Squire

ich würde mich um die IE Integration in Edge Chromium kümmern und über den EnterpriseSite Manager die Sharepoint Seiten im IE Modus laufen lassen. Geht fein per GPO und man hat seine Ruhe

Sind auf den Zertifikaten beide Domänen drauf? Sind für beide Domänen Autodiscover Einträge richtig gesetzt?

MSRA (MS Remote Assist) wäre jetzt mein Tipp gewesen - muss nix installiert werden, kann per GPO konfiguriert werden ... Nur gucken geht, bei Bedarf und Zustimmung des users auch steuern ... und es geht nix nach draußen auf dem PC, der sich verbinden will ... Aufruf mit C:\Windows\System32\msra.exe /offerra

mal ne Frage zum Script ... wenn ich das über den Master-WSUS laufen lasse, fliegen die Updates dann bei der Replikation der Standort-WSUS Server mit dem Master dort auch raus, oder muss man das Script an jedem Standort laufen lassen?

@RalphT: Perfekt - schön, dass es jetzt läuft!

Du hast Franky falsch verstanden. Also Du kannst natürlich im externen DNS einen Alias für outlook.firma.de auf mail.firma.de setzen. Geht aber ist nicht schön - mach es gleich sauber. Achtung alle verwendeten URLs müssen im Zertifikat enthalten sein! Franky meint SplitDNS Du brauchst genau zwei URLs autodiscover.firma,de outlook.firma.de (oder mail.firma.de was immer Du willst. im internen DNS zeigen diese URLs auf den lokalen Exchange im externen DNS ziegen sie auf die WAN IP der Firewall (ich hoffe mal nicht, dass Du den Exchange direkt im Internet per Portforwarding veröffentlichst - ich würde das immer über eine WAF oder zumindest Reverseproxy machen) Je nach Firewall kannst Du für das SAN Zertifikat LetsEncrypt nehmen. Eine Sophos z.B. verlängert dieses selbstständig. Intern kannst Du Dir ein SAN der internen Zertifizierungsstelle auf die Dienste binden (so handhabe ich das hier)

drum hab ich die auch auf dem Root heraußen ... aber so wie ich das in den Posts herausgelesen hab wollte der TO auf den jeweiligen Projektordnern jeweils die Vererbung händisch brechen. Deshalb der Hinweis mit "This Folder Only"

nein - die Berechtigung nicht händisch aufbrechen - das geht eleganter! Das Leserecht/Anzeige nur für den obersten Ordner aber nicht für die darunterliegenden setzen ... in den Erweiterten Sicherheitseinstellungen ich hab laufwerk\data ... Data ist freigegeben Auf dem laufwerksroot hat System und Administratoren Vollzugriff .. sonst nix - alles andere ist rauseworfen darunter also hier als Beispiel Department erstellst Du Deine Ordner und packst die dafür angelegten Sicherheitsgruppen drauf. Kein manuelles Aufbrechen der Vererbung und rauswerfen irgendwelcher Sicherheitsgruppen ... Bei einer einzigen Domäne würde ich die Domain Users statt authenticated nehmen ... wir haben hier mehrere Domänen deshalb der Weg über Authenticated Einfach und Pflegeleicht - keep it simple!

ich würde es jetzt einfach noch mal probieren ... die Geschichte mit der Updatebremse ist aber bekannt - https://www.heise.de/news/Windows-10-Version-2004-Die-Bugs-und-das-drohende-Zwangsupdate-4790157.html ich geh mal davon aus, dass bei mir die Updates auf diversen HP Kisten deswegen ebenfalls nicht durch liefen und ab Mitte August dann ohne Probleme (ohne, dass Bios oder Treiber auf den Rechner aktualisiert wurden) durchgelaufen sind

ich würde auf alle Fälle das Gast Wifi komplett über die Sophos machen. Erstens brauchst Du Dich nicht um irgendwelche CALs kümmern (brauchst Du, wenn Gäste auf den Windows DHCP/WINS/DNS zugreifen) 2. Haben Gäste in den internen Netzen nix verloren 3. Produktionsnetz (LAN&Wifi) würde ich mir auch Gedanken machen, welche Clients auf Resourcen im Verwaltungsnetz zugreifen müssen (normalerweise keine) ... also über die Sophos regeln. Auch hier bist Du dann bzgl. CALs sauber Hinweis: Jedes Gerät, welches irgendwelche Windows Serverdienste nutzt braucht eine CAL - es sei denn, es ist fest einem User zugeordnet und Du hast User CALs. Wenn Du Abteilungs MFPs z.B. im Einsatz hast, dann brauchst Du für solche Geräte eine Device CAL

warum denn so umständlich ... \\servername\ im Explorer eingeben Drucker doppelklicken - fertig. Per GPO noch setzen, dass Point&Print erlaubt ist oder den FQDN angeben wenn nur von einem oder mehreren vorgegebenen Servern P&P erlaubt ist

Achtung: AD Version muss auch passen! Hier ist mal die Support Matrix: https://docs.microsoft.com/de-de/exchange/plan-and-deploy/supportability-matrix?view=exchserver-2019

blöde Frage ... Eventlog und Windows Update Log geben nix weiter her? Die Z230 Workstations mit Windows 7 HP preinstalled lassen sich definitiv direkt mit dem Update Assistant (oder gemounteten ISO per Setup) aktualisieren. Der "laufende" Windows 7 Key klappt - es wird nicht der vom Rechnerblech gebraucht ... ich hab insg. 20 Stück von den Kisten auf W10 gehoben. MS hatte Juli/August eine Update Bremse drinnen, die ein Update auf 2004 verhinderte (hab das live bei nem Kunden mitbekommen ... weder durch Update Assistenten noch durch WSUS lief das Update durch. installation, zweiten Bootvorgang dann Rollback ... seit Mitte August ging es plötzlich (über alle Wege), ohne dass an der Config oder den Rechnern was geändert wurde ...

