Sasha Odarchuk

Эка Вы с шашкой наголо...Не страшно? :)

Заканчивайте ваши упражнения и наймите инженера/админа, который поможет вам настроить Exchange. А сами при этом наблюдайте за процессом со стороны и задавайте вопросы по ходу...

Exchange принимает почту при нормально настроенных DNS-записях (A-запись для сервера и MX) - для этого достаточно 5 дефолтных коннекторов приема (Receive Connectors). Для отправки писем во внешний мир потребуется настроить коннектор отправки (Send Connector). Внутри домена Exchange работает "из коробки".

Основное назначение анонимного релея совсем другое - он принимает почту от внутренних сервисов без авторизации и пересылает ее внутренним и/или внешним адресатам. Выставлять анонимный релей наружу - это выстрел в ногу. Поэтому удаляйте свой анонимный коннектор.

port forwarding 25,80,110,143,443,465,587,717,993,995 на 192.168.4.17

- читайте внимательно, а также обязательно продумайте и согласуйте с ИБ (если она у вас есть) необходимость доступа пользователей к доменной почте через интернет (без использования механизмов а-ля VPN и т.д.) - это поможет определить набор портов, которые надо открыть снаружи.

инструкций как настроить почтовик для домена, у которого имя контроллера домена совпадает полно... а вот как быть при локальном домене - проблема

- похоже, Вы не совсем понимаете то, о чем пишете, и как это работает. Однако, если я правильно понял Вашу мысль, то речь идет о совпадении имен внешнего и внутреннего доменов (а так лучше не делать) или их несовпадении, и возможно, еще Вы все это путаете с сертификатами. В принципе, для обоих случаев инструкций более чем достаточно.

Let`s Encrypt сто лет как выдаёт wildcard-сертификаты.

можно. сделать бэкап настроек и развернуть их на другом роутере

ESXI 6.7 не дает устанавливать в mbr, а поддержка Uefi появилась только с gen9. Решение - установить 6.5 с параметром formatwithmbr ( При загрузки, выбрать Installer, далее нажать SHIFT + O, и добавить "пробел formatwithmbr" дождаться установки, и дальше апгрейдить до 6.7.

Да, можно. Погуглить "gpo change outlook path".
Для Outlook есть свои administrative templates с необходимымим настройками.

по-хорошему - нужна роль Print and Document Services, дальше GPO...
Allow Non-administrators to Install Printer Driver...
How to Deploy Printers to Users or Computers via G...

1) Создай локального администратора, и пусть заходит под ним.
2) На нужном сервере Управление-локальные пользователи-группы добавь нужного доменного пользователя в группу Администраторы.
Как минимум два варианта тебе.

Ядра учитываются с ~2019 версии, когда появились AMD Epic с гигантским количеством ядер.
На старых виндовс, типо 2012, учитываются только процессоры.

Если это единственный домен контроллер, то он должен смотреть на свой IP адрес в настройках DNS клиента. Если нет - на IP адрес другого домен контроллера со службой DNS (если их, например, два - то они должны смотреть друг на друга. Три - каждый смотрит на два других. Но не стоит забывать, что при привязке по AD сайтам или нахождении в лесу, DNS резолвинг в домене может быть более усложнён, лучше изучить тему, погрузившись в документацию AD - внутренний DNS AD важен для правильного функционирования)

Соответственно в DNS сервере(серверах) должны быть настроены форвардеры на DNS провайдера + какой-нибудь публичный
На территории РФ я бы рекомендовал Яндекс, а за пределами - google или cloudflare. Что прописывать в форвардерах - ваше решение, можете хоть всё туда вбить вне зависимости от местонахождения
Внутренним ПК необходимо отдавать адрес только AD контроллера(ов) и следить за работоспособностью DNS службы на серверах

про sysvol и netlogon

Раз в несколько лет вы будете кочевать туда сюда. Блокнот, Обсидиан, Ноушен, Докувики, Эксель\Ворд, Блокнот в клеточку. Постоянно мигрируешь туда-сюда потому что задачи меняются, старые записи устаревают и удаляются, новые записи подпадают под новые требования - что-то для себя, что-то на отдел расшарить итд. Были пароли в Кипасс, не хватало шашечек, переехал на битварден, пока переезжал и привыкал, за пару тройку лет шашешчки подъехали и в кипасс, теперь думаешь про обратный переезд.

Это я к чему, серебрянной пули нет, а с опытом меняются привычки. Просто ведите там где удобно и наплюйте на наши мнения.

Машина на момент клонирования в домене быть не должна.
А дальше -
один из вариантов - sysprep с файлом ответов
второй - Poweshell DSC
Третий - свой скрипт, который будет логиниться на машину, переименовывать её и вводить в домен с помощью Add-Computer :)

Сетевое окружение умерло. И никто его не стремится реанимировать. Оно просто умерло. Оно не работает даже в win-only многосегментных сетях, где в центре виндовый AD, на котором стоит wins. Такое впечатление, что прогсто поддержка wins выпилена нафиг. Потому что IP wins сервера передается, регистрация в нем идет... но... винде (рабочей станции) на это просто насрать. :( Она тупо показывает только сегмент локальной сети и все.