cj_berlin

Klar, BitLocker ist eine Volume-Verschlüsselung. Wenn eine Platte entsperrt ist, können alle Dienste auf die Daten dieser Platte zugreifen.

An dieser Stelle würde ich versuchen, RDP komplett nur über UDP zu fahren. Da haben Paketverluste zwar Audio-/Video-Artefakte zur Folge, aber die Stabilität der Sitzungen dürfte weniger von Paketverlusten beeinträchtigt sein. Hat diese Büchse auch eine GPU und die RemoteFX-Vorbereitung?

...ansonsten: Virtualisierungs- und Downgrade-Rechte Wobei wenn es nur ein paar Postfächer sind, würde ich mir echt überlegen, ob Hybrid Identity und Exchange Hybrid es wert sind. Sprich mal mit dem Kunden und spiel mit ihm gedanklich das Szenario "Cloud-only identity" auch durch. Kannst zwar Postfächer nicht "geschmeidig" migrieren, aber wenn es nur ein paar sind? Nur ein Gedanke...

Erwartest Du wirklich, dass man Dich hier in Sachen PKI ausbildet?

Moin, schau Dir mal vor und nach dem Reboot (steht ja am Wochenende offenbar an ) das Attribut protocolSettings bei den betroffenen Benutzerobjekten. Entsprechen die Werte dort dem gewünschten Stand? Ändern sie sich durch den Reboot des Servers? https://www.active-directory-faq.de/2014/12/qmm-exchange-dirsync-protocolsettings/

In der Frage, ob die Policy noch angewandt wird, wenn beim ersten Kontakt zum DC dieser sagt "ich mag dich nicht, Computer, geh weg".

Nö, die werden bei Bekanntwerden von Zero Day Vulns einfach in die Cloud migriert.

Das kann ich Dir erklären. Aber da ich es nicht in meinen "eh da"-Stunden mache, sondern in der Freizeit, nur soviel: Der Tagessatz für Notfall-Wiederherstellung nach einem erfolgreichen Angriff ist mindestens der doppelte

Moin, hier sind Ports aufgeführt, die Du in Richtung Deines DC öffnen müsstest, damit es funktioniert: https://social.technet.microsoft.com/Forums/ie/en-US/710a7062-60e8-4683-92ca-a8034f2153c3/ad-port-requirements-when-dcs-and-clients-segmented-by-firewall Und sobald Du RPC und SMB ins große Schwarze aufmachst, ist Dein DC nur noch damit beschäftigt, auf Anfragen von Hackern aus der ganzen Welt zu reagieren. Nach ca. 2 Stunden gehört der DC dann nicht mehr Dir.

Cross-Post: https://social.technet.microsoft.com/Forums/de-DE/6b553a1c-42d4-494c-9956-f1fe74a63f5d/exchange-2016-installation-schlgt-fehl-error-occurred-while-configuring-search-foundation-for?forum=exchange_serverde

Moin, mit "selbst erstellter Verteilergruppe" meinst Du eine Kontaktliste in Outlook?

...und dann: https://docs.microsoft.com/en-us/outlook/troubleshoot/authentication/policy-control-credential-prompts

Dann hast Du nicht sehr lange getestet. Outlook wiederholt die Autoermittlung alle 24 Stunden. Aber auch Zugriff auf Ressourcen und fremde Postfächer, sowie das Aktivieren und Deaktivieren von Out-of-Office lösen Autodiscover-Anfragen aus.

Die wollen in die Zeitung

Nö, alles richtig

Microsoft Update-Katalog

Bisher konnte ich das Verhalten hier mit Outlook 2016 und einem Android-Smartphone nicht nachstellen.

Ja

Wenn Du User-Lizenzen einsetzt, dann brauchst Du 3. Aber wenn die Mini-Jobber sich einen Client teilen, kannst Du ja eine Device-Lizenz nehmen...

Also die Zeitzone auf dem Anmeldebildschirm ist eine separate Einstellung, vielleicht gilt sie auch für den Sperrbildschirm?

Naja, ganz so simpel ist es nicht. Get-ADUser musst Du erst mal sagen, dass memberOf benötigt wird. Dann stehen im memberOf nicht Namen, sondern Distinguished Names von Gruppen Und das mit 8 Zeichen: Regulärer Ausdruck. Jetzt hast Du wieder was zum Googlen.

Moin, ja, neue Terminalserver ignorieren diese Einstellungen im AD. Das kannst Du mit einem Registry Key wieder einschalten: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services Name: fQueryUserConfigFromDC Type: Reg_DWORD Value: 1 (Decimal)

Moin, naja, mit Get-ADUser bist Du ja schon fast am Ziel, ein user hat ja ein berechnetes Attribut memberOf

Ich mache seit 22 Jahren AD, und es gab bisher genau einen Fall, wo mir jemand diese angeblichen Altlasten wirklich technisch darlegen konnte. Es war eine Umgebung, in der am Schema so lange herum erweitert wurde, dass sie fast mehr eigene Attribute hatten als vordefinierte. Und da gab es tatsächlich nur den Weg der Migration. Alles andere ist meistens der Unwille, sich mit Active Directory zu beschäftigen.

Was auch bei größeren Umgebungen zu beachten gilt: die Cmdlets aus dem ActiveDirectory-Modul sprechen mit dem AD Web Service, und dieser hat einen 30-Minuten-Timeout. Dauert die Abfrage länger, kommt es zu dieser exakten Fehlermeldung