RalphT

Habs gefunden. Danke dir.

Moin,

ich hatte in einer AD-Umgebung noch mit dem alten LAPS gearbeitet und wollte dort jetzt das neue LAPS nutzen. Damals hatte ich den Befehl

	
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Clients,DC=firma,DC=de"

Find-LapsADExtendedRights -Identity LapsTestOU

vor 5 Minuten schrieb Nobbyaushb:

Gute Wahl - welche Edition werdet ihr nehmen?

 

Ehrlich gesagt - ich bin mir noch nicht sicher. Eigentlich reicht mir die Protection Version. Aber ich habe gesehen, dass es etwas für Disclaimer gibt. Ich muss mir das nochmal in Ruhe durchlesen. Die Sache mit dem Disclaimer finde ich garnicht so verkehrt. Ich habe das hier ja mit Bordmitteln im Exchange realisiert. Das hat natürlich so seine Schönheitsfehler.

Ich muss mir das nächste Woche mal alles in Ruhe ansehen.

vor 1 Minute schrieb NorbertFe:

Von welchem Produkt gibts denn bitte keine Trial mit der man in Ruhe testen kann? Also das Argument is jetzt irgendwie hinfällig. Und nein, das ist keine Aussage meinerseits zur Qualität von nospamproxy. ;)

Dann kam das falsch rüber. Ich habe nicht das Produkt gewählt, weil man es testen kann. Hatte einen Bekannten gefragt, der nutzt das auch und ist sehr zufrieden. Daher die Entscheidung.

Erst mal vielen Dank für die Tipps.

Ich werde das wie folgt machen:

Erst einmal den Reverse-DNS und SPF-Eintrag erstellen/ändern.

Um den Popconnector abzulösen, habe ich mich für das folgende Produkt entschieden. Dort gibt es eine 30 Tage Version, wo ich in Ruhe testen kann.

https://docs.nospamproxy.com/Server/14/Suite/de-de/Content/intro/Home.htm

vor 8 Minuten schrieb Nobbyaushb:

Aus meiner Sicht gibt es einige Lösungen - über wieviel Mailboxen und gesamt-Bestand reden wir?

 

Kleinere Kunden sind mittlerweile in der Cloud bei MS O365 oder einem der anderen Anbieter in der Regel gut aufgehoben

Ich habe einige durchaus kleinere Kunden die aus bestimmten Gründen keine Cloud-Lösung wollen

 

Man kann das alles prima On-Premises lösen, aber dazu muss man heute lesier ein bisschen Aufwand treiben und auch Geld in die Hand nehmen

Fängt mit Spamfilter an, der natürlich dem Exchange vorgelagert ist usw.

Aber das geht in Richtung Consulting, und damit verdiene ich mein Geld...

 

Wir haben so ca. 50 Teilnehmer. Cloud kommt nicht in Frage.

Den Exchange kann ich ja so nicht einfach ohne Spam-Filter, etc. einfach per https von extern erreichbar machen. Kann schon, wäre aber tödlich. Nun ist es so, dass ich das jetzt mal eben nicht entscheiden kann und dieses Thema natürlich vorher hier besprochen werden muss, da das ja auch mit Kosten verbunden ist.

Jetzt stellt sich daher für mich die Frage:

Kann ich ab dem o.g Stichdatum diese Konstellation noch so nutzen? Wenn ja, wie? Wir hatten dieses Thema ja schon auf dem Plan, nur das ist recht kurzfristig. Daher wäre mir eine Zwischenlösung erst einmal recht, um dann im Laufe 2024 das richtig zu machen.

vor 46 Minuten schrieb Nobbyaushb:

Moin,

 

Gegenfrage - wie kommen denn die Mails von IONOS zu deinem Exchange (schon über ein Upgrade nachgedacht? 2016 ist aus dem Main.Support raus...)

