Alle Aktivitäten

Hmmm, muss ich mal probieren. Irgendwie muss man dem Ding doch beibringen können, so zu funktionieren wie man will und nicht wie ms das will. ;)

Hi, wir sind an der Stelle zwar seltenst Hybrid, konfigurieren das dann allerdings so: Installationswegweiser DATEVnet Mail-Connector für Microsoft 365 - DATEV Hilfe-Center (Punkt 5 zweiter Abschnitt "Anti-Spam-Schutz von Microsoft 365 ausschalten") Bzw. in PowerShell "gesprochen" New-TransportRule -Name "INBOUND: DATEVnet (193.27.49.248/30) SPAM Bypass" ` -Comments "Der Anti-Spam-Schutz wird hier bereits durch DATEVnet gewährleistet." ` -FromScope NotInOrganization ` -SenderIpRanges 193.27.49.248/30 ` -SetSCL -1 ` -Enabled:$true ` -Confirm:$false HTH Jan

Hi, vielleicht hat hier grad jemand eine Idee. Ich hab das Problem, dass diverse Mails die unser Spamfilter (on-prem) durchläßt, von ExOp trotzdem in den Junkfolder geschoben werden. Während der Recherche bin ich bei Frank Carius auf diese Seite gestoßen: https://www.msxfaq.de/cloud/exchangeonline/hybrid/hybrid_centralized_mail_transport.htm#eingehender_verkehr Dort wird auf einen parallel anzulegenden Inbound Connector in ExO verwiesen. Hab ich getestet, aber lt. Get-MessageTrace -SenderAddress sender@example.com | Get-MessageTraceDetail -Event receive | fl Kommen die Mails externer Absender weiterhin über den vom HCW angelegten Connector. Kann jetzt natürlich auch ein Cloud-timing Thema sein, das würde ich morgen oder nächste Woche nochmal prüfen. Wenn ich mir aber die Eigenschaften der Inbound Connectors anschaue, dann sehen die bis auf den ConnectorType auch mehr oder weniger identisch aus was das Thema Senderdomains betrifft. Ich bin mir da jetzt nicht sicher, ob man in den vom HCW konfigurierten Connector einfach die eigenen SenderDomains eintragen kann/soll/darf. SenderDomains : {smtp:*;1} Identity : Hybrid-To-ExO ConnectorType : Partner SenderDomains : {smtp:*;1} Identity : Inbound from kryptische-ID-;) ConnectorType : OnPremises Wäre nett, wenn mal jemand nachschauen kann oder einen Tipp hat. Danke Norbert PS: Crossposting - https://www.frankysweb.de/community/exchangehybrid/exchange-hybrid-routing-centralized-mail-transport/#post-8360

Es geht bei meinem Hinweis mitnichten um die Installation von MS-fremder Software auf DCs, sondern um Systeme, welche auf die DCs zugreifen. Mag sein, aber schau mal hier: https://learn.microsoft.com/en-us/troubleshoot/windows-client/networking/domain-joined-machines-cannot-detect-domain-profile

OK, das Probleme dürfte ich hoffentlich nicht haben, da ich üblicherweise keine MS-fremde Software auf DC's installiere. Das bezweifle ich mal stark, weil es immer die gleiche Laier ist mit dem Teil. Seit Vista. Also 20 Jahre. NlaSvc startet bevor die Dienste, Verbindungen etc. die es zur zuverlässigen Erkennung braucht, oben sind. Den Bug gibts seit Vista. Mit DHCP gabs ihn lange nicht, mit fixen IP's - insbesondere IPv4 - war er noch nie zverlässig weg. Ständig wird irgendwas dran rumgebastelt. Manchmal tut es wieder irgendwann nicht mehr oder der Lösungsweg wird anders. Der einzige Weg der immer funktioniert ist Adapter deaktivieren und wieder aktivieren oder z.B. ein Protokoll zu aktivieren/deaktivieren damit NlaSvc getriggert wird. Wenn DHCP aktiv ist, reicht ein ipconfig /Renew. MS müsste nur mal nen Trigger einbauen den man anstossen kann, sie kriegen es ja sowieso seit 20 Jahren nicht gebacken. Weil so muss man immer nen Script basteln und mit Admin-rechtne ausführen.

