cj_berlin

Dass der Computer die Policy lesen können muss.

Ja, so würde ich das auch sehen.

Moin,
 
vergiss die Bücher, sie werden Dir nur erklären, was geht (und wie), und dafür reichen Docs vollkommen aus. Was dort, und auch in den Büchern, nicht stehen wird, ist, warum das eine schlechte Idee ist, und warum das in einer virtualisierten Umgebung eine geradezu disaströse Idee ist. Das musst Du dir aus Blogs zusammen suchen, und ich werde absichtlich keine Links posten, damit Du siehst, wie mühsam bereits das Auffinden dieser Informationen ist.
 
Was Du dir auch anschauen solltest, ist https://learn.microsoft.com/de-de/iis/web-hosting/scenario-build-a-web-farm-with-iis-servers/overview-build-a-web-farm-with-iis-servers - vielleicht ist es auch schon das, was der Anforderungs-Manager gemeint hat. Alles besser als WNLB. ARR wäre, auf IIS projiziert, das, was man in der professionellen Webserver-Welt mit NGINX-Loadbalancern macht.
 

Genau, "terminierende Fehler" sind hier das Stichwort. Einfach -ErrorAction Stop zu den Cmdlets hinzufügen, und schon sind alle Fehler terminierend.
 
Aber noch besser ist es, die Fehler gar nicht erst entstehen zu lassen: https://it-pro-berlin.de/2016/05/powershell-hack-namen-von-standardordnern-in-einem-exchange-postfach/ Ich könnte schwören, ich habe es bereits als Antwort auf Deinen anderen Thread gepostet.

Dienst aus der Registry austragen und sich die Rechte notfalls mit Gewalt nehmen. Oder sc im SYSTEM-Kontext, sollte auch gehen.

Wenn Du nie, aber auch überhaupt nicht, unter keinen Umständen diese VM bedienst und das auch auditsicher nachweisen kannst, könnte man das tatsächlich diskutieren  
Sobald Du auf diese VM zugreifst, brauchst Du entweder Windows 10+ unter SA auf dem zugreifenden Endgerät oder VDA. Beides sind Mietlizenzen, die nur mit einem Volume Licensing oder Enterprise Agreement zu haben sind.
Such mal hier im Forum nach "VDA", da sollte einiges an Infos zu finden sein.

Hier ist Dein Freund (bei mir heißt die Spalte "payload", denn "string" ist ein echt ungünstiger Name):
SUBSTRING(payload, CHARINDEX('<ac:parameter ac:name="extras">', payload) + LEN('<ac:parameter ac:name="extras">'), (CHARINDEX('</ac:parameter>',payload,(CHARINDEX('<ac:parameter ac:name="extras">', payload) + LEN('<ac:parameter ac:name="extras">') + 1)) - CHARINDEX('<ac:parameter ac:name="extras">', payload) - LEN('<ac:parameter ac:name="extras">')))  

Beim RecipientContainer muss die OU stehen, wo die Mitglieder drunter sind.

Moin,
 
VDA ist doch nur der Tatsache geschuldet, dass es keine valide Lizenzierung für virtualisierte Desktop-OS "per se" gibt. Das Server-OS hingegen musst Du zwingend via Blech lizenzieren, und dann ist es lizenziert, braucht also nichts zusätzlich. Zugriff auf den Server --> CAL, Zugriff auf den Server per Remoting (RDP, ICA, Blast, you name it) --> RDSCAL. Und das ist völlig unabhängig davon, ob der Server virtuell, physisch, imaginär ist oder sonst wie ist. Und auch unabhängig davon, was auf dem Client läuft.
 
Beim Zugriff auf ein Client-OS brauchst Du schon mal keine CALs, denn CALs sind ein Server-"Feature". RDSCALs brauchst Du nur, wenn Du irgendeine RDS-Serverrolle für den Zugriff verwendest - Connection Broker, RD Gateway, RDWeb oder was weiß ich. Und wenn der zugreifende Client ein nicht qualifiziertes OS fährt, brauchst Du noch die VDA, um das angesprochene OS zu lizenzieren. Das ist auch von der Art des Zugriffs unabhängig - selbst wenn Du die VMRC dafür nutzt, brauchst Du die VDA.
 
Bei Microsoft waren die Antworten schon immer davon abhängig, mit wem Du sprichst, vielleicht hast Du "früher" einfach mehr Glück gehabt.

Aber er schickt sie doch auch nur per SMTP weiter, da hast Du nichts gewonnen????

