Jump to content

Wisi

Members
  • Gesamte Inhalte

    146
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von Wisi

  1. Egal was ich konfiguriere, es geht nicht. Sobald ich aber die WIFI Verbindung hergestellt habe, funktioniert es dauerhaft bis zum Reboot. Das heißt zum einen für mich, dass die Richtlinien stimmen, sonst dürfte es gar nicht gehen, zum anderen dass es kein Problem bezüglich der Zertifikate im Grundsatz gibt, sondern es was im Bereich der Verifizierung der Gegenstelle sein muss, was dann durch die Verbindung vom WIFI überschrieben wird.

     

    So ähnlich sieht es scheinbar auch aus, wenn wir Drucker verbinden wollen über den Weg. Allerdings kommt es dort "wenigstens" zu einem Abbruch der Verbindung mit einem Fehler und nicht nur zu einem Timeout:

     

    NAS IP: 192.168.101.5
    Client Username: PRT-KM8EECE6$@kunde.schulung.de
    Timestamp: 01/11/2024 17:44:07
    Service: IAS
    RADIUS Server: kundeK01SV01
    Class: 311 1 192.168.101.27 01/09/2024 18:11:56 1278
    EAP-Friendly-Name: Microsoft: Smartcard- oder anderes Zertifikat
    NP-Policy-Name: test
    Authentication-Type: 5
    Fully-Qualified-User-Name: kunde\PRT-KM8EECE6$
    SAM-Account-Name: kunde\PRT-KM8EECE6$
    Provider-Type: Windows
    Proxy-Policy-Name: Windows-Authentifizierung für alle Benutzer verwenden
    Client-Friendly-Name: HPE Aruba 5412R
    NAS-Manufacturer: 0
    Client-IP-Address: 192.168.101.5
    Packet-Type: Access-Reject
    Reason-Code: undefined
    --------------------------------------------

     

    	Authentifizierungstyp:		EAP
    	EAP-Typ:			Microsoft: Smartcard- oder anderes Zertifikat
    	Kontositzungs-ID:		-
    	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    	Ursachencode:			262
    	Ursache:				Die angegebene Nachricht ist unvollständig. Die Signatur wurde nicht verifiziert.

     

    Der Fehler 262 deutet laut dem was ich gefunden habe darauf hin, dass das Gegengerät das Zertifikat nicht prüfen kann. Beim Kyocera Drucker haben wir das Clientzertifikat als PFX importiert, also hat er dadurch auch die komplette Chain inkl. ROOT-CA und Enterprise-SubCA bekommen.

  2. Sehe ich ähnlich, weil haben wir auf den Notebooks nicht (konfiguriert). Das mit dem Zertifikat glaube ich daher auch, weil es geht ja sofort, nachdem WIFI verbunden wurde. Mir fehlt nur ein Ansatzpunkt wie ich weitere Logs/Details dem PC entlocken kann. Weil bisher ist das Debug vom Switch das interessanteste was ich überhaupt sehen kann.

     

    Ich benutze für WIFI und WIRED auch dasselbe Zertifikat, das heißt am Zertifikat selbst kann es dann ja eigentlich eher nicht liegen meiner Meinung nach.

  3. Ja, da ja dort der Ursprung der Anleitung her war und durchaus auch unterschiedliche Leute hier und dort unterwegs sind. In beiden Foren gibt es nach meiner Erfahrung gute Leute. Schade, dass bisher wohl keiner weiß wo das Problem zu suchen ist. Im Zweifelsfall, wenn jemand Lust hat daran ein paar Euro zu verdienen, werfe ich auch was in die Büchse und berichte dann hier für die Community die Lösung am Ende. Hauptsache wir kriegen das vom Tisch. Ich weiß derzeit leider nur eben auch noch nicht welchen von unseren Dienstleistern ich konkret mit diesem Thema ran kriege, da die grundsätzlichen Dinge klar sind und derjenige etwas Ahnung davon haben sollte und nicht bei mir erst die Expertise sich anlernt. Leider zu oft in letzter Zeit erlebt bei spezifischen Themen.

