akelsey

В терминах ваших разобраться не просто. Как я понял основная задача в том что пользователи работают дома на работе - и по этому хочется не трогая настройки прокси сервера на клиентском устройстве - вне корпоративной сети они подключались напрямую, а внутри сети - аутентификация и трафик шел через прокси.
Так он и называется - прозрачный прокси. Копайте в этом направлении.
Самая простая конфигурация порт 80 заворачивается на прокси сервер прозрачно (где проходит аутентификация по kerberos например), а 443 лучше открыть SNAT на первое время. (ну или заморочиться с подменой сертификатов, но это посложнее будет просто прозрачного прокси на 80 порт).

Outlook является стандартным клиентом для Exchange, с версии 2013 подключение клиентских приложений идёт по протоколу Outlook Anywhere (маркетинговое название RPC-over-HTTP, который заворачивает MAPI в RPC, а RPC в HTTPS, в 2016 еще появился новый протокол, но это другая история.). Т.е. в данной ситуации требуется только открытый порт 443.
Раз вы можете зайти на OWA/ECP данное условие выполнено.
Теперь требуется настроить Web службы Exchange 2016 - на ваше имя (ExternalURL).
Лучший вариант использовать Split-Brain DNS в данном случае, и настроить ExternalURL & InternalURL одинаково, тот что вы привели ms.bestname.com.
Тогда пользователю будет всё равно сидит он внутри корп. среды или открыл почту из дома - подключаться будет бесшовно.
Еще один плюс - использование одного сертификата для внешних-внутренних пользователей.
Это вам удочка -) Успешной рыбалки =)

Взломали вас. Шить нетинсталлом: https://wiki.mikrotik.com/wiki/Manual:Netinstall

Что-то вроде такого:

import-module activedirectory
Get-ADGroup -Filter * | % {foreach ($z in Get-ADGroupMember -Identity $_) {Write-Host $($_.Name),$($z.Samaccountname)"}}

В тестовой среде - Exchange к процессору не требователен.
Для ДАГ, 1 контроллер с 1гб памяти достаточно, клиент 1гб памяти будет достаточно, два Exchange по 4гб.
Т.е. слабым местом будет у вас дисковая подсистема. Но для тестов вашей конфигурации вполне хватит.

А вопрос собственно в чём?
NS -> name servers -> просто сервера с поднятой службой/сервисом/демоном DNS (ms dns/bind/dnsmasq etc.)
Есть DNS - иерархически распределенная система доменных имен.
За любую зону должен кто-то отвечать. За доменную зону hostinger.com - отвечают два name server dns.
Один держит master-реплику всех хостов (и прочих DNS записей), другой является secondary. Два их нужно исключительно для High Availability. (Можно и три и четыре и наверное никто не остановит вас сделать их пятнадцать)
Т.е. если эти два сервера выключить - через какое-то время когда из кэша пропадут закэшированные записи -> никто в интернете больше не сможет разрешить имена из данного домена...

Самое простое: Транспортный руль. А на устройстве использовать уникальный адрес отправителя типа no-reply-my-restricted-mfd@mydomain.ru.

Так же можно поэкспериментировать с хидерами - т.к. IP адрес отправителя обычно добавляется. Например в X-Origin-IP, либо в другой хидер, нужно сделать пару тестовых рассылок себе и в хидерах найти объединяющее что-то - возможно по X-Mailer, другим признакам.

Зависит от архитектуры которую вы спланируете.
Коротко ответ - да.
Создаете новый сайт, ставите домен контроллер, разворачиваете эксчендж.
Создаете базы в которых будут лежать ящики филиальных юзеров (даг не обязателен).
Для почты в мир делаете отдельный сенд коннектор.
Балансирование входящей почты можно сделать МХ - если основной эксч лежит то почту будет принимать филиальный (при наличии паблик айпи).