Ja, nur dass bei 2025 der NLA dafür gar nicht mehr zuständig ist, afair. ;) Ansonsten gerade als DC fällt mir nur das hier ein: Zwar kein Problem von 2025, aber ab und an gibts ja noch angrenzende Systeme. ;) Bye Norbert

Meinst den ***ischen Bug den es eigentlich in jeder Windows Version gibt, mal auftritt und mal nicht aber bei DC's noch viel peinlicher ist? Also dass der NlaSvc seine eigene Domäne nicht erkennt? Ode hab ich was verpasst?

Ich habe von Kunden noch keine negativen Aussagen gehört, ausser dem Problem mit der Windows Firewall auf Domänencontrollern nach dem letzten Update. Aber das hätte bei jeder Version passieren können. RDS ist immer heikel, da warte ich jeweils gerne einige Monate ab. Die anderen Rollen haben sie nach meiner Erfahrung gut im Griff.

Salut zusammen, Gibt es irgendwelche gröberen Dinge abseits von den Issues die bei MS gelistet sind? Die gemeldeten Probleme scheinen mir extrem überschaubar zu sein. RDS scheint etwas zu nerven aber sonst hört man im Gegensatz zu W11 extrem wenig. WSUS gabs mal noch eine Installations-Verhinderung nach einem Update, aber das haben sie auch schon früher immer wieder mal hingekriegt. Älteren Build nehmen, Rolle installieren, Updaten und gut ist. Grüsse und Danke

Hi zusammen, Ihr habt so recht ! Und schlecht/falsch beraten kann beim Audit sehr teuer werden ! ( viel teurer als ein erfahrener Berater ...smile* ) Viele Grüße, Franz

Moin, das wäre ja gut, wenn sie das täten. Leider hüten sich viele aber eben nicht, sondern beraten schlicht falsch. Gerade das Thema "indirekter Zugriff" ist da ein Klassiker. Gruß, Nils

Ich würde sogar einen Schritt weiter gehen: Unternehmen, die Third-Party Software verkaufen, nicht aber die benötigte First-Party-Technologie mit vertreiben, werden sich grundsätzlich hüten, Aussagen zu den benötigten Lizenzen für die First Party-Technologie (oder andere benötigte Third-Party-Produkte) zu tätigen. Technische Voraussetzungen ja, aber nicht wie man sie lizenziert bekommt. In meiner Erfahrung würde ein Kunde in einer geregelten Branche sich auch hüten, einem Third-Party-Softwareanbieter die Daten zur Verfügung zu stellen, die jener bräuchte, um verlässliche Lizenzierungsauzssagen für andere Hersteller zu treffen, selbst wenn der Wille und Sachkenntnis bestünden...

sorry. Du hast mich auf die Idee gebracht so weit zu denken. Danke

Ach, in der Freigabe... dann sag's doch. "Berechtigungen ändern" gubt es da ja auch gar nicht.

Nein, das ist nur auf der obersten Ebene unter Erweiterter Freigabe - Berechtigungen.

