zahni

Kurzfassung: Wenn Du im System-Eventlog der DC's keine Eintrage mit den Quellen "KdsSvc, Kerberos-Key-Distribution-Center" hast, hast Du kein Problem.

Der KB-Artikel ist übrigens fehlerhaft. Event 39 hat als Quelle "Kerberos-Key-Distribution-Center"  und nicht kdsSvc.

Danke Euch, ich gebe es mal weiter.

Kann das hier noch eine Lösung sein? Leider geht da irgendwie nicht draus hervor, ob Teams Online dann über diesen Weg auf unseren Exchange zugreifen kann:

https://learn.microsoft.com/de-de/azure/expressroute/using-expressroute-for-microsoft365

Ja, irgendwo stand, dass MS die Lösung eigentlich doof findet.

Hi,

wir wollen den Teams-Kalender mit unserem internen Exchange synchronisieren. Leider hat MS hier keine einfache Lösung, sondern möchte das via Exchange Hybrid machen, wobei man für Sicherheitslücken anfällige Dienste gegenüber dem Internet öffnen müsste, was wir nicht möchten.

Gibt es eine Möglichkeit das auch über Azure VPN zu machen? Leider finde ich dazu keine verständlichen Informationen. Kennt sich da jemand aus?

Danke im Voraus.

Was willst Du denn erreichen? Ein SSO via Kerberos würde nur funktionieren, wenn der Client sich schon über einen anderen Weg bei KDC authentifiziert hat und von dem Ticket für das RDS-Gateway bekommen hat. Das macht man Das RDS-Gateway kann intern mit dem KDC sprechen, eventuell über den Proxy. Wozu soll der aber im Internet hängen? Es gibt einen Grund, warum im Internet niemand Kerberos macht, sondern Lösungen wie OpenID verwendet.

Am 17.2.2023 um 15:30 schrieb NorbertFe:

Ist in Hyper-V standardmässig an (Gen2) und schaltet man üblicherweise nur bei Problemen ab. Also eigentlich nie oder gleich am Anfang. Debian 10 kam glaub ich damit nicht so recht klar.

Ok,, in meinem Server-Template in Vsphere ist es nicht an. 

Was bringt Secure Boot in einer VM? Hat das jemand wirklich eingeschaltet?

Der Test für öffentliche SMTP-Server liefert viele Details:

https://www.checktls.com/TestReceiver

Und 

https://uwe-kernchen.de/phpmyfaq/index.php?action=faq&cat=24&id=276&artlang=de

Kleiner Hinweis: Gecachte Logons sind ein Sicherheitsrisiko, wenn die Client-HDD nicht verschlüsselt ist. Ansonsten lassen sich die Domain-Kennwörter mit geeigneten Tools auslesen.

Also: wenn man es nicht braucht (z.B. bei Notebooks), dann abschalten.

Hallo und Willkommen im Forum.

vor einer Stunde schrieb Chete:

Können wir mit dem Patch vom Oktober 2023 wieder etwas für die Verwendung von Windows 2003 mit Authentifizierung DC 2019 tun

Nein. Windows 2003 erhält keine Updates mehr und muss dringend entfernt werden.

Wie war gleich nochmal die Option, die Updates untereinander im lokalen System verteilt?

Die findet man in den Einstellungen von Windows-Updates. 

PS: "Übermittlungsoptimierung"

vor 24 Minuten schrieb NilsK:

wofür und in welchem Umfang wird die PKI denn verwendet? Wenn sie wichtiger ist, wäre meine Empfehlung, sie gemeinsam mit jemandem, der sich auskennt, neu zu machen. Das ist typischerweise ein Aufwand von 1-3 bezahlten

Ich und Norbert könnten da auch einen Spezialisten empfehlen...

Hi,

zunächst: Veröffentliche bitte nichts via LDAP. Das unterstützt außer Windows selbst niemand. Die Diese Distribution Points solltest Du au den Zertifikaten entfernen. Zumal Offline-Root-CA die eh nicht ohne weiteres aktualisieren kann. Denn sie ist kein Domain member.

Der Distribution Point in den ausgestellten SUB-CA-Zertifikat muss auf einen HTTP-Server zeigen, der erreichbar ist. Auch sollte die CRL-Gültigkeit der ROOT-CA möglichst lang sein, da man eine SUB-CA eher selten zurückzieht.