  4. Ja und ja. Wie beschrieben, ist quasi nichts drin außer dem Timeout.

     

    Wenn es ging, steht dort das hier:

     

    Die 802.1X-Authentifizierung (verkabelt) war erfolgreich.
    
        Netzwerkadapter: Realtek PCIe GbE Family Controller
        Schnitstellen-GUID: {23b48a6d-88c5-4b72-890f-98ff56c0c0f3}
        Peeradresse: 94F1280FE600
        Lokale Adresse: E454E819D29E
        Verbindungs-ID: 0x3
        Identität: host/kunde-A19D29E.kunde.de
        Benutzer: -
        Domäne: -
        Ursache: 0x0
        Ursachentext: Der Vorgang war erfolgreich.
        Fehlercode: 0x0

     

    Ansonsten immer diese Abfolge (unendlich):

     

    802.1X-Authentifizierung (verkabelt) wurde gestartet.
    
        Netzwerkadapter: Realtek PCIe GbE Family Controller
        Schnittstellen-GUID: {23b48a6d-88c5-4b72-890f-98ff56c0c0f3}
        Verbindungs-ID: 0x1
    
    802.1X-Authentifizierung (verkabelt) wurde neu gestartet.
    
        Netzwerkadapter: Realtek PCIe GbE Family Controller
        Schnittstellen-GUID: {23b48a6d-88c5-4b72-890f-98ff56c0c0f3}
        Verbindungs-ID: 0x1
        Grund für den Neustart: Zeitüberschreitung bei Onex-Authentifizierung
    
    Die 802.1X-Authentifizierung (verkabelt) ist fehlgeschlagen.
    
        Netzwerkadapter: Realtek PCIe GbE Family Controller
        Schnittstellen-GUID: {23b48a6d-88c5-4b72-890f-98ff56c0c0f3}
        Peeradresse: 94F1280FE600
        Lokale Adresse: E454E819D29E
        Verbindungs-ID: 0x1
        Identität: -
        Benutzer: -
        Domäne: -
        Ursache: 0x70004
        Ursachentext: Das Netzwerk beantwortet keine Authentifizierungsanforderungen mehr.
        Fehlercode: 0x0

     

  5. Hallo in die Runde, vielleicht hat jemand eine Idee zu dem Thema, ich habe jetzt einen guten Tag damit durch und verstehe es nicht.

    Wir bauen gerade an unseren Netzen weiter in Richtung Restriktionen und sind gerade beim Schulungsbereich dabei die Ports dicht zu machen. Jetzt haben wir aber auch Devices, die nicht zu unseren Domänen gehören, oder auch schlichtweg Endgeräte wie Drucker etc. Soweit so gut und auch normal würde ich sagen. Jetzt haben wir gemäß der Anleitung hier https://administrator.de/en/nps-802-1x-radius-authentication-with-eap-tls-and-strong-certificate-mapping-for-non-domain-joined-devices-9670013529.html und ein paar wenigen Anpassungen Zertifikate für diese Geräte erzeugt und auf dem NPS Regeln zum Testen damit. 

     

    Der NPS authentifiziert nun problemlos folgende Szenarien:

    - Domänenrechner Wired und Wifi via Computerzertifikat

    - Nicht-Domänenrechner Wifi mit Computerzertifikat

    - Nicht-Domänenrechner Wired mit Computerzertifikat, ABER nur wenn bereits 1x das Wifi verbunden war

     

    Ich hab das dann weiter geprüft und mir ist aufgefallen, dass auf dem Switch nach den initialen Verbindungen Ruhe herrschte und man auf den Client wartet, dass der weiter reagiert. Sprich die Pakete gehen zum NPS, dort wird gematched und dann soll der Client wohl die eigentliche Verbindung aufbauen, das tut er aber nicht. Aus Verzweiflung habe ich dasselbe Konstrukt dann gleich im WIFI nachgebaut und es ging innerhalb von Sekunden. Dort habe ich dann wohl auch festgestellt woran es gescheitert ist ursprünglich mit der Verbindung: die Prüfung vom Zertifikat vom Gegenüber. Ich habe dann unter der Wifi Verbindung im Reiter Sicherheit -> Einstellungen bei der Identitätsprüfung unsere Root-CA noch ausgewählt und schwupps, keine Frage mehr, ob ich verbinden will und die Verbindung steht. Als ich das noch nicht gemacht habe, kam direkt nach der bestehenden WIFI Verbindung ein Fenster vom Wired Zugang, der auch danach gefragt hat, ob ich mich mit dem Netzwerk verbinden will, ebenfalls bestätigt, auch drin. Also hatten beide Verbindungen das gleiche Problem zu Beginn. Also gedacht, ist ja einfach, dasselbe in der Wired Verbindung gemacht und einen Reboot zur Sicherheit. Blödes Gesicht gemacht: geht nicht. Dann wieder manuell die WIFI Verbindung aufgebaut und direkt danach das Kabel neu gesteckt und schwupps, direkt wieder war die WIRED Verbindung da und bleibt, auch wenn ich dann WIFI trenne, das Kabel mal ziehe etc., aber nur bis zum Reboot.