Без конфигурации трудно будет вам чем то помочь, на самом деле это должно выглядеть например так:

frontend exch
        bind :443 name https tcp-ut 30s
        default_backend exch-be

backend exch-be
        balance leastconn
        stick on src 
        option tcp-check
	stick-table type ip size 1m expire 2h
        server exh-cmb1 10.10.10.111 weight 1 check port 135 inter 2s rise 2 fall 3 on-marked-down shutdown-sessions
        server exh-cmb2 10.10.10.112 weight 1 check port 135 inter 2s rise 2 fall 3 on-marked-down shutdown-sessions

Само собой mail.company.com снаружи должно резолвиться во внешний адрес haproxy.
А haproxy имел доступ до серверов. Ваша же фраза

Окей, я немного обошел проблему, указав в backend директиву server следующим образом:
server mail.company.com mail.company.com:443 ssl verify none check

мне совсем не понятна, вы обоим нодам поставили одинаковую запись? и почему вы порт пишете в бэкэнде?

Я за первый вариант:
1. Поднять Exchange, на нем вашу зону сделать его Internal Relay + Send Connector со Smart Host на ваш Kerio.
2. На эксчендже настроить Send Connector во внешний мир
3. На керио сделать отправку через эксчендж.
далее мне трудно будет описывать алгоритм, т.к. я не знаком с керио
4. На эксчендж создать новый временный accepted domain, типа tmp.mydomain.ru
5. На Керио настроить правильный роутинг на данный домен
6. Делаете тестового юзера, пилотного на керио, почтовый ящик на пару мегабайт, далее экспорт в пст, создаете ящик на эксче, прописываете ему адреса vasya@mydomain.ru, и vasya@tmp.mydomain.ru, всё с момента создания почта на ящик vasya@mydomain.ru будет оставаться на эксчендже. На керинге удаляется ящик или ставится безусловный форвардинг на vasya@tmp.mydomain.ru.
После успешного пилота, готовите батчи и мигрируете всех юзеров.
PS
Шаг 6 могут быть вариации. Например наоборот на керио создаете всем дополнительные ящики @tmp.mydomain.ru, на эксчендж заводите всем ящики, с безусловной переадресацией всех входящих на керио ящики. Таким образом неспеша синхронизируете керио в эксчендж, ну т.е. можно обдумать разные подходы. Но обычно за это берут деньги -)

Самого важного нет, версии операционной системы.
Если речь о Windows 10:

Проверьте следующие требования
Windows 10 Корпоративная, Профессиональная или для образовательных учреждений
64-разрядный процессор с поддержкой преобразования адресов второго уровня (SLAT).
Поддержка расширения режима мониторинга виртуальной машины (технология VT-c на компьютерах с процессорами Intel).
Не менее 4ГБ оперативной памяти.

Нужно начать с "Создал почту по типу: name@domain.com."
Не хватает деталей. Где создали и как?
S/MIME тут не причем, гугл ругается на TLS вашего почтового сервера.

Ещё смущает то, что лог за сутки весит 1,5 Гб примерно. Да, полтора гигабайта. По большей части забит какой-то нечитаемой пургой. Как бороться с этим я не нашёл.

Лог не пишется просто так, тем более на 1.5Гб. Вы представляете объем возможного флуда через ваш ящик, если объем логов 1.5Гб? Изучайте этот лог - изучайте другие, только там правда.

Тут: https://support.office.com/en-us/article/use-the-c...
Но сам не пробовал. Попробуйте - расскажите если сработало.

По идее шлюз по умолчанию по беспроводу имеет более низший приоритет. При пропадании PPPoE - маршрут по умолчанию по WAN должен пропасть (он динамически создается при подключении) - и весь трафик должен идти по вайфай.
Если же кабельный канал у вас, и схема описанная выше не работает, то нужен наверное скрипт. Который будет менять приоритеты дефолтовых гейтвеев.
Прописывается статический роут через вашего провайдера - например DNS клаудфлейр 1.1.1.1.
Скрипт раз в минуту проверяет доступность этого адреса (можно 2х, 5 адресов), и если он не доступен - меняет метрику дефолт гейтвея, что б он был выше вайфайного.
Как только 1.1.1.1 доступен - меняет роут на проводной.
Ну это в общих чертах, как бы делал я.

А что не получилось то.

telnet smtp.yandex.ru 25
telnet smtp.gmail.com 25

если оба не откликаются - звоните провайдеру.

Вам нужно настроить Split DNS Zone или что лучше его более частный случай Pinpoint DNS Zone.
Думаю найдете в интернете что и как по этим ключевикам.