cj_berlin

Da passiert doch nix... kann man ganz easy machen Mit "KnowHow Eintrag" meinst Du sicher einen "Knowledge Base-Eintrag". Know-How ist was Dir hier geboten wird Die offizielle Aussage von Microsoft wird sein (bzw. ist, aber ich bin zu faul zu suchen): In einem Forest mit Exchange ist manuelles Bearbeiten von Exchange-relevanten Attributen (und dazu gehört das Attribut 'mail', obwohl es auch ohne Exchange vorhanden ist) nicht supported. Diese Aussage hilft Dir aber vermutlich nicht ganz weiter, denn die betroffenen User sollen ja explizit keine Exchange-Funktionalität haben. Viele Skripte und Tools versuchen, in einer Umgebung mit Exchange die Empfänger mit dem LDAP-Filter (mail=*) zu erkennen. Diese Tools werden natürlich durch die Maßnahme verwirrt sein.

Na klar. Schließlich sind wir ja in Deutschland: (aus https://youtu.be/p56aVppK2W4) Apropos: MüSSen müssen wir alle mit Doppel-S schreiben, und mußten das auch bereits nach der alten Rechtschreibung

Hast Du eh nicht, wenn *irgendjemand außer Dir* lokaler Admin ist. Wenn Du ein Gerät im Verlustfall finden oder wipen möchtest: Intune.

dann sind sie aber nicht im AD gespeichert

...aber Lösungen, die Kontakte aus der GAL in die Postfächer blasen, gibt es mehr (und preiswerter) als "quellenneutrale Kontakt-Importer nach Exchange". Nur ein Gedanke...

Dann darfst Du keinen Anspruch auf Sicherheit Deiner Clients mehr haben. Und das musst Du auch nicht - ist ein durchaus valides Konzept, das auch erfolgreich praktiziert wird: schmeiß die Rechner aus der Domäne und gib jedem Techniker einen lokalen User ohne und einen lokalen User mit Adminrechten. erklär das Client-Netz und das VPN zu externen Netzen. Alle Firmen-Anwendungen sind entweder als (per Reverse Proxy veröffentlichte) Web-Applikation zu erreichen oder per Citrix (hinter NetScaler), RDS (hinter RDG) oder View (hinter UAG), jeweils mit Präauthentifizierung und MFA - jawohl, auch dann, wenn der Rechner physikalisch im Office ist, denn er ist als feindlich einzustufen. Somit hast Du das ganze Thema Client-Verwaltung komplett von der Backe. Aber halb/halb geht nicht bzw. geht solange gut bis Dir irgendwann aufgeht, dass Du seit Monaten erfolgreich geownt wurdest.

Moin, die offensichtlichste Lösung ist: User keine Software installieren lassen, sondern die Softwareverteilung dafür nutzen. Aber Du hast bestimmt viele Gründe, warum das ausgerechnet in Deiner Organisation nicht geht. Ansonsten: LAPS mit kurzer Lebensdauer der Passwörter wird zwar nicht verhindern, dass sie sich an dem Tag anmelden können, an dem sie von Dir das jeweils aktuelle Passwort kriegen, aber am nächsten Tag wäre das Passwort dann schon ein anderes... Einen Domänen-User (anderen) dafür nutzen, der per GPO in die lokalen Admins reinkommt und dann wieder raus. JIT, sofern euer AD mindestens 2016 ist, andernfalls ephemere Gruppen...

Moin, so etwas kann man durchaus mit Erfolg skripten. Sollen dabei Kontakte auf der GAL, sprich, im AD erzeugt werden (in diesem Fall ist die Exchange PowerShell Dein Freund), oder Outlook-Kontakte in Postfächern (dann musst Du mit der EWS Managed API arbeiten, und es wird vermutlich ziemlich langsam sein)? "Nur Änderungen" geht sehr einfach, wenn das ERP den Zeitstempel der letzten Änderung zuverlässig mitliefert. Falls nicht, musst Du noch eine Datenbanktabelle dazwischen schieben, und die Änderungen in SQL anhand der Wertvergleiche in den einzlenen Feldern erkennen, bevor man das nach Exchange schreibt. Dasselbe Hilfsmittel würde ich auch zur Erkennung von Löschungen verwenden.

...oder überhaupt ein *Server*, ein Gerät also, das darauf optimiert ist, 24x7x52 zu laufen... ...und Out-of-Band Hardware-Management (iLO, iDRAC, iRMC..) hat Ich würde immer lieber einen gebrauchten Markenserver als einen selbstgeschraubten PC für den Servereinsatz nehmen. Und wenn's leise sein soll, gibt es den TX120 von Fujitsu oder so etwas.

Moin, wenn eine Datei zwei Zeilen hat, liefert Get-Content ein Array mit zwei Mitgliedern. Der Index 1 liefert dann genau die zwote Zeile. Diese kannst Du dann per Add-Content an die fortgeschriebene Datei anfügen. Ein Einzeiler also

1 <= 2 CHECK 8 <= 16 CHECK 8 <= 8 CHECK ergo, alles OK

Moin, wenn Du <= 16 Cores gesamt, <= 2 Sockel und <= 8 Cores pro Sockel in Deinem Blech hast, bist Du mit der Basislizenz abgedeckt und kannst die 2 VMs fahren, sofern auf dem Blech lediglich Hyper-V ausgeführt wird und nicht irgendwelche anderen Server-Rollen.