     

    Das bedeutet für mich: irgendwas wird bei der WIFI Verbindung bestätigt, was dann auch für die WIRED gilt im Sinne von Verbindungsprüfung oder ähnlichem. Jetzt kann ich natürlich nicht immer von diesen Clients parallel Verbindungen von WIFI und WIRED aufbauen, das macht keinen Sinn und geht auch nicht überall.

     

    Was habe ich bereits probiert:

     

    - Identitätsprüfung ganz aus

    - Namen vom NPS Server rein und Root CA angehakt

    - Namen wieder raus und Root CA angehakt

     

    Egal welche von den Optionen ich einstelle, sobald WIFI verbunden war, sind alle davon funktionsfähig!

     

    Insofern: hat jemand eine Idee was das sein könnte?

     

    Logfile (Debug vom Switch) im Anhang zeigt folgendes:

     

    - Reboot Rechner, dann Versuch der Verbindung

    - Trennung Netzwerkkabel

    - (Verbindung Wlan)

    - (Trennung Wlan)

    - Verbindung Netzwerkkabel -> jetzt geht es!

    - Trennung Netzwerkkabel -> geht immer noch (bis Reboot...)

     

    Auf dem NPS nichts interessantes zu sehen, der sagt in den NI* Logs nur, dass immer Successful ist und im Eventviewer vom NPS wird bei "Nichtverbindung" auch nichts abgelegt. Das macht aber auch Sinn, weil er wohl auf den Client wartet und der nichts schickt. Auf dem Client im Eventviewer sieht man nur den Start der Authentifizierung und den Timeout davon.

    802.txt

  6. Hallo,

     

    nachdem wir im Bereich Exchange eher (Power-)User sind und unser Dienstleister derzeit auch scheinbar kurzfristig keine Ressourcen hat, versuche ich es mal hier, ob mir jemand Ansätze zur Suche geben kann bei einem Problem was wir nicht verstehen.

     

    Background:

     

    - Sophos XG WAF eingeführt, nach drei Jahren aber immer noch Probleme mit immer mal wiederkehrenden Authentication Popups im Outlook oder kompletten Timeouts von 2-3 Minuten in ALLEN Webdiensten. Zudem kein Scan von WebDAV und zu viele Ausnahmen notwendig, damit es überhaupt läuft. Produkt soll also abgelöst werden, selbst Sophos sieht das ja nicht mehr als Kernprodukt bei der Lizenzierung.

    - Parallel dazu seit einem Jahr Tests mit Forti. Diverse Probleme haben wir dort im PoC schon aus der Welt geräumt (inkl. Bugfixes in der Firmware etc.). Jetzt testweise Schwenk aller internen Benutzer via DNS Manipulation.

    - Vorher hatten wir schon intern in der IT mit Manipulation der Hosts Datei drauf gearbeitet, um zu sehen ob das allgemein überhaupt stabil läuft (ohne große Last natürlich, aber erst mal muss ja alles gehen). Das war der Fall und Popups haben wir seitdem keinerlei mehr gesehen.

     

    Der Schwenk von allen internen Usern hat sofort die Sessions etc. angehoben, Traffic entsprechend auch. Aber am ersten Tag KEINE Probleme von Usern gemeldet, alle konnten direkt weiterarbeiten und haben es vermutlich gar nicht gemerkt, außer dass alle darauf gehosteten Webdienste fluffiger laufen.