Ja das Thema ist bekannt. Derzeit noch mit einem POP-Abholer. Das soll aber mit dem Update geändert werden.

vor 46 Minuten schrieb Nobbyaushb:

Wenn du direkt sendest, wird das nicht klappen wenn der PTR und Reverse-DNS nicht auf eure (hoffentlich feste) IP zeigen

Ja das stimmt. Reverse DNS ist auch nicht eingerichtet, da ja die Mail bei IONOS landen. Feste-IP ist vorhanden.

vor 46 Minuten schrieb Nobbyaushb:

Aber ja, kann man auch weiterhin so machen, aber das ist alles andere als optimal - meiner Meinung nach...

Ich habe zu dieser Smarthostlösung keine Idee. Was müsste ich den ändern, damit ich das noch so nutzen könnte?

Moin,

ich habe einen Exchange 2016 CU23, der seine externen Mails über einen Smarthost zu IONOS versendet.
Gestern bekam ich folgende Mail (siehe Anhang)

Ich habe für die Authentifizierung für den Smarthost bei IONOS eine extra Mailadresse, nur für diesen Sendeconnector angelegt.
Derzeit habe ich jetzt keine Idee, wie ich weiterhin den Smarthost von IONOS nutzen könnte.
Gibt es ab dem Stichtag eine Möglichkeit das weiter so zu nutzen?

Falls nicht, dann war meine Idee, ich nutze einen Sendeconnector, der direkt in der Internet sendet. Ich habe das mal eben schnell probehalber durchgeführt.
Die externe Mail kam auch sofort beim Empfänger an.
Was mich allerdings stutzig macht, ist ein Blick in die LOGs:

2023-11-30T06:07:53.335Z,Internet-Send,08DBE65BD4EA1B65,1,,212.227.15.41:25,*,,attempting to connect
2023-11-30T06:07:54.364Z,Internet-Send,08DBE65BD4EA1B65,2,,212.227.15.41:25,*,,"Failed to connect. Winsock error code: 10061, Win32 error code: 10061, Destination domain: externe-person.de, Error Message: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 212.227.15.41:25."
2023-11-30T06:07:54.378Z,Internet-Send,08DBE65BD4EA1B66,0,,217.72.192.67:25,*,SendRoutingHeaders,Set Session Permissions

Hier werden noch weitere Server von IONOS ausprobiert, mit dem gleichen Ergebnis.

Jetzt frage ich mich, wieso kam die Mail, aber dazu diese Fehlermeldungen?

Ich habe derzeit zwei Sendeconnectoren, wobei nur einer aktiviert ist. Wenn ich den anderen nutzen möchte, muss ich nach dem Deaktivieren/Aktivieren den Transportdienst neu starten?

Gut, dann warte ich.

Moin,

ich habe bei einem Exchange 2016 in einer universalen Verteilergruppe Mitglieder entfernt/hinzugefügt. Allerdigs dauert es einige Zeit, bis die Änderung am Nutzer ankommt.

Kann man das per PS oder anders beschleunigen?

Na gut, dann lege ich das Thema mal zu den Akten.

Hatte ich auch schon gelesen - Leider. Ist dann eben nur eine kleine Hürde für den Angreifer.

Moin,

ich wollte gerne in unserer Umgebung das Ausführen fremder PS-Scripte unterbinden. Dazu habe ich ein GPO mit der Ausführungsrichtinie für die Scripte mit "AllSigned" erstellt.
Danach zeigte sich in der Ereignisanzeige vom Exchange 2016 folgende Fehlermeldung:

Einstellungen: Fehler beim Laden der Formatdatendatei:
Microsoft.Exchange.Management.PowerShell.E2010, , C:\Program Files\Microsoft\Exchange Server\V15\bin\Exchange.format.ps1xml: Die Datei wurde wegen folgender Validierungsausnahme übersprungen: Fehler bei der AuthorizationManager-Überprüfung..
 

