Die Best Practice beim Einrichten klang zu schön um wahr zu sein. So einfach ist es dann auch tatsächlich nicht. Alleine die Tatsache, dass in den Screenshots drei Decryption Policies definiert sind, obwohl best Practice eigentlich zwei genügen, sollte stutzig machen.
Die Ausnahmen sind vielfältig und IMHO durchaus gängig. Da man nicht alle Internet Infrastruktur URLs frei geben will gehen schon die Microsoft Update Dienste auf die Bretter. Aber die einschlägigen Erfahrungen der Reihe nach: …