Moin, "Vollzugriff" schließt "Berechtigungen ändern" aber mit ein

Ich möchte mich an dieser Stelle ganz herzlich für Eure tolle Hilfe bedanken. Gestern war ich mit meinem Kopf bei den Ordnerberechtigungen, ob nun mit oder ohne "Berechtigung ändern" usw. So hab ich den Hinweis von die cj_berlin überhaupt nicht klar gecheckt. Aber ja, da war genau der Hund begraben. Auf der obersten Ebene meiner Struktur, also meinem Freigabeordner, hatten die User nur Lesen und Ändern, nicht aber Vollzugriff auf diesem einen Ordner. Als ich diesem einen unscheinbaren Ordner die vollen Rechte gegeben habe (ein einziger Haken ) war alles gut. "Berechtigung ändern" braucht es ebenfalls nicht. Ich habe das mit einem weiteren Volumen noch mal getestet, das dann sehr heikle Daten enthalten wird. Siehe da, es war genau so. ohne Vollzugriff kein Verschieben mit Vererben, mit Vollzugriff alles super. Daher DANKE, DANKE, DANKE. Ohne eure Hilfe hät ich das nicht geschafft. Wundervolles Wochenende! Kelly

Moin, Dann füge "für die betreffenden User" hinzu. Was ich meine, ist: falls für die User, um die es hier geht, die Zeiterfassung die einzige Windows-Server-Anwendung ist und deshalb nur dafür CALs beschafft werden müssen, dann ist in dem Szenario möglicherweise Windows nicht die geeignete Plattform, weil zu hohe Folgekosten entstehen. Nutzen die betreffenden User hingegen auch schon andere Windows-Dienste, dann brauchen sie auch jetzt schon CALs. Dann sind sie entweder momentan falsch lizenziert, oder sie haben eben schon eine CAL, dann muss auch keine mehr beschafft werden. Dass man von Unternehmen, die Software entwickeln oder verkaufen, oft nicht richtig zu CALs informiert wird, ist leider immer wieder zu beobachten. Gruß, Nils

Er ist halt mit einer 6-stelligen KB-Nummer und seit XP nicht überarbeitet worden, aber dass diese Funktion sich nach XP nochmals geändert hat, steht DORT nicht drin. Aber es gibt tatsächlich eine KB, wo das explizit drin steht: https://support.microsoft.com/en-us/topic/-movesecurityattributes-registry-entry-does-not-work-in-windows-7-in-windows-vista-in-windows-server-2008-or-in-windows-server-2008-r2-c4d5b411-c035-e2b9-d78c-da161b279d8e (zwar wiederum auch nicht, dass es bei späteren Versionen nicht eingeführt wurde, denn immerhin gab es anscheinend für 2008/R2 einen Hotfix Und - wir hatten das hier offenbar schon vor über 10 Jahren:

Hallo, danke für eure Informationen, nein es ist nicht das Einzige was der Server tun muss, aber ich habe bei den Anbietern von Zeiterfassungssystemen und ihrer "Aufklärung" vermisst, dass auf das Thema Windows CALs entweder nicht eingegangen wird oder die Informationen eben nicht so sind, dass man eine klare Linie hat, was zu tun ist, denn es ist ja offensichtlich so, dass der, der alles korrekt einrichten will, auch an die CALs denken muss, wenn eine "hier z.B. zusätzliche APP-Lösung per Handy eine Verpflichtung zum CAL-Kauf auslöst, falls der Mitarbeiter eben nur per Handy Zeiterfassungsbuchungen durchführt und sonst nicht auf dem PC arbeitet." Beste Grüße EMW

@cj_berlin Genau dieser Artikel habe ich auch gesehen. Und ist nur für ältere Server OS gültig.

Starte mal die Maschine komplett neu, es gibt nicht nur den einen Windows Update Dienst. OMG, wo soll das noch hinführen, so viele Optionen. ;)

Statt mit roaming profiles kannst mit der Ordnerumleitung arbeiten. Damit erschlägt man zwar nicht Alles aber das Meißte.

Zur Info https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-security/permissions-on-copying-moving-files

Moin, und um es ausdrücklich hinzuzufügen: Falls diese Zeiterfassung tatsächlich das einzige ist, was per Windows läuft, und nur deswegen CALs beschafft werden, dann wäre es evtl. sinnvoll, eine Zeiterfassung zu beschaffen, die nicht auf Windows läuft. Für weniger generelle Aussagen müsste man sich das alles im Detail ansehen, aber dafür ist ein Forum nicht geeignet. Gruß, Nils