...und hast Du auch einen Überblick darüber, ob nur AD-Clients im LAN oder auch andere Use Cases in den chinesischen Standorten anfallen?

...meine IT-Überlebensregel #1: Basiere niemals Handlungen auf Annahmen. Aber ja, da die AD-Anmeldung anscheinend funktioniert, sind die chinesischen Netze wohl in einem eigenen Standort oder halt in zwei. Die Domain-Mitglieder wären dann mit sitescope bedient. Bleiben zwei Weitere Fälle: Im LAN, aber kein AD-Mitglied --> das könntet ihr lösen, indem ihr dort einen DNS-Server hinstellt, der alles an den DC weitergibt bis auf autodiscover. Dieses würde er dann mit der chinesischen Adresse beantworten. Damit könntet ihr sogar auch die AD-Member bedienen, wenn ihr die SCP-Abfrage per GPO tot tretet und nur DNS macht. Aus dem Internet --> da kommt ihr doch von China aus ja vermutlich ohnehin nicht an das Exchange in Europa, oder? Insofern dürfte es diesen Fall nicht geben.

Was Norbert gesagt hat. Und wenn ihr schon Rechte vergeben wollt, dann wenigstens ohne Automapping. Dann kann der geneigte User nicht das Postfach, sondern lediglich den Kalender einbinden, hat seine Rechte, kriegt aber weder Mail-Ordner noch den Kontakte-Ordner ("Adressbuch" ist in Exchange was anderes ) zu sehen.

...wobei es seit 2008R2 echt egal ist, in welcher Reihenfolge die da stehen. Aber ja, macht man auf jeden Fall so, da meckern auch alte Inventarisierungsskripte nicht Und der Vollständigkeit halber, obwohl es im vorliegenden Fall wohl keine Bewandtnis hat: Wenn die neue IP durch Subnetze in eine andere Site fallen würde als die alte, würde es bei einem DC nicht dazu führen,. dass er die Site wechselt.

Das Problem aus Deinem OP nicht, aber offensichtlich kommt noch hinzu, dass die Namensauflösung in diesem Konstrukt nicht so funktioniert wie von Dir erhofft. Wie wäre es, wenn Du mit ein paar Konkretika hilfst? bei welchem Hoster liegt das ganze? welche Domain/Hostname, wo kommt der her? welche Fehlermeldung kriegst Du?

...und in dem typischen "Notebook in einem Bürohochhaus"-Szenario (jede Stunde Netzwerkwechsel, weil pro Etage andere IP-Subnetze gelten) funktioniert es auch bei modernen Betriebssystemen eher bescheiden. DHCP hingegen trägt jedes Mal schön die in diesem Augenblick aktuelle Adresse ein. Und um die Reverse-Auflösung kümmert sich der DNS Client kein Bisschen, wie auch schon der DHCP-Client vor ihm - es gibt aber tatsächlich noch Produkte, die sie brauchen, und Kunden, die sie wollen.

Vermutlich liegt es daran, dass nicht alle Ports hin zu diesem Server offen sind. Wie greifst Du denn darauf zu? VPN? Oder geht direkt RDP aus dem Internet?

Re DHCP: Erschwerend kommt hinzu, dass nur die Kombination "Windows DNS + Windows DHCP" es Dir ermöglicht, bei dynamisch vergebenen IPs zuverlässig A- und PTR-Records zu erstellen, zu aktualisieren und zu löschen.

Das ist das, was ich eingangs mit VLANs und IP-Helpern meinte

...doch auch diese beherrschen nicht die Kunst der Gedanken-Osmose. @JoVo59 Du musst Deine Anforderungen so präzise beschreiben, dass daraus klar wird, *was* gemacht werden muss. Im Prinzip musst Du daraus der besorgten Userin eine erschöpfende Antwort auf die Frage geben können, was sie genau auf dem neuen System machen kann und was nicht. Und wenn Du soweit bist, wirst Du feststellen, dass der größte Teil des Aufwandes - den Dir aber niemand abnehmen kann, außer vielleicht Dein Vorgesetzter - bereits erledigt ist. Für den Rest kannst Du dann die zuhauf im Internet vorhandenen Tutorials auf Deine Anforderungen projizieren.

Weil das unter 2008R2 so war

Es ist nicht generell ausgeschlossen (z.B. MikroTik-Module können das). Aber verlassen würde ich mich, wie die Vorredner schon sagten, nur auf die Aussage des Herstellers. Dabei geht es tatsächlich sowohl um das SFP-Modul als solches als auch um den Switch.

Das musst Du jetzt bitte erklären. Die Config ist doch trotzdem an den Maschinennamen gebunden und muss umgeschrieben werden, wenn sich dieser ändert...