Сергей

Сам спросил. Сам отвечаю
Какой-то мудрый админ, ограничил учетку на вход на несколько компьютеров. Зачем?? История умалчивает.
Буду проверять все учетки в АД через PowerShell



Скрипт для поиска таких "счастливчиков":

Get-ADUser -Filter * -Properties LogonWorkstations | ? LogonWorkstations | Ft Name, LogonWorkstations -auto

Поправил немного скрипт. Спасибо MaxKozlov

Спросил коллегу, получил ответ:

AdsiEdit.msc, подключиться к разделу Configuration, затем перейти по ветке Configuration – Services - Microsoft Exchange - Название организации – CN=Address Lists Containers.
Здесь видим все адресные списки. Нажимаем правой клавишей мыши на нужном списке адресов, в выпадающем списке нажимаем Properties (свойства), переходим во вкладку Security (безопасность), добавляете сюда группу или пользователя, которому не надо видеть адресную книгу и изменяете у этого объекта разрешения Open Address List = Deny, Read = Deny.

1. Можно купить сертификат и установить его. Если есть возможность ежегодно его оплачивать.
2. Можно настроить свой центр сертификации и сгенерировать свой сертификат.
3. Можно попробовать настроить Let's Encrypt (хотя я так не делал на почте. Не знаю сработает ли)
4. Можно просто добавить текущий сертификат в доверенные на каждом компьютере.

Я бы выбрал первый или второй вариант. Остальные так себе

В общем, не нашел я в чем проблема.
Суть в чем. DAG не создается с IP адресом
Сам кластер создается, но при попытке добавить в него хосты или возникает ошибка, или нет кворума. IP не пингуется. Пробовал все, ничто не помогло.
В итоге сделал DAG - без IP. Майкрософт даже рекомендует так сделать. Якобы старый вариант кластера устарел и блаблабла...
Взлетело все на ура. Кластер работает. Жаль что не так как хотелось бы, но главное что работает.

В общем, сам спросил: сам и отвечаю.
На Exchange - заводим внешний домен, такой же как на Postfix. В итоге там два домена. Один внешний, второй внутренний, который ставится при установке программы. В нашем случае это: domain.ru и ad.domain.local
domain.ru - делаем доменом по умолчанию
На Postfix, в альясах делаем пересылку для vasya@domain.ru на -> vasya@ad.domain.local
Соответственно этот vasya должен быть на обоих серверах.
В итоге, почта приходит в нормальном виде, без измененного адреса получателя. Так как оба сервера понимают domain.ru

Прием настроили.
А отправку я просто сделал через Postfix. На Exchange настроил его как smarthost.
будут вопросы - пишите.

PS. Есть правда один ньюанс. На момент переноса нельзя отправить почту сотруднику, которого еще не перенесли. Мысль - сделать альяс, уже на exchange. Пока не думал как это грамотнее сделать. Как сделаю - отпишусь