Und spätestens hier ist es dann vollkommen wurscht, welche vermeintlichen Sicherheitsmaßnahmen Du wo ergreifst. Leg einfach auf dem Master-PC gleichlautende Konten mit gleichen Kennwörtern an, sensibilisiere die User, dass sie die Kennwortänderungen 2x machen müssen, und vergiss den ganten CredMan-Kram.

Moin,
beim ersten PC hat er im AD nach netBootGUID gesucht und gefunden. Beim zweiten hat er natürlich nichts gefunden, und da funktioniert die WDS-Benennungsrichtlinie nun mal nicht, wenn Du eine eigene XML verwendest.

Versuch's zuerst mit dem KMS Client Key und dann mit der ROK. Schlägt das fehl, musst Du mit Microsoft telefonieren und schauen, was sie dann sagen.
Und bei Domain Controllern ist eine Umwandlung von Eval zu Prod grundsätzlich nicht möglich.

IMO hast Du nichts übersehen. Ich kann mir drei Erklärungen für das Phänomen vorstellen:
Du hast nach dem Hinzufügen des Users zu der Gruppe nicht lange genug gewartet, und Exchange weiß noch nichts davon Es gibt eine höher priorisierte Regel, die zutrifft und mit Action "und keine weiteren Regeln anwenden" versehen ist. Der Absender wird aus irgendeinem Grund als intern erkannt.

Moin,
 
das ist der Unterschied zwischen Invoke-WebRequest und Invoke-RestMethod. Ersteres gibt die Antwort des Webservers 1:1 an Dich weiter, und da müsstest Du diese Sachen sehen. Zweiteres versucht den Output zu parsen, und wenn der Output tatsächlich nur aus Returncode und Header besteht, also keinen Body hat, gibt es nichts zu parsen.

Moin,
Du musst die physikalischen Cores lizenzieren.
Datacenter= 24 Cores lizenzieren, so viele Windows Server-VMs betreiben wie Du willst
Standard = 24 Cores lizenzieren, 2 VMs betreiben
2xStandard = 2x24 Cores lizenzieren, 4 VMs betreiben
3xStandard = 3x24 Cores lizenzieren, 6 VMs betreiben
usw.
Solange die Replikas nicht starten, muss das zweite Blech nicht lizenziert werden.

Eine portable Firefox-Instanz mit eigenem (nicht-Windows) Zertifikatsstore für jede Webseite, und nur das passende Client-Zertifikat für die jeweilige Seite dort importiert. Anstelle von Bookmarks in einem Browser kommen dann mehrere/viele Verknüpfungen auf dem Desktop für mehrere Browser.

Moin,
es gibt AD-Berechtigungen (wie z. B. Send-As), Postfachberechtigungen (wie z.B. Elemente löschen) und Ordnerberechtigungen (wie z.B. eigene Elemente bearbeiten). Erstere werden im AD hinterlegt, der Rest im Postfach selbst gespeichert.

Collections basierend auf Modell?

Ja, Splatting braucht einen Variablennamen, bei dem Du $ durch @ ersetzt. Einen Wert dort zu übergeben, ist nicht vorgesehen.

Hetzner hat hierfür übrigens eine Regelung getroffen: https://docs.hetzner.com/de/robot/dedicated-server/windows-server/windows-server-2016/

 
Warum eigene RDS CALs nicht eingesetzt werden können, wenn Du einen eigenen Server und ein eigenes AD hast, in das die ausgecheckten Lizenzen geschrieben werden, ist mir allerdings schleierhaft.

Problem ist bei MSFT bekannt, wird irgendwann demnächst wieder geheilt.

Moin,
 
IIS Logs geben Dir die Info (Client-IP >> Rechner, Username >> Konto). Zumindest für Autodiscover, EWS, MAPI/HTTP...

Die, die noch online sind --> migrieren.
Die, die verwaist sind --> im AD löschen und in Exchange 2016 neu erstellen.

Moin,
das "nicht vertragen" hat meistens damit zu tun, dass UPNs in der Authentifzierung (Kerberos und sogar NTLM - ja, auch dieses respektiert in manchen Szenarien UPNs) auf den alten Namen zeigen und somit keine Authentifizierung möglich ist, wenn man den Host über den neuen Namen anspricht. Da zu vermuten steht, dass bei VoIP kein Kerberos zum Tragen kommt, sollte das eigentlich funktionieren.
 
Manche Dienste prüfen aber auch explizit, ob der aufgerufene Namen dem enstspricht, den sie selber kennen (SMB Strict Name Checking wäre ein Beispiel). Da musst Du bei Swyx schauen, ob so etwas zu konfigurieren ist.
 
Und last but not least: Wenn TLS zum Tragen kommt, muss der Name im Zertifikat stehen, der durch die Clients aufgerufen wird.