guybrush

G´morgen Nils, ginge prinzipiell, aber Messenger sind nicht gewünscht von der GF (ich habs schon mehrfach versucht, derzeit erfolglos). Verwende ich Teams bei den 5-7 schulenden Kollegen, wollens die anderen auch, und dann gibts Gemecker. Von daher lieber eine dezidiert(ere) Lösung. LG Johannes

Guten Morgen, neue Mitarbeiter werden bei uns am Tisch geschult, bzw. sitzen die Neuen dann bei ihren Paten am Tisch und schauen über die Schulter. Das soll sich jetzt - v.a. auch wegen Covid - ändern. Prinzipiell soll einer der beiden Monitore dem neuen Mitarbeiter zum mitschauen auf irgend eine Weise zur Verfügung gestellt werden. Gibt es hier Lösungen abseids von VNC und Anydesk & Co.? LG und Danke Johannes

Die Geschichte ist lang und unschön, ich hab das alles geerbt, und mein Vorgänger hat sich nicht mit Ruhm bekleckert. Von den wahrscheinlich 1000 Ordnern sind viele leer, hier was zu suchen ist einfach mühsam. Der GF möchte das dann eben zusammengelegt auf Inbox und Sent haben, auch wegen der Übersicht.

Servus, ich habe hier ein Postfach eines ehem. Mitarbeiters, mit einer irrsinnig komplexen Ordnerstruktur. Jetzt soll dieses Postfach einfach "begradigt" werden. Sprich: alle empfangenen Elemente im Posteingang, alle gesendeten Elemente im Order Gesendete. Ich hab aber grad gar keinen Ansatz, wie ich das am Besten bewerkstelligen könnte? Habt ihr vlt. einen Tip? LG und Danke Johannes

Solang sie gemountet sind, ja. Deshalb wollte ich sie gern ungemountet haben, wenn wer anders (=unversierter User) am Gerät arbeitet, weil dann eben kein Zugriff möglich gewesen wäre. Wenn ich nur mit Berechtigungen arbeite, bin ich nicht sicher. Ohne recherchiert zu haben gehe ich jede Wette ein, dass es schon Ransomware gibt, die per privilege escalation dann die Berechtigungen ergattern, diese zu ändern. Aber ich sehe schon, das wird ein manueller Task bleiben, bzw ein Batchfile. Den schnellen Userwechsel möchte ich behalten, der ist schon sehr bequem :) Backups mache ich eh regelmäßig auf externe Platten, die dann abgesteckt werden. Somit sollts passen...

Hi Nils, danke für deine Antwort. Ich hätte hier gerne Bitlocker verwendet, weil u.a. die Datenträger auch erst gar nicht angezeigt werden und somit auch schon kein Dirlisting möglich ist. Weiters - das stell ich jetzt mal in den Raum, bis ich eines Besseren belehrt werde - glaube ich auch, dass solche Verschlüsselten Volumes auch vor Ransomware geschützt sind, weil ja auch die Files nicht zugegriffen werden kann. Nun gut, dann muss ich die Volumes bewusst dismounten, wenn ich vom PC gehe. Danke für dein Feedback. LG Guy

Servus Kollegen, ich habe auf einem Multiusersystem nebst C: noch 3 andere Laufwerke, die Bitlockerverschlüsselt sind. Beim Zugriff wird das Passwort manuell eingegeben. Die danach entsperrten Laufwerke sollen aber nicht für alle User entsperrt sein. Wenn es z.B.: einen Benutzerwechsel gibt, sollen die Laufwerke bei den anderen Usern wieder gesperrt sein. Gibt es hierfür einen Weg? LG und Danke Guy

Servus Kollegen, ein Kunde hat mich gebeten, ihm für seine jetzt neu eingeführten Onlineschulungen passende Hardware zusammen zu stellen. Das ganze ist ein Handwerksbetrieb, einer moderiert (mit Powerpoints und Cam), der andere stellt die Produkte und die Verarbeitung vor. D.h. es brauchen beide ein ordentliches Headset, sowie eine hochwertige Kamera, die mindestens Full-HD aufnehmen kann und zoombar ist. So kann dann der Moderator die Werkstatt zeigen, und dann beim Verarbeiten z.B.: auf die Hände des Kollegen zoomen. Dazu noch eine Fernbedienung, um die Powerpoint vor- und zurück zu blättern. Hat jemand von euch hier schon Erfahrung damit? Ich habe kurz an eine DSLR gedacht, die via USB und LiveView abgegriffen wird, weiß aber nicht, wie gut sowas funktioniert. Oder gibt es hier andere, erprobte Lösungen? Da die Anschaffung längerfristig verwendet werden soll, muss es keine Logitech-Cam für 60 Euro sein... :) LG und Danke schonmal Johannes

Servus Kollegen, für einen Kunden suche ich ein Newslettertool a la Mailchimp. Beim Chimp stört mich, dass der Serverstandort USA ist, und (mehr), dass es da keinen persönlichen Ansprechpartner bzw. Hotline o.ä. gibt. Volumen wird irgendwas um die 20-40k Mails pro Tag sein, mehrere User sollen diese Newsletter versenden können und die reply to Adresse sollte setzbar sein, da es in allen Abteilungen eingesetzt wird. Außerdem sind die klassichen Analysen wichtig - wurde das Mail gelesen, wie oft, wann wo usw.... Was halt so alles im Rahmen machbar ist. Relay über unseren Mailserver sehen wir nicht vor. Ich hab schon meine Recherche gestartet, Anbieter gibt es ja genug, aber ich wollte mal hier nach euren Erfahrungswerten fragen. Kann man was empfehlen oder ratet ihr von einem Anbieter komplett ab? LG und Danke für euren Input Johannes

@sgn9: deine blöden Sprüche kannst du dir echt sparen. Wenn du jemanden provozieren willst, geh in eine Bar.

Servus Kollegen, ich habe auf einem Computer (Win 10 Pro, 64bit latest) zwei zusätzliche Festplatten drinnen, jeweils 4TB mit Fotos usw. Eine dient als Ablage, die Andere als Sicherung (Kein Mirror, geplanter täglicher Syncjob). Ich wollte dann eine neue externe Platte hinzufügen, um das alles zu sichern, und diese vorab per Bitlocker verschlüsseln. Um auch sicher die Softwareverschlüsselung zu verwenden, bin ich wie hier angegeben vorgegangen (Registry): https://winaero.com/blog/disable-hardware-bitlocker-encryption/ Dann ist mir aufgefallen, dass die beiden Platten als RAW angezeigt werden im Explorer. Ich kann jetzt aber nicht sagen, ob das schon vorher so war, oder erst nachher. Außerdem bin ich mir nicht sicher, ob die Platten bitlockerverschlüsselt waren oder nicht. Bevor ich mir das am Wochenende nun genauer anschaue meine Frage - kann das so sein? Wohl eigentlich nicht, oder? Das betrifft ja nur den Verschlüsselungsvorgang an sich, (mutmaßlich) bereits verschlüsselte Daten sollten hiervon ja unberührt bleiben, oder? Danke für eure Hilfe Guybrush

Mahlzeit Kollegen, ein Kunde von mir, ca. 10 Mitarbeiter, verlagert mehr und mehr interne Resourcen nach Azure (Entwicklerfirma). Die lokale Hardware ist auch schon recht als, sodass sich jetzt die Frage stellt, ob man hier nicht wirklich die Domäne neu in Azure erstellen kann? Es scheint, als bräuchte es wirklich keine lokalen Workloads, abgesehen von DC und Fileserver. Letzterer ist nur 200GB "stark". Ist es jetzt schon praktikabel, die Files nach OfB auszulagern und den DC in die Cloud? Funktioniert das schon so, bzw wenn ja, gibt es für ein kleines Standardnetzwerk ohne "Spezial" irgendwelche Stolpersteine? Wie schaut es hier mit GPOs aus? Vielleicht hat das ja schonmal wer durchgespielt und kann mir hier berichten.... LG und Danke Johannes

Servus Kollegen, ich arbeite mich gerade in Azure AD ein (mit meinen Lizenzen des Action Packs). Jetzt hab ich wohl irgendwann mal eine Domain verwendet (meinedomain.it). Office365 hab ich mit einer anderen Domain (meinedomain.at) eingerichtet. Meinen Hauptaccount, der auch Admin ist und mein Postfach inne hat (info@meinedomain.at) ist lt. Azure AD aber zugewiesen unter meinedomain.it. Das soll so imho aber nicht sein, da ich meinedomain.it wohl irgendwann in die Wüste schicken will. Allerdings finde ich nirgends die Möglichkeit, von .it auf .at zu wechseln. Habt ihr hier einen Rat für mich? Beste Grüße Johannes

Grüß euch, ich habe unlängst bei einem Kunden ein geerbtes AD Connect reparieren müssen, das nach einem Inplace-Upgrade (DC von 16 auf 19) gestreikt hat. Details zur Config waren keine bekannt. Einziges Ziel ist die Zuweisung von O365-Lizenzen an die User. D.h. (für meine Begriffe) unidirektional Benutzer und PW-Hashes syncen, sowie den UPN im AAD von vorname.nachname@tenant.onmicrosoft.com auf vorname.nachname@mydomain.com umzubiegen (Hinweis: locale AD-Domäne ist mydomain.local). Der Sync läuft eigentlich wunderbar, allerdings haben alle Userobjekte als Anmeldenamen die tenant-Mailadresse. Ich muss das jetzt zum ersten mal machen, und bin ein wenig überfragt, wie ich hier zum Ziel komme. Konfiguriert ist es recht einfach: Synchronisiert wird die ganze Domäne, gefiltert aber durch eine Verteilergruppe (nur Member der Gruppe werden repliziert). Kennworthashsync und Verzeichniserweiterungen-Attributsynchronisierung (msExchCustomProxyAddresses (user) [String], userPrincipalName (user) [String]) als optionale Features. Die Konfigurationszusammenfassung zeigt mir folgendes an: - Aktivieren Verzeichniserweiterung - msonXXXX.onmicrosoft.com - AAD-Connector: Aktualisieren - mydomain.local-Connector: Aktualisieren - Synchronisierungsdienste auf diesen Computer konfigurieren Mache ich hier etwas grundlegenses falsch? Danke schonmal für Hilfe/Input/konstruktive Kritik :) LG Johannes

In dem Fall wars echt überschaubar. 5 User, und 2 Shares. Das Hauptshare wurde in diesem Zuge auch gleich ausgemistet, und ich hab die IP-Range an mein neues System anpassen können. Ich bin ein bisschen unglücklich, wie es gelaufen ist, aber nochmal mit nem blauen Auge davon gekommen. Meine anderen SBS-Kunden muss ich jetzt zur Brust nehmen, damit sowas nicht nochmal vorkommt.

Kurze Info, damit ich euch keine Antwort schuldig bleibe - nachdem ich mich dann auch nicht mehr am SBS anmelden konnte, und es auch nicht am gleichen Tag geschafft habe, wieder einen Stand herzustellen, hab ich mein Upgradeprojekt gleich vorverschoben, die Domäne auf 2019 Essentials neu gemacht und die Postfächer aus der letzten Veeam-Sicherung als PST ins neue Office 365 exportiert. Ich wollte das zwar mit Vorlaufzeit und in 3 Schritten machen, aber es hat halt nicht sein sollen. Hatte gerade erst letztens ein Gespräch mit einem Kollegen vom Fach a la "jetzt läuft es schon verdammt lang gut, nie was gröberes gegeben, nur Kleinigkeiten. Echt fein." Hab mir so wohl vom Universum eine Lektion in Demut eingefangen :)

Es gibt nur einen DC aktiv. Es gab mal einen zweiten, der aber schon seit Jahre nicht mehr da ist. Ich glaube mich zu erinnern, dass es hier mal eine Migration gab oder so. SBS 2003 auf 2011 (vermute ich nur). Der alte Server ist aber seit mindestens 3 Jahren nicht mehr aktiv, es gab nie Probleme oder "Phänomene". Nur der Vollständigkeit halber. D.h. es ist nur ein SBS vorhanden. Ich habe gerade noch geschaut, das Sysvol beinhaltet nur einen Ordner "NtFrs_PreExisting___See_EventLog" unter c:\windows\sysvol\sysvol. Erstellungsdatum ist ziemlich genau der erste Boot nach dem Restore. Darunter gibt es wieder ClientAgent, Policies und scripts. Ich habe aber keine wirklichen Policies laufen, und auch keine Scripts. Hier gäbe es nichts wichtiges zu retten, just in case. Ps.: Anderer Thread?

Servus Kollegen, ich arbeite gerade an einem SBS 2011 eines Kunden (VM), wo das RAID nach einem Stromausfall den Geist aufgegeben hat. Es gibt eine aktuelle Veeam-Sicherung (45min vor dem Ausfall), es wurde lt. Config Applikationskonsistent gesichert. Ich habe eine neue Hardware gestellt, die VM zurückgespielt und hochgefahren. Sie bootet normal, läuft aber alles andere als sauber. Der Exchange ist zwar verfügbar und arbeitet (Outlook zum Teil/ActiveSync, usw...), das AD ist jedoch nicht erreichbar. Authentifizierungen dauern sehr lange, Outlook geht bei manchen Clients nicht auf (Loginfenster kommt, Zugangsdaten werden nicht genommen, und wenn, verbindet sich Outlook nicht). Nach genauerem Hinschauen scheint hier die Domäne nicht mehr sauber zu funktionieren (DNS und DHCP laufen sauber). Sie lässt sich zwar pingen, dsa.msc meldet jedoch, dass die Domäne nicht verfügbar ist: nltest /DsGetDc:internedomain.local meldet nslookup -q=srv _gc._tcp.meinedomain.local meldet: Die häufigsten Fehler im Eventlog sind MSExvhangeIS 1121: Fehler '0x96f' beim Verbinden mit Active Directory. MSExchangeFDS 1003: Prozess MSExchangeFDS.exe (PID=3184). Die für Konfigurationsdaten für Objekt 'OAB (60)' können vorübergehend nicht gelesen werden. Nach einer Wartezeit von %5 Sekunden erfolgt ein erneuter Versuch. MSExchange Mailbox Replication 1005: Der Postfachreplikationsdienst konnte die Liste der Postfachdatenbanken nicht ermitteln, die am lokalen Active Directory-Standort gehostet werden. Fehler: Der Microsoft Exchange Active Directory-Topologiedienst auf Server localhost hat keine passenden Domänencontroller zurückgegeben. MSExchangeRPC 1002: Fehler bei der Registrierung des Dienstprinzipalnamens 'ExchangeMDB'. Fehlercode: Eine vorhandene Verbindung wurde vom Remotehost geschlossen (10054). DfsSvc 14550: Der DFS-Namespace-Dienst konnte die gesamtstrukturübergreifenden Vertrauensstellungsinformationen auf dem Domänencontroller nicht initialisieren. Der Vorgang wird jedoch in regelmäßigen Abständen wiederholt. Der Rückgabecode befindet sich in den Eintragsdaten. Und noch ein paar andere, die einfach nur sagen, dass sie sich nicht authentifizieren können. Und hier noch die dcdiag Ausgabe (habe sie um die Logeinträge, die die Clientkommunikation betreffen, beschnitten) Ich bin akut leicht überfragt, und würde mich über den einen oder anderen Tip freuen... LG und Danke Johannes

Habs auch nicht bös aufgefasst, alles gut :) Ich hab meine letzte Domäne from Scratch erstellt, als .local noch in Ordnung war. Inzwischen ist vieles anders, ich hab einfach mit mehr Punkten, die es zu bedenken gibt, gerechnet. Dann mach ich mal mein Testdeployment in extra Netz und schau, was passiert und wie es läuft.

Ich bin absolut nicht beleidigt, dass es hier weniger technische Stolpersteine als gedacht gibt, ich hätte diesen Thread jetzt nur viel technischer vermutet. Von daher alles gut. Meine Entscheidungen fälle ich eh selbst, aber bei der Entscheidungsfindung habt ihr mir wiedermal sehr geholfen :) Danke!

Gut, das sind jetzt alles politisch/optische Gründe, die gegen die Internet-Domäne, bzw. gegen eine "sprechende" interne Domäne sprechen. Technisch aber gibt es jetzt nichts wirkliches gegen die Verwendung der externen DNS-Domäne als interne Domäne zu nennen? Irgendwelche Nachteile bzw. (massiver )Mehraufwand, wenn ich dann XYZ implementieren will? DA wurde ja schon genannt, aber sonst ist die Argumentation überraschend wenig technisch (was ja auch in Ordnung ist, ich hätte nur mit mehr offensichtlichen Fehlerquellen gerechnet).

Direct Access ist bei uns kein Thema. Remotezugriff gibt es nicht (abgesehen vom Chef und mir, und da läufts über den VPN-Client der Firewall). @Nils: Dein Punkt von Nils ist interessant, daran hätte ich gar nicht gedacht. Soweit ich das abwägen kann, kann ich die Variante "Firmenverkauf" bzw. "Umfirmieren" bei dem Unternehmen ausschließen, Zumindest für die nächsten 15 Jahre, bis der Chef und Gründer in Pension geht :) Was mich interessieren würde: wie schaut dann so ein abstrakter Domänenname aus? Kannst du mir ein Beispiel nennen, ohne einen Kunden preiszugeben? Gibt es sonst noch technische Einschränkungen, wenn man sich gegen eine Subdomain entscheidet? LG und Danke Johannes

Danke schonmal für euer Feedback. Gibt es relevante Nachteile, wenn man die Internet-Domäne ohne Subdomain verwendet? Mir fällt auf die Schnelle nur zwingendes Split-DNS ein, damit alle Einträge von Domain.tld auch intern sauber aufgelöst werden. In meinem konkreten Fall sind das genau 8 DNS-Einträge, die sich auch nie ändern - der Aufwand ist also überschaubar.

Servus Kollegen, nachdem ich jetzt viele Jahre lang kein AD mehr anlegen musste, trifft es mir nun in Bälde wieder. Eine komplett neue Domäne mit Server 2016, die Clients derzeit noch Windows 7, werden dann aber entweder auf Windows 10 oder Terminal Server portiert. Es gibt nur einen Standort, es wird nicht expandiert, keine zusätzlichen Niederlassungen usw... Früher haben wir ja immer .local oder .int angelegt, mittlerweile wird davon ja abgeraten, u.a. weil öffentliche Zertifizierungsstellen keine Zertifikate mehr ausstellen für unroutebare Domains, und es dann nat. Probleme gibt mit Exchange, usw... Derzeit läuft ein Linux IMAP Server, und das wird auch Mittel- bis langfristig so bleiben. Exchange kann ich mir derzeit nicht vorstellen, da es hier auch wirklich gewünscht ist, Mail und Windowsuser getrennt zu halten. Sonst ist das Netz nicht sehr aufregend. 1-2 SQL und sonst nicht, was erwähnenswert wäre. Die Benutzer sind durchnummeriert, ein namentliches anlegen ist hier auch nicht gewünscht. D.h. so Eleganzen wie ein der E-Mailadresse gleichgestellter UPN zum Anmelden ist hier auch nicht gewünscht. Was meint ihr, wie geht man hier am Besten vor? Soll ich einfach den Namen der externen DNS-Domäne verwenden und wie gewohnt mit Split-DNS arbeiten? Oder doch besser eine .local und fertig? Was gibt es noch zu Beachten, bzw. welche Erfahrungen habt ihr da gemacht? LG und Danke Johannes

Davor steht ein Barracuda Spamfilter, auf allen Kisten läuft Sentinel One. Von daher ist die fehlende Malware Protection jetzt kein Beinbruch. Trotzdem soll die wieder eingeschaltet werden, um bestmöglich geschützt zu sein.