Angreifer normalerweise nicht verfügt. Nils kennt so etwas vielleicht. Ich war schon bei Dutzenden Pentests dabei, auch mit hohem Schutzbedarf, wo es nicht gelungen ist. Aber prinzipielle Nicht-Machbarkeit wird dadurch natürlich nicht begründet.

Ja, weil @NilsK die Überzeugung vertritt, dass "man" aus der VM auf den Host ausbrechen kann. Nimmt man das als gegeben hin, so bleibt als Lösung nur nicht virtualisieren.