Details:
    ExceptionClass=RuntimeException
    ErrorCategory=NotSpecified
    ErrorId=ErrorsUpdatingFormats
    ErrorMessage=Fehler beim Laden der Formatdatendatei:
Microsoft.Exchange.Management.PowerShell.E2010, , C:\Program Files\Microsoft\Exchange Server\V15\bin\Exchange.format.ps1xml: Die Datei wurde wegen folgender Validierungsausnahme übersprungen: Fehler bei der AuthorizationManager-Überprüfung..

Dann habe ich mir die Eigenschaften der Datei "Exchange.format.ps1xml" anzeigen lassen. Diese, wie viele andere PS-Scripte sind alle digital signiert.
Das Zertifikat ist von Microsoft ausgestellt, jedoch ist der Gültigkeitszeitraum überschritten. Da jedoch auch ein Zeitstempel dort vorhanden ist,
bin ich der Meinung, dass alle diese Scripte noch ausgeführt werden sollten.

Ich könnte jetzt die Scripte mit der hauseigenen PKI neu signieren. Nur das wolllte ich erst einmal nicht machen, da es bei den vielen Scripten sehr aufwändig ist.
Eigentlich könnte ich doch die vorhandene Signierung nutzen?

Meine Frage ist jetzt, was kann man da machen? Sollte ich für den Exchange Server eine Ausnahme erstellen, sodass dieser Server von der GPO nicht betroffen ist?

Das wäre natürlich etwas unsicherer.

vor 19 Stunden schrieb MurdocX:

Das ist normal, weil der Benutzer sein Passwort ändern muss und dieser Dialog die Möglichkeit nicht bietet. Demnach wird die Anmeldung abgelehnt. Soweit, so normal. Einmal am PC anmelden, Passwort ändern und fertig. 

Danke dir für Info. Ich hatte mir das schon fast gedacht, nur erklären konnte ich mir es nicht.

Moin,

ich habe mal eine Frage zur Passworteingabe bei Outlook mit Exchange. Ich habe Exchange 2016 und Office 2016. Wenn auf einem Client das Outlook das erste Mal eingrichtet wird, findet Autodiscover sofort die Einstellungen und Outlook funktioniert.
Wenn der Nutzer das nächste Mal sein Outlook startet, dann fragt Outlook nach dem Passwort. Das ist aber nicht immer so.

Wenn aber z.B. in der AD eingestellt wird, dass der Nutzer bei der nächsten Anmeldung sein Passwort ändern muss, dann erscheint das Fenster mit dem Passwort.
Das passiert auch, wenn das Windows-Passwort kurz vor dem Ablauf ist. Der Nutzer meldet sich mit dem alten Passwort an, möchte es aber noch nicht ändern. Dann verlangt Outlook nach einem Passwort.
In diesem Fall kann man das noch alte, gültige Passwort eingeben, was Outlook aber nicht akzeptiert.
Der Nutzer muss erst sein Passwort ändern, dann ist auch bei Outlook Ruhe.

Ansonsten erscheint nie das Passwortfenster. Autodiscover läuft fehlerfrei.

Ist das normal?

Am 7.2.2023 um 17:35 schrieb daabm:

Nur um noch mal darauf hinzuweisen: Das heißt NICHT, daß der Client sich nicht mehr in der Domäne wähnt. Das heißt nur, daß der Client sich gegen die Domäne nicht authentifizieren konnte und daß es deshalb keinen Secure Channel gibt und danach alles mögliche andere auch noch schief geht. Es MUSS in so einem Fall vorhergehende andere Fehler geben.

Ja, das dachte ich mir schon. Aber jetzt haste mich neugierig gemacht. Ich habe gerade beobachtet, dass so mancher gerne zum Feierabend sein Gerät nicht herunterfährt, sondern einfach nur den Bildschim sperrt.