Hallo, ein paar relevante Daten fehlen leider Welche ESX Version Welche VMFS Version Welche Windows Version/Build Welches Storage vielleicht trifft das hier zu: https://communities.vmware.com/thread/598763

naja - die stören doch nicht oder gibst Du die automatisch frei?

ich denk mal, dass da der Vorlieferant geschlampt hat

das ist etwas, was mir bei den HPE Systemen NICHT gefällt. Weder bei Lenovo, noch bei Dell hast Du so eine Einschränkung. Firmware und Bios gibt es auch nach Ablauf der Wartung kostenfrei! @Nobbyaushb: Ich würde gerade mischen - wenn es denn geht und verschiedene Hersteller gibt. ich bin einmal reingefallen (bei HP mit einem Platten Serienfehler) - ganz tool wenn alle HDDs aus der gleichen Charge stammen und relativ zeitnah wegsemmeln. Wenn die HDDs vom Serverhersteller freigegeben sind, dann mach ich mir keine Gedanken, ob das jetzt 2 Seagate, 3 WD und 4 HGST sind ... die haben eine entsprechende Firmware, damit die mit den Raidcontrollern spielen ... Wir haben u.a. ein Silenbrick System - die haben pro Brick drei unterschiedliche Hersteller/Chargen .. also pro Brick 3x4 HDDs eben um Serienfehler zu vermeiden.

warum? Hast Du och 32 Bit Clients im Einsatz? Wir setzen i.d.R. nur die Universaltreiber (HP, Ricoh, KonicaMinolta/Develop/Ineo [alles das Gleiche]) ein

ich würde mal die DNS Einträge rumdrehen ... also 1. DNS zeigt auf sich selbst / 2. auf den anderen

Ich hatte ja UVP geschrieben - Dein Lieferant/Dienstleister schiebt die dann zum EK durch ... ich würde dann aber wirklich auf 3 Jahre gehen, da sparst wirklich einiges! Wegen Teams ... schau mal in der Sophos Community ansonsten wenn Du Premium Support hast, mach ein Ticket auf. Bei Standard Support musst Du das über Deinen Sophos Lieferanten machen lassen

3500€ ... dann ist das aber keine FullGuard Lizenz ... die Kostet nämlich 4268€ pro Jahr / 3 Jahre 10.244€ plus Premium Support 1 Jahr 692€ bzw. 1660€ für 3 Jahre - alles UVPs + MwSt. Jeweils als Renwal Aber wie andere schon geschrieben haben gerechtfertigt für die Leistung und den Funktionsumfang. Da sind die anderen Hersteller auch in ähnlichen Regionen Vor allem wenn die in diesen Leistungsregionen mitspielen und der Leistungsumfang einer UTM ist schon sehr gut - von zentraler Wifi AP Verwaltung über RED Devices, Webfilter, WAF, VPN Gateway .... ich möchte die Sophos nicht missen. Der Support ist nicht schlecht und kümmert sich, auch wenn es ein langfristiges Ticken mit vielen Tests etc. ist ... Für Privat gibt es eine kostenlose Homelizenz (max. 50 IPs intern) als FullGuard Lizenz ... sowohl für die UTM Linie als auch für die XG Linie. Damit kann man sich vertraut machen ... Entweder man packt die auf einen eigenen kleinen Rechner (werden genug in Ebay angeboten) oder auf eine "alte" Sophos Appliance oder man lässt das Ganze virtuell in der VMware oder Hyper-V laufen ...

Wichtig: Maildomain des Intranetservers muss mit einer der vom Exchange verwalteten Maildomains übereinstimmen, sonst klappt das nicht. Solltest Du ohne Authentifizierung vom Intranet Server schicken wollen, dann empfiehlt sich ein eigener neuer Receiveconnector und man gibt dann die jeweiligen Hosts/IPs frei ... Wir haben für Server wie auch für MFPs je einen gesonderten Receiveconnector gemacht ...

Vorsicht - Edge GPO ≠ Edge Chromium GPO Der Chromium hat eigene neue Vorlagen .. gibt es hier https://www.microsoft.com/de-de/edge/business/download und dann auf Richtline abrufen klicken

ich wüsste jetzt nicht, dass es auf einem Terminal Server einen Papierkorb pro Benutzer gibt. Der Papierkorb ist ja im Dateisystem ein einzelnes Verzeichnis

ja ... da hat MS mal einen kräftigen Office Bock geschossen .. ich hatte das hier mit meinem Office 2016 auch ... allerdings hatte ich eher ein Plugin im Verdacht. Das ist vor allem bei HTML Mails (Vorschau) sofort weggeschossen ... mit der 2019er war das bisschen besser