Alle Aktivitäten

Ein Account für CyberArk und individuelle Tresore mit den Zielaccounts.

"Sicherheit machen wir hinterher" ;) Erstmal muss es funktionieren.

Richtig. Unser DL hatten das bei seinen Tests nur aus versehen vergessen und OWA war überall... Hatte ich eher zufällig bemerkt.

Bei selbst gehosteten Alternativen wäre ggfs. Jitsi noch ein Kandidat. Als Teilnehmer war ich jetzt in mehreren Meetings dabei und habe nichts vermisst. Wäre für nen "schnellen PoC" in der Hetzner Cloud als Cloud App verfügbar.

Den einzigen Schutz, wenn man es so nennen kann, ist der IP Filter auf die von ms benutzten Ranges. ziemlich ka**e. Ja.

Wollt es nur erwähnt haben, bevor hier andere Leser große Hoffnungen bekommen. ;)

Das war auch nur eine der Fragestellungen. Wir sind bei dem Projekt noch ziemlich am Anfang. WebEx ist da nur eine Schraube.

Genau. :)

Das gibts afaik nicht mehr lang. Kannst mich gern mal kontaktieren, dann stell ich da mal nen Kontakt her. Wir sind in dem Umfeld auch unterwegs. Aber ansonsten ist webex insofern "cool", dass es eben keine zwangsweise Folgen nach sich zieht, die man bei MS eben an der Stelle hat.

Manch ein CU wollte vor der Installation auch schon zwei oder drei Reboots bevor es glücklich war.

Die Domain ist nicht anonym: using global tenant admin adminaccount@

Ich gebe zu, ich hab das Logfile gelesen, aber nicht kapiert, was der von mir wollte. Hatte irgendwie eine Denkblockade ;) Ich dachte, der will, dass ich das Konto in die MFA aufnehme. Ich muss aber auch sagen, eigentlich könnte Microsoft hier auch seine Requirements angeben. Wäre schön gewesen, wenn dort stehen würde "Deaktiviere MFA für Verzeichnissynchronisierungsrolle" oder so Ist bereits anonym :)

Muss man quasi nur mal die Logfiles lesen. Du solltest Jans Ratschlag oben beherzigen und dein Log anonymisieren.

Den Neustart vorher mache ich eh immer Aber danach insgesamt 3 reboots…

Der DL meinte, dies wäre keine Lösung. Zumal mir da damals nicht klar war, dass Teams keine Kalendersynchronisation hat, sondern am Ende direkt auf unseren Exchange zugreift. Da wir mal wieder unsere DL's durchmischen sollen, überlegen wir ernsthaft auf WebEx zu wechseln, auch weil der neue DL hier eine eigene Umgebung betreibt (sorry, keine Ahnung, was der damit meint). Ich hatte hier neulich mal wieder ein Meeting damit und war, auch im Vergleich zu Teams, positiv überrascht. Nicht nur, dass Teams ständig seinen Cache verwurschtelt, ist die teilweise verwendete UDP-Kommunikation bei Proxies auch nicht das Gelbe vom Ei. Das wird da dann irgendwie getunnelt. Ach ja, unsere DL hat dann auch gemerkt, das ein Reverse-Proxy in einer DMZ nicht funktioniert. Man muss die DMZ auf Durchzug schalten. IT-Security ist MS komplett egal.

Also Problem ist behoben. Ich hatte vergessen die Verzeichnissynchronisierungs Rolle aus der MFA Richtlinie auszunehmen. Jetzt klappt das! :)

Ja, gabs schon häufiger. Gabs auch bei CU Installationen regelmässig. Ohne vorherigen Neustart ließen die sich gar nicht installieren.

Möchte noch einen Nachtrag liefern Ich lasse grundsätzlich nach jeder Änderung am Exchange den Healthchecker laufen Dieser hat behauptet, ein reboot würde anstehen Nach einem reboot wieder laufen lassen und zu meiner Überraschung hat der wieder einen reboot angemeckert Also noch mal neu gestartet und nun war auch der Healthchecker zufrieden Jemand schon mal gehabt?

Ich auch, aber es gibt hier Spezialanwendungen für uralt Gerätschaften... In der neuen Struktur werden diese Dinge hinter eine eigene interne Firewall verbannt und über Terminalserver drauf zugegriffen nicht mehr direkt vom User Client aus.

Ich würd ja alles bis auf TLS 1.2 und TLS 1.3 abschalten ;)

Danke, das hilft mir erstmal weiter bis die Domänenstruktur abgelöst wird, wir ziehen grad in eine saubere Domäne um von dem aktuellen Konstrukt. Der Name "Kombination von sicheren Protokollen" hat meiner Suche nach TLS nicht geholfen, danke dafür. Mit erzwingen bleibt TLS 1.0 bis 1.2 aktiv und Teams kann sich anmelden.

@Gu4rdi4n: Ggfs. anonymisierst du den ersten Codeblock noch.

Eigentlich schon. Also jeder hat MFA aktiviert. Ich habe die Security Defaults aktiviert. Ich versuche mal das neu erstellte Konto in die MFA Ausnahme zu packen

Nein das ist egal, aber ich lese da was von mfa enrollment. Bist du da denn durch?