     

    Jetzt zum Problem:

     

    Es gibt genau einen User, der am nächsten Tag nicht mehr mit Outlook arbeiten konnte, weil es sich nicht mehr authentifiziert bekommt. Weder via Kerberos, noch via Popup und dann NTLM. Wenn ich bei dem Nutzer via Hosts Datei den Rechner entsprechend wieder umbiege auf Sophos und dann neu anmelde, dann geht auch das Outlook wieder auf.

     

    Hat wer eine Idee woran es liegen könnte? Am globalen Setup ja vermutlich eher nicht, da 30 andere User parallel problemlos arbeiten können.

  7. @daabm da hast du natürlich vollkommen recht und wenn ich nicht nur in den Überbegriff, sondern mal vollständig reingeschaut hätte, dann wäre mir das auch aufgefallen :/

    Ja, das mit den Token bezüglich Zugehörigkeit war mir klar, aber manchmal übersieht man ja das einfachste, das war es nicht.

     

    Soweit es aktuell nach weiterer Analyse aussieht, ist es viel profaner. Die Rechner scheinen vor Ort ohne unser Wissen vertauscht worden zu sein und damit haben wir schlicht nicht den richtigen zugewiesen (merke, zuerst den Rechnernamen noch mal peinlichst genau überprüfen vor der weiteren Diagnose...). Peinlich, aber was solls, wieder was dazugelernt, wie man das auch diagnostiziert.

     

    @Sunny61 hatte ich auch schon drüber nachgedacht, aber gelesen wurde es. Danke für den schnellen Input!

     

    Ich gehe davon aus, dass nach dem nächsten Reboot das Thema nun erledigt sein sollte, ist es das nicht, würde ich hier wieder darauf zurück kommen ;)

  8. Hallo in die Runde, ich habe ein Thema mit der Druckerzuweisung, da wir etwas anders machen als bisher und ich wollte wissen, ob das evtl. by design ist.

     

    Bisher haben wir immer Druckerzuweisungen über (Benutzer-)Gruppen erledigt und im Benutzerkontext der Gruppenrichtlinien per Zielgruppenadressierung zugewiesen. Das funktioniert auch wie gewünscht.

    Jetzt gab es Standorte, an denen es langsam mehr Sinn macht über den benutzten Computer die Zuweisung zu erledigen. Also haben wir dasselbe wie immer gemacht, mit dem Unterschied, dass jetzt in der Zielgruppenadressierung die die Mitgliedschaft des Computers in der Sicherheitsgruppe abgefragt wird, statt der Mitgliedschaft des Benutzers. Leider greift das aber nicht, Debugging habe ich noch nicht an gemacht, das werde ich als nächstes tun.

     

    Aber vielleicht ist das Problem hier schon, dass es by design nicht so gedacht ist, dass ich eine Zielgruppenadressierung auf Computer in der Benutzerkonfiguration machen kann?

     

    Sorry für die vielleicht dumme Frage, aber so rum haben wir das bisher eben noch nie gemacht ;) Googlen hatte für mich hier noch keinen eindeutigen Treffer gebracht.

  9. vor 55 Minuten schrieb NilsK:

    man müsste dazu ja auch noch ein geeignetes Laborsystem haben. Du wirst ja kaum annehmen, dass jemand sowas mal eben in seiner Produktion ausprobiert ...

     

    Sicher, darf (und sollte) ja jeder halten wie er möchte und es wäre grundsätzlich nur ein Wunsch :) Aber ich gehe davon aus, dass viele hier auch noch Testsysteme von den diversesten Umgebungen haben. Wie wir bspw. dann eben 30 /180 Tage VM Maschinen nutzen, um was durchzuspielen. Evtl. hat ja jemand gerade eben eine dafür passende Umgebung laufen und sei es seine eigene daheim. Ich glaube aber das steht in einem Forum grundsätzlich außer Frage, dass jeder selbst weiß was er tun will/kann.

     

    Der Community Gedanke ist aber wohl eher nicht abwegig und ich habe dadurch bedingt auch schon Fehler gefunden, die entsprechend bei MS gemeldet (und auch behoben) wurden. Leider aber nur in der Cloud Variante... Aber immerhin es hat jemand anderem geholfen und wir hatten einen Workaround gefunden.