Ansonsten musst Du die Offline-Root regelmäßig einschalten, die CRL aktualisieren und auf den funktionsfähigen Webserver kopieren.

Ein wenig hängt das alles auch von den Sicherheitsanforderungen ab. Natürlich könnte man den Webserver auf der Offline-Root-CA platzieren und eingeschaltet lassen...  

vor 1 Stunde schrieb mwiederkehr:

Die Installation pro Benutzer können sie ja noch mit den häufig erforderlichen Updates einigermassen begründen

Sorry, aber wer Applocker und/oder SRP richtig nutzt, dem rollen sich die Fußnägel hoch, wenn eine Anwendung aus dem Userprofile gestartet werden soll.

Besonders, wenn sich dann noch mit jeder Version der Verzeichnisnamen ändern (man muss dort unbedingt eine Versionsnummer reinschreiben).

vor 37 Minuten schrieb NorbertFe:

Ist es beruhigend, wenn Webex identische Gedanken hervorruft?

Nö, Einer macht das nach was der Andere macht...

vor 4 Minuten schrieb NorbertFe:

Is gar nicht mal so cool, die neue Technik. ;)

Wir sind es ja gewöhnt, dass Microsoft nur noch selten auf Kundenwünsche hört und auf Admins schon mal überhaupt nicht

vor 7 Minuten schrieb Cryer:

Hat das irgendwelche Nachteile, wenn man Windows bzw. Teams etwas vorgaukelt was gar nicht der Fall ist?

Habe ich doch geschrieben: Nein. Man kann natürlich nie ausschließen, dass MS irgendwann in der Zukunft prüft, ob das wirklich eine VM ist. Bisher aber nicht.

Ach ja: Die Teams-Installationen im User-Kontext müssen auch entfernt werden und auch 1x der Teams-Cache (glaube ich zumindest). Und beim User sollte der Download vom Teams-Client unterbunden werden (z.B. via Proxy-Richtlinie).

Die VDI-Option kann man auch für normale Desktops benutzen (seltsam, ist aber so). Das macht mein Kollege so. Wir wollen und dürfen keine Programme aus dem User Profile starten. Da hat der Applocker was dagegen.

Wichtig ist, dass man immer vorher die vorhergehende Version deinstalliert, da ein Update sonst nicht klappt.

msiexec /x {731F6BAA-A986-45A4-8936-7C3AAAAA760B} /qn
msiexec /i Teams_windows_x64.msi ALLUSERS=1 ALLUSER=1 /qn /norestart

Wichtig: Der Reg-Key muss gesetzt werden:

reg add "HKLM\SOFTWARE\Microsoft\Teams" /v IsWVDEnvironment /t REG_DWORD /d 1 /f

Das hängt natürlich von der Größe des Unternehmens ab. Hier würde ich nach solchen Terminen zu einem Gespräch gebeten werden...

Was hat Basic-Auth im Web(-Browser) mit SMTP-Auth zu tun?

vor 11 Stunden schrieb MurdocX:

Was ich so lesen konnte ist, dass das Problem auch bei Anderen bekannt ist.

• Clean Windows 11 22H2 -> Geht
• Upgrade von 21H2 -> Geht nicht

 

Bzgl. Smart App Control stand das so ähnlich auch in der aktuellen c't.

Ernstgemeinte Frage: Wer will denn Druckertreiber bei Windows-Update laden?

Hm, und wie sollen sich die Anwender dann mit dem Fileserver verbinden?

Und warum empfiehlt Dir der DL keine sinnvollen Schutzmaßnamen, wie Applocker / SRP / Contentfilter Mail und Proxy?

Wir hatten mal Probleme, als im Windows der Dienst "WinHTTP-Web Proxy Auto-Discovery-Dienst" deaktiviert wurde.

Dort spekuliert ein Kommentar, dass die SRP-API für "Smart App Control" genutzt wird.

vor 36 Minuten schrieb Nobbyaushb:

Das kann ich mir nicht vorstellen 

Nächste Mal erst mich fragen bitte…

Montagmorgen: Es war ein SOLARFLARE Adapter. Keine Treiber im Windows 2019 mitgeliefert und auch Online nichts zu finden.