Hi, ich habe ein Problem mit dem AADC. Das alte wurde ja eingestellt. Also habe ich das alte deinstalliert, und wollte das Neue auf einem neuen Server installieren. Gesagt, getan. Nur ist jetzt das Problem, dass die Installation beim letzten Schritt, wenn er das Synchronisierungsdienstkonto in Azure erstellen will, einen Fehler bringt. 09:45:15.276] [ 28] [WARN ] Failed to read ServicePrincipal registry key: Fehler beim Ausführen des Befehls "Get-ItemProperty". Die Eigenschaft ServicePrincipal ist im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect nicht vorhanden. [09:45:15.357] [ 28] [INFO ] Creating new azure service account for sync installation 6f3b00ccaaf1402b97c0b7f9725b639e using global tenant admin adminaccount@domain.de. [09:45:15.805] [ 28] [INFO ] GetServiceAccount: successfully created a service account (Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com). Sleeping an initial backoff time to facilitate account propagation. [09:45:31.228] [ 28] [WARN ] GetServiceAccount: service account authorization failed for Sync_server3_6f3b00ccaaf1@firma.onmicrosoft.com. Waiting for account to be provisioned. Details: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 35c0e470-e300-49c2-8fa0-b0bde6d93601 Correlation ID: 07065cf0-d944-41c2-9463-9461c9ff61d7 Timestamp: 2024-04-25 07:45:31Z --- Ende der internen Ausnahmestapelüberwachung --- bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext) bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText) [09:50:37.343] [ 28] [ERROR] ConfigureSyncEngineStage: Caught exception while creating azure service account. [09:50:37.344] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: AADConnectResult.Status=Failed [09:50:37.345] [ 28] [INFO ] ConfigureSyncEngineStage.StartADSyncConfiguration: Error details: Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.AzureADServiceAccountException: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. ---> Microsoft.Identity.Client.MsalUiRequiredException: AADSTS50079: Due to a configuration change made by your administrator, or because you moved to a new location, you must enroll in multi-factor authentication to access '00000002-0000-0000-c000-000000000000'. Trace ID: 658ebcf0-d308-4ced-9d3d-1ee121562301 Correlation ID: 07d214f7-d151-4af3-98db-b8412dae742d Timestamp: 2024-04-25 07:50:22Z bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AuthenticateMSAL(AzureService azureService, String userName, SecureString password, Boolean useCachedToken, String& accessToken, String& errorCode, String& additionalDetails, Boolean throwOnException, Boolean throwExceptionOnMFAError) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& errorCode, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException, Boolean throwExceptionOnMFAError) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& serviceEndpoint, String& additionalDetail, AuthenticationStatus& status, Boolean throwOnException) bei Microsoft.Online.Deployment.Client.Framework.MSALAuthenticationProvider.AcquireServiceToken(AzureService azureService, String& additionalDetail, Boolean throwOnException) bei Microsoft.Online.Coexistence.ProvisionHelper.GetSecurityToken() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.InitializeProvisionHelper() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.Initialize() bei Microsoft.Azure.ActiveDirectory.Synchronization.ProvisioningWebServiceAdapter.ProvisioningWebServiceAdapter.GetCompanyConfiguration(Boolean includeLicenseInformation) bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) --- Ende der internen Ausnahmestapelüberwachung --- bei Microsoft.Online.Deployment.Types.Providers.ProvisioningWebServiceProvider.GetServiceAccount(String servicePrefix, String syncMachineIdentifier) bei Microsoft.Online.Deployment.Types.Providers.SyncDataProvider.UpdateAADConnectorCredentials(IAzureActiveDirectoryContext aadContext, IAadSyncContext aadSyncContext) bei Microsoft.Online.Deployment.OneADWizard.Runtime.Stages.ConfigureSyncEngineStage.StartADSyncConfigurationCore(Action`1 UpdateProgressText) [09:50:37.345] [ 28] [ERROR] ExecuteADSyncConfiguration: configuration failed. Skipping export of synchronization policy. resultStatus=Failed [09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Fehler beim Erstellen des Synchronisierungsdienstkontos in Azure AD: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. [09:50:37.429] [ 28] [ERROR] PerformConfigurationPageViewModel: Das Synchronisierungsdienstkonto für Azure Active Directory kann nicht erstellt werden. Möglicherweise wird das Problem durch eine erneute Ausführung des Vorgangs behoben. Kann es sein, dass ich erst das alte Konto entfernen muss? Der alte Server ist leider nicht mehr verfügbar, also kann ich von dort keine Config mehr exportieren. Ich habe die Set-MsolDirSyncEnabled –EnableDirSync $false. Ich denke, mal, dass wenn ich den ausführe, konvertiert er alle Synced accounts in Cloud Only und danach müsste ich doch wieder einen neuen AADC verbinden können. Stimmt das soweit? Habe ich etwas nicht beachtet? Geht es einfacher? Ich hoffe, jemand hatte sowas schonmal :)