  10. Da kam noch eine Antwort zwischenrein, das hier war auf die Anmerkung bezüglich der Sophos gedacht:

     

    Sorry, den Nebensatz habe ich natürlich nicht erwähnt. Ja, uns ist das bewusst, wir setzen die SG nur noch für das Thema Mail Gateway ein, weil es in der XG bisher eben katastrophal, bzw. gar nicht enthalten ist. Es wird nach aktuellem Stand auch so gar nicht mehr in die XG kommen...

     

    Da ich die Umgebungsgröße und sein Budget nicht kenne, ist es aber unter Umständen für einen Einstieg interessant (gerade wenn man vielleicht schon eine UTM hat). Auch bei uns stößt das so langsam an die Grenzen mit ungefähr 70-80 Postfächern, die das nutzen. Es war zum Einstieg aber unklar wie viel wir das tatsächlich benötigen. Sollte es bei der UTM final abgekündigt werden, bzw. auch das Thema des Arbeitsaufwandes zu groß werden, dann haben wir uns bisher mit 3 lösungen beschäftigt:

     

    - seppmail

    - Zertificon

    - nospamproxy

     

    Tendenz würde dann zu nospamproxy von der Handhabung her gehen. Aus unserem Verbund raus, wäre es eher Zertificon. Wir werden sehen, das wird auch der Preis zu dem Zeitpunkt mit entscheiden.

    vor 3 Minuten schrieb mwiederkehr:

    Wenn nur die Anhänge geschützt werden müssen, könnte auch Nextcloud inkl. dem Outlook-Plugin von Sendent ausreichen. Dieses ersetzt die Anhänge vor dem Versand durch einen Link auf Nextcloud und es kann ein Passwort vergeben werden. Dieses muss dem Empfänger auf einem separaten Kanal zur Verfügung gestellt werden.

     

    Danke für den Hinweis, das hilft mir wiederum weiter, wir haben bereits eine Nextcloud im Einsatz und über sowas ähnliches hatte ich auch schon nachgedacht.

  11. vor 40 Minuten schrieb NilsK:

    ob hier jemand diesen Fall nachbauen wird ... werden wir sehen.

     

    Wäre ja zum Glück nicht viel für notwendig, ein Gruppenpostfach, eine Powershell Line und ein Versand via Outlook. Ich glaube nicht, dass es mit dem Automapping zu tun hat, ich gehe davon aus, dass grundsätzlich bei Gruppenpostfächern im Outlook so dann nicht geht. Aber du hast natürlich Recht, ob jemand Bock drauf hat, ist die andere Frage ;)

  12. Am 11.3.2022 um 13:48 schrieb Sunny61:

    Mit Automapping $true binden wir keinerlei weiteren Postfächer ein, das kann der User dann in 1 Minute selbst manuell machen und es gibt nach einer Einweisung auch keine Probleme. Ansonsten ist natürlich ein anderes System, wie Jan es vorgeschlagen hat, an der Stelle vermutlich auch nicht falsch.

     

    Da haben wir leider trotz bebilderter Anleitung gänzlich andere Erfahrungen im Unternehmen :/

     

    Anderes System habe ich nicht zu entscheiden, ich finde das Verhalten aber letztlich komisch, denn ich würde eigentlich erwarten, dass damit die Mail im Gruppenpostfach doppelt landet, aber sei es drum.

     

    Nur zur Sicherheit würde es mir schon helfen, wenn das einer von euch reproduzieren kann, dann wüsste ich schon mal, dass es nicht noch an was anderem liegt...

  13. Hallo in die Runde,

     

    wir haben vor kurzem aufgrund der steigenden Nutzung und immer mehr Usern an unserem Exchange Server global Dinge verändert.

    Die Gruppenpostfächer werden jetzt von der Berechtigung her über Gruppen gesteuert und bedingt dadurch haben wir ein Skript eingebunden, welches die Gruppen dann in die DeletegateLinks expandiert. Soweit so gut und das tut auch mittlerweile problemlos.