Wie würde sich denn dieser Fehler im Betrieb bemerkbar machen? Würde z.B. der Zugriff auf Laufwerke fehlen? Oder ist das eher ein stiller Fehler?

vor 10 Stunden schrieb Nobbyaushb:

Moin,

kann aber ggf. noch die Ursache mit dem LAN sein, das wir hier schon ein paar mal hatten

Wenn das nochmal vorkommt, gucken ob der PC wirklich mit dem Domänen-Netzwerk verbunden ist oder ob da öffentliches LAN steht

 

Hatten wir einige Zeit und war irgendwann weg

Und ja, bei uns gab es eine GPO „aufs Netzwerk warten…“

 

My2Cents

Moin,

ja das Problem hatte ich schon mal, dass das Netzwerk auf öffentlich stand. Meine Idee war ja am Anfang, dass der Client nicht mit dem DC kommunizieren konnte. Aber selbst wenn der Client keinen Kontakt zum DC hätte, dürfte doch diese Meldung nicht erscheinen. Wenn ich das richtig verstanden habe, dann meckert der Client nur, wenn sein Computerpasswort nicht mit dem hinterlegten Computerpasswort auf dem DC übereinstimmt. Hat er keine Verbindung, kann er auch keinen Unterscheid feststellen - oder?

Auch diese GPO hatte ich Anfangs vergessen. Die ist aber jetzt vorhanden.

Zitat

Und wegen 2 Geräten - wenn's mit nem Neustart behoben ist - ok, beobachten, aber "aktiv" würde ich da noch nicht werden.

Eigentlich hast du Recht. Aber da die ganzen Jahre der Fehler nie aufkam, hatte ich Anfangs schon Bedenken, dass ich bei der Neuinstallation einen Fehler gemacht habe.

Hallo Nils,

danke für Info.

Ja, das könnte vielleicht so gewesen sein. Bei einem Client war zum besagten Zeitpunkt sehr viel rot in der Ereignisanzeige. Da habe ich jetzt auch nicht weiter geforscht.

Der andere Client hatte kaum rote Einträge oder Warnungen die mir verdächtig vorkamen. Hier standen z.B. diese Meldung:

Beim Starten der Sitzung "Microsoft.Windows.Remediation" ist der folgende Fehler aufgetreten: 0xC0000035.

Der Dienst Gruppenrichtlinienclient konnte nach dem Empfang eines Preshutdown-Steuerelements nicht richtig heruntergefahren werden.

Vielleicht war das der Grund. Ich werde das mal weiter im Auge behalten. Derzeit sind es hier ca. 50 Clients und viele Server und bei 2 Geräten ist das bislang aufgetreten.

Moin,

ich habe hier eine neue AD-Umgebung vor ca. 40 Tagen aufgebaut. 3 Server 2019 als Domaincontroller, einer an einem anderen Standort.
Clients alle Windows 10.

Nun hatte ich schon die folgende Fehlermeldung an 2 versch. Clients:

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden

Ich habe die Rechner einfach nur neu geatartet, ohne etwas zu machen. In beiden Fällen funktionierte es danach.
Jetzt ist natürlich die Frage, wo das Problem liegen könnte.

Folgende Dinge habe ich überprüft:

Uhrzeit. Auf allen DCs und auf den Clients stimmt die Zeit auf die Sekunde.
Auf allen DCs habe ich dcdiag und repadmin /showrepl ausgeführt. Alles ok.
Auf den DCs zeigt die Ereignisanzeige keine Fehler an.
Die beiden betroffenen Clients sind/waren eigentlich immer in Benutzung. Es wurde auch nichts aus einem Image hergestellt.

Meine Vermutung ist, dass nach dem zweiten Neustart der Client erfolgreich sein Computerkennwort erfolgreich ändern konnte.

An welcher Stelle könnte man denn mal nachsehen, ob es ein Problem gibt?

Moin,

ich habe bei ein paar Nutzern ein gemeinsames Teampostfach unter Exchange 2016 (Vollrechte unter Postfachstellvertretung) eingerichtet.

Die Signatur habe ich im Exchange unter Haftungsausschluss realisiert. Die Werte dazu kommen aus der AD.

