cj_berlin

Das kann ich gerade weder hier noch woanders herauslesen. Es gibt aus meiner Sicht "nur" zwei stichhaltige Gründe, Server 2022 nicht als Domain Controller zu verwenden: Fehlender Support durch angeschlossene Anwendungen. Keine derzeit gültige Exchange-Version unterstützt zum Beispiel 2022er Domain Controller. Fehlende Treiber, falls ein Domain Controller auf Blech bereitgestellt werden soll. Allerdings fällt es mir schwer zu glauben, dass bei halbwegs aktuellen Server-Modellen Hardware verbaut wurde, für die ein Treiber fehlt. Magst Du deine Konfiguration grob beschreiben?

Wenn man wirklich nur für den Fall "Server wird geklaut" vorsorgen möchte, ist es auch im Server-Bereich durchaus praktikabel.

Jein. Network Unlock kann da durchaus helfen.

JA, deswegen macht man das entweder in Rotation (wenn man mehrere DCs hat) oder mit einem Interim-Server.

Kommt auf den Protector darauf an, den Du am Server einstellst. Wenn Du TPM+PIN beim Booten verlangst, ist es auch gut, wenn Platten MIT Server geklaut werden

Klar, BitLocker ist eine Volume-Verschlüsselung. Wenn eine Platte entsperrt ist, können alle Dienste auf die Daten dieser Platte zugreifen.

An dieser Stelle würde ich versuchen, RDP komplett nur über UDP zu fahren. Da haben Paketverluste zwar Audio-/Video-Artefakte zur Folge, aber die Stabilität der Sitzungen dürfte weniger von Paketverlusten beeinträchtigt sein. Hat diese Büchse auch eine GPU und die RemoteFX-Vorbereitung?

...ansonsten: Virtualisierungs- und Downgrade-Rechte Wobei wenn es nur ein paar Postfächer sind, würde ich mir echt überlegen, ob Hybrid Identity und Exchange Hybrid es wert sind. Sprich mal mit dem Kunden und spiel mit ihm gedanklich das Szenario "Cloud-only identity" auch durch. Kannst zwar Postfächer nicht "geschmeidig" migrieren, aber wenn es nur ein paar sind? Nur ein Gedanke...

Erwartest Du wirklich, dass man Dich hier in Sachen PKI ausbildet?

Moin, schau Dir mal vor und nach dem Reboot (steht ja am Wochenende offenbar an ) das Attribut protocolSettings bei den betroffenen Benutzerobjekten. Entsprechen die Werte dort dem gewünschten Stand? Ändern sie sich durch den Reboot des Servers? https://www.active-directory-faq.de/2014/12/qmm-exchange-dirsync-protocolsettings/

In der Frage, ob die Policy noch angewandt wird, wenn beim ersten Kontakt zum DC dieser sagt "ich mag dich nicht, Computer, geh weg".

Nö, die werden bei Bekanntwerden von Zero Day Vulns einfach in die Cloud migriert.

Das kann ich Dir erklären. Aber da ich es nicht in meinen "eh da"-Stunden mache, sondern in der Freizeit, nur soviel: Der Tagessatz für Notfall-Wiederherstellung nach einem erfolgreichen Angriff ist mindestens der doppelte

Moin, hier sind Ports aufgeführt, die Du in Richtung Deines DC öffnen müsstest, damit es funktioniert: https://social.technet.microsoft.com/Forums/ie/en-US/710a7062-60e8-4683-92ca-a8034f2153c3/ad-port-requirements-when-dcs-and-clients-segmented-by-firewall Und sobald Du RPC und SMB ins große Schwarze aufmachst, ist Dein DC nur noch damit beschäftigt, auf Anfragen von Hackern aus der ganzen Welt zu reagieren. Nach ca. 2 Stunden gehört der DC dann nicht mehr Dir.

Cross-Post: https://social.technet.microsoft.com/Forums/de-DE/6b553a1c-42d4-494c-9956-f1fe74a63f5d/exchange-2016-installation-schlgt-fehl-error-occurred-while-configuring-search-foundation-for?forum=exchange_serverde

Moin, mit "selbst erstellter Verteilergruppe" meinst Du eine Kontaktliste in Outlook?

...und dann: https://docs.microsoft.com/en-us/outlook/troubleshoot/authentication/policy-control-credential-prompts

Dann hast Du nicht sehr lange getestet. Outlook wiederholt die Autoermittlung alle 24 Stunden. Aber auch Zugriff auf Ressourcen und fremde Postfächer, sowie das Aktivieren und Deaktivieren von Out-of-Office lösen Autodiscover-Anfragen aus.

Die wollen in die Zeitung

Nö, alles richtig

Microsoft Update-Katalog

Bisher konnte ich das Verhalten hier mit Outlook 2016 und einem Android-Smartphone nicht nachstellen.

Ja

Wenn Du User-Lizenzen einsetzt, dann brauchst Du 3. Aber wenn die Mini-Jobber sich einen Client teilen, kannst Du ja eine Device-Lizenz nehmen...

Also die Zeitzone auf dem Anmeldebildschirm ist eine separate Einstellung, vielleicht gilt sie auch für den Sperrbildschirm?