     

    Auf den Gruppenpostfächern ist -MessageCopyForSentAsEnabled und -MessageCopyForSendOnBehalfEnabled auf $True gesetzt. Auch das tut und in den meisten Fällen ist damit das Thema auch erledigt.

    Jetzt gibt es aber ein Problem und ich weiß aktuell nicht wie wir das lösen sollen:

     

    - Nutzer verschickt als Absender eine Mail vom Gruppenpostfach -> Mail landet in seinem eigenen Gesendet und im Gruppenpostfach unter Gesendet -> soweit erwartet

    - Nutzer verschickt als Absender eine Mail vom Gruppenpostfach und wählt unter Optionen "Gesendetes Element speichern unter" einen Ordner bei sich im Postfach -> Mail wird gesendet und das Element landet beim Nutzer im Postfach im gewählten Ordner und eine Kopie in Gesendet im Gruppenpostfach -> soweit ebenfalls erwartet

    - Nutzer verschickt als Absender eine Mail vom Gruppenpostfach und wählt unter Optionen "Gesendetes Element speichern unter" einen Ordner aus dem Gruppenpostfach -> Mail wird gesendet und das Element landet beim Nutzer in Gesendet und beim Gruppenpostfach in Gesendet. die Zuordnung zu einem Ordner im Gruppenpostfach wird gänzlich ignoriert.


    Vorher hatten wir bei diesen Nutzern das Postfach komplett als extra Mailadresse eingehangen, da hat alles funktioniert und dann gehen auch Kalender Reminder (weiteres Manko, aber ja bekannt).

    Jetzt könnte man ja meinen, dass man das so lassen kann, das kollabiert dann aber irgendwann mit den DelegateLinks, das heißt entweder kann man Automatisches Mapping benutzen, oder das extra Postfach, aber beides führt dazu, dass die Mails nicht mehr sauber versendet werden, weil Outlook im Hintergrund das nicht zusammenbekommt, dass es dasselbe Postfach jetzt zweimal gibt.

    Jetzt lauter Ausnahmen von Postfächern zu deklarieren, wo die Gruppe nicht expandiert wird in die DelegateLinks ist natürlich auch nicht sonderlich schick.


    Insofern die Frage: Wer eine Idee zu dem Thema?

     

    Hinweis: auch bei Franky gepostet, ich werde es im Zweifelsfall dann auf beiden Seiten mitteilen, wenn es eine Lösung gibt, damit man nicht dumm stirbt :)

  14. //abgetrennt von: 

    https://www.mcseboard.de/topic/181097-löschen-eines-administrativen-user-aus-allen-mailboxen/

     

    Danke für diesen Post, er hat mir bei einem ähnlichen Problem ebenfalls geholfen. Teilweise hilft aber auch das hier genannte nicht, da muss man die Berechtigungen noch tiefer direkt im AD suchen via adsiedit, weil dort ebenfalls Berechtigungen vergeben werden können, die sich dann auch nach unten durchvererben und an die man über die Konsole nicht kommt. Das nur als finaler Hinweis an der Stelle.

     

    Ich finde es aberwitzig, dass man so seine Berechtigungen so tief vergraben kann, dass es ewig dauert bis man diese komplett entfernt hat...

  15. Am 16.8.2021 um 10:27 schrieb cj_berlin:

    Naja, das Problem zu *umgehen* ist recht trivial - die Bestehenden auslesen, die Gewünschten hinzufügen und das Ergebnis zurückschreiben

     

    Danke für den Schnipsel, gleich mal genutzt:

     

    Get-DistributionGroup | where {$_.alias -like "mitarbeiter-*"} | foreach {
    $bypassModFrom = @((Get-DistributionGroup $_.alias).BypassModerationFromSendersOrMembers.DistinguishedName)
    $bypassModFrom += (Get-Recipient sekretariat).DistinguishedName
    $bypassModFrom += (Get-Recipient x1).DistinguishedName
    $bypassModFrom += (Get-Recipient x2).DistinguishedName
    $bypassModFrom += (Get-Recipient x@y.com).DistinguishedName
    Get-DistributionGroup $_.alias | Set-DistributionGroup -BypassModerationFromSendersOrMembers ($bypassModFrom | Select-Object -Unique)
    }

     

    edit: und wer nur die Gruppe selbst überall hinzufügen will auf einen Streich:

     

    Get-DistributionGroup | foreach {
    $bypassModFrom = (Get-DistributionGroup $_.alias).DistinguishedName
    Get-DistributionGroup $_.alias | Set-DistributionGroup -BypassModerationFromSendersOrMembers ($bypassModFrom | Select-Object -Unique)
    }

     

    Das dürfte für die meisten hier aber trivial sein. Ich habe noch so meine Schmerzen mit Powershell :)

     

    Das hat soweit aber schon mal gut funktioniert ;)

    • Like 1
  16. vor einer Stunde schrieb cj_berlin:

    ich kann bestätigen, dass genau dieser Aufruf gegen einen Exchange 2016CU21 zu genau diesem Ergebnis führt. 2019 habe ich gerade keinen am Start, kann daher nicht testen, ob es da anders aussieht.

     

    Vielen Dank, das beruhigt mich schon mal, dass wir auf unserer Seite keinen Fehler in der Denke haben.

    Problem ist natürlich: was fange ich jetzt damit an und wie löse ich mein eigentliches Problem ;)

     

    Edit: ich denke mal, dass ich sowas ähnliches dann in Betracht ziehen werde: https://jdhitsolutions.com/blog/powershell/534/appending-property-values-in-powershell/

  17. Habe es auch noch mal bei Microsoft ins Forum gekippt. Dort hat jemand bestätigt, dass er das wohl auch hatte. https://docs.microsoft.com/en-us/answers/questions/512547/set-distributiongroup-bypassmoderationfromsenderso.html

     

    Vorhin haben wir den Exchange Server im kompletten noch mal durch gepatcht und der Fehler ist nach wie vor vorhanden bei mir.

     

    Hat vielleicht hier noch jemand einen Exchange 2016 und kann das noch mal gegenprüfen?

  18. Also entweder bin ich wirklich zu dumm für Powershell, oder es ist ein Bug... ;)

     

    Ganz simples Command:

    Set-DistributionGroup mitarbeiter-xx -BypassModerationFromSendersOrMembers @{add="mitarbeiter-xx"}

     

    Damit füge ich eigentlich die Mitglieder der Liste selbst als Gruppe zum Bypass hinzu und jetzt wichtig: OHNE andere zu entfernen. Das geht via GUI/ECP auch einwandfrei.

    Wenn ich das per Powershell ohne @{add= ausführe, dann werden die Mitglieder auch hinzugefügt, allerdings ersetzt der Befehl dann halt, was ich nicht will. Ich will per Batch zu einigen Listen was ergänzen und nicht ersetzen.

    Wenn ich den Befehl jetzt allerdings so benutze, wie er oben ist, dann kommt keine Fehlermeldung, ABER es ist danach gar kein Inhalt mehr unter BypassModerationFromSendersOrMembers. Also hat der Befehl richtig schöne Wirkung, er löscht nämlich einfach alles. Wenn er wenigstens noch ersetzen würde, dann könnte ich es verstehen, er macht aber schlicht nichts außer löschen...

     

    Syntax habe ich auch noch mit -moderatedby getestet, da geht sowohl add als auch remove wie gewünscht.

    Das Beispiel hier ist in meinen Augen auch klar in der Hinsicht: https://docs.microsoft.com/de-de/exchange/recipients-in-exchange-online/moderated-recipients-exo/configure-moderated-recipients-exo

     

    Jemand eine Idee, oder habe ich die Syntax falsch verstanden?

  19. vor 23 Stunden schrieb Harris:

    Bei uns wird wird der Bitlocker Wiederherstellungsschlüssel sowohl ins AD geschrieben, als auch auf einen Share auf unserem Fileserver. Ins AD werden die Schlüssel immer in den Computerkonten hinterlegt. Auf dem Share konnte ich schon feststellen, dass es nicht immer geklappt hat.

    Nachdem du ja .txt Dateien hast, schau mal bitte rein, wer der Owner von der Datei ist, bzw. wer die erstellt hat. Wird das tatsächlich über den jeweils angemeldeten Benutzer erzeugt?

×
×
  • Neu erstellen...