Jetzt möchte ich ganz gerne, wenn ein Nutzer eine Mail über das Teampostfach sendet, dass auch die richtige Signatur vom Besitzer des Teampostfaches angehangen wird. Dort wird aber derzeit keine Signatur angehangen.

Gibt es dafür überhaupt eine Möglichkeit das mit Bordmitteln zu lösen? Oder brauche ich dafür eine Drittanbieterlösung?

Nachtrag:

Ach sorry,

das funktioniert doch. Ich war nur etwas zu ungeduldig. Ich hatte den Besitzer vom Teampostfach in die Gruppe hinzugefügt. Das wirkte wohl nicht sofort.

Ich habe mir mal einige Stellenanzeigen angesehen. Fast alle Firmen suchen Administratoren mit Cloud Erfahrung. Das passt natürlich auch zum Angebot der meisten Lehrgänge. Es sieht so aus, dass doch viele Firmen in die Cloud umgezogen sind.

vor 4 Minuten schrieb NorbertFe:

:/ was erwartest du denn bei einer gratis Stunde? Egal welches Thema?

Dann hattest du mich falsch verstanden. Ich wollte damit nur sagen, dass online Schulungen für mich nichts sind. Davon abgesehen, war der Kurs kostenpflichtig. Ich durfte diesen Kurs nur für eine Stunden besuchen. Mir ging es damals auch nicht um den Inhalt, sondern nur, wie sind online-Kurse. Ich kannte das damals noch nicht.

vor 24 Minuten schrieb NilsK:

Moin,

 

Wenn es um Praxis geht, sind zugeschnittene, frei vereinbarte Kurse meist viel besser. Das ist dann allerdings auch nur für Firmen finanzierbar, die mehrere Leute auf einmal schulen wollen, weil man dann nicht mehr über günstige Pauschalpreise pro Teilnehmer spricht, sondern über Tagessätze.

 

Gruß, Nils

 

Diese Art der Weiterbildung hatten wir vor ein paar Jahren auch mal hier. War zwar nichts für Admins, ging mehr um Datenbanken. Aber diese Art kam gut an. Es wurde das unterrichtet, was man auch hier braucht. Die Kosten sind auch überschaubar. aber wie du schon geschrieben hattest, da müssen schon ein paar Leute zusammenkommen. In meinen Augen derzeit für Firmen die beste Lösung.

Ich  hatte mal vor ein paar Jahren so einen Schnupperkurs für Server 2012 geschenkt bekommen. Dieser Schnupperkurs ging ca. 1 Stunde.

Für mich ist das überhaupt nichts. Das Ganze war für mich total anstrengend. Mal eben dazwischenquatschen geht nicht. Selbst wenn die Internetverbindung top ist, hat man immer mal kleine Aussetzer oder Delays. Vielleicht bin ich da zu konservativ, da liebe ich den old-school Klassenraum. Ist einfach ein besseres Miteinander.

Konkrete Antworten suche ich nicht. Mir ist das beim Surfen nur aufgefallen. Ich hatte mal vo ca. 8 Jahren nach Kursen gesucht. Da waren noch genug Angbote in dieser (alten) Richtung. Daher denke ich, dass es auch in dieser Richtung einen Wandel gab.

Moin,

ich habe mal gerade nach Lehrgänge z.B. für Server 2019, Exchange oder auch Win 10 gesucht. Ich gebe zu ich habe jetzt nicht intensiv gesucht. Mir ist aber aufgefallen, dass die Angebote der Schulen/Firmen dort sehr stark 365-lastig sind. Man findet eigentlich nur noch Lehrgänge für diesem Bereich.

Ich suche jetzt keinen Lehrgang, sondern habe nur mal so danach gesucht.

Frage:

Ist jetzt eigentlich nur noch für diese Richtung Bedarf? Werden demnächst keine Admins mehr gebraucht, die sich mit den physischen Servern vor Ort